⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Provisioning Just-in-Time

Table des matières
Subscription: Business
For: Administrators

Le provisioning Just-in-Time (JIT) crée et met à jour automatiquement les comptes utilisateur après chaque authentification single sign-on (SSO) réussie. JIT vérifie que l'utilisateur qui se connecte appartient à l'organisation et aux équipes qui lui sont assignées dans votre fournisseur d'identité (IdP). Quand vous créez votre connexion SSO, le provisioning JIT est activé par défaut.

Authentification SSO avec provisioning JIT activé

Quand un utilisateur se connecte avec SSO et votre configuration SSO a le provisioning JIT activé, les étapes suivantes se produisent automatiquement :

  1. Le système vérifie si un compte Docker existe pour l'adresse email de l'utilisateur.

    • Si un compte existe : Le système utilise le compte existant et met à jour le nom complet de l'utilisateur si nécessaire.
    • Si aucun compte n'existe : Un nouveau compte Docker est créé en utilisant les attributs utilisateur de base (email, nom, et prénom). Un nom d'utilisateur unique est généré basé sur l'email de l'utilisateur, le nom, et des nombres aléatoires pour s'assurer que tous les noms d'utilisateur sont uniques sur la plateforme.

  2. Le système vérifie les invitations en attente pour l'organisation SSO.

    • Invitation trouvée : L'invitation est automatiquement acceptée.
    • L'invitation inclut un groupe spécifique : L'utilisateur est ajouté à ce groupe dans l'organisation SSO.

  3. Le système vérifie si l'IdP a partagé des mappages de groupe pendant l'authentification.

    • Mappages de groupe fournis : L'utilisateur est assigné aux organisations et équipes pertinentes.
    • Aucun mappage de groupe fourni : Le système vérifie si l'utilisateur fait déjà partie de l'organisation. Sinon, l'utilisateur est ajouté à l'organisation et l'équipe par défaut configurées dans la connexion SSO.

Le graphique suivant fournit un aperçu de l'authentification SSO avec JIT activé :

Provisioning JIT activé

Authentification SSO avec provisioning JIT désactivé

Quand le provisioning JIT est désactivé dans votre connexion SSO, les actions suivantes se produisent pendant l'authentification :

  1. Le système vérifie si un compte Docker existe pour l'adresse email de l'utilisateur.

    • Si un compte existe : Le système utilise le compte existant et met à jour le nom complet de l'utilisateur si nécessaire.
    • Si aucun compte n'existe : Un nouveau compte Docker est créé en utilisant les attributs utilisateur de base (email, nom, et prénom). Un nom d'utilisateur unique est généré basé sur l'email de l'utilisateur, le nom, et des nombres aléatoires pour s'assurer que tous les noms d'utilisateur sont uniques sur la plateforme.

  2. Le système vérifie les invitations en attente pour l'organisation SSO.

    • Invitation trouvée : Si l'utilisateur est membre de l'organisation ou a une invitation en attente, la connexion réussit, et l'invitation est automatiquement acceptée.
    • Aucune invitation trouvée : Si l'utilisateur n'est pas membre de l'organisation et n'a pas d'invitation en attente, la connexion échoue, et une erreur Accès refusé apparaît. L'utilisateur doit contacter un administrateur pour être invité à l'organisation.

Avec JIT désactivé, le mappage de groupe n'est disponible que si vous avez SCIM activé. Si SCIM n'est pas activé, les utilisateurs ne seront pas auto-provisionnés aux groupes.

Le graphique suivant fournit un aperçu de l'authentification SSO avec JIT désactivé :

Provisioning JIT désactivé

Désactiver le provisioning JIT

Warning

Désactiver le provisioning JIT peut perturber l'accès et les flux de travail de vos utilisateurs. Avec JIT désactivé, les utilisateurs ne seront pas automatiquement ajoutés à votre organisation. Les utilisateurs doivent déjà être membres de l'organisation ou avoir une invitation en attente pour se connecter avec succès via SSO. Pour auto-provisionner les utilisateurs avec JIT désactivé, utilisez SCIM.

Vous pourriez vouloir désactiver le provisioning JIT pour des raisons telles que :

  • Vous avez plusieurs organisations, SCIM activé, et voulez que SCIM soit la source de vérité pour le provisioning
  • Vous voulez contrôler et restreindre l'utilisation basée sur la configuration de sécurité de votre organisation, et voulez utiliser SCIM pour provisionner l'accès

Les utilisateurs sont provisionnés avec JIT par défaut. Si vous activez SCIM, vous pouvez désactiver JIT :

  1. Dans la Console Admin, sélectionnez votre organisation.
  2. Sélectionnez SSO et SCIM.
  3. Dans le tableau des connexions SSO, sélectionnez l'icône Action puis Désactiver le provisioning JIT.
  4. Sélectionnez Désactiver pour confirmer.