Aprovisionamiento Just-in-Time

El aprovisionamiento Just-in-Time (JIT) agiliza la incorporación de usuarios mediante la creación y actualización automática de cuentas de usuario durante la autenticación SSO. Esto elimina la creación manual de cuentas y garantiza que los usuarios tengan acceso inmediato a los recursos de tu organización. JIT verifica que los usuarios pertenecen a la organización y los asigna a los equipos adecuados en función de la configuración de tu proveedor de identidad (IdP). Cuando creas tu conexión SSO, el aprovisionamiento JIT se activa por defecto.

Esta página explica cómo funciona el aprovisionamiento JIT, los flujos de autenticación de SSO y cómo desactivar el aprovisionamiento JIT.

Requisitos previos

Antes de comenzar, debes tener:

• SSO configurado para tu organización
• Acceso de administrador a Docker Home y a tu proveedor de identidad

Autenticación SSO con aprovisionamiento JIT habilitado

Cuando un usuario inicia sesión con SSO y tienes el aprovisionamiento JIT habilitado, los siguientes pasos ocurren automáticamente:

1. El sistema comprueba si existe una cuenta de Docker para la dirección de correo electrónico del usuario.

   • Si existe una cuenta: El sistema utiliza la cuenta existente y actualiza el nombre completo del usuario si es necesario.
   • Si no existe una cuenta: Se crea una nueva cuenta de Docker utilizando los atributos básicos del usuario (correo electrónico, nombre y apellido). Se genera un nombre de usuario único basado en el correo electrónico del usuario, su nombre y números aleatorios para garantizar que todos los nombres de usuario sean únicos en la plataforma.

2. El sistema comprueba si hay invitaciones pendientes para la organización de SSO.

   • Invitación encontrada: La invitación se acepta automáticamente.
   • La invitación incluye un grupo específico: El usuario es añadido a ese grupo dentro de la organización de SSO.

3. El sistema verifica si el IdP ha compartido mapeos de grupos durante la autenticación.

   • Mapeos de grupos proporcionados: El usuario se asigna a las organizaciones y equipos correspondientes.
   • No se proporcionan mapeos de grupos: El sistema comprueba si el usuario ya forma parte de la organización. Si no es así, el usuario se añade a la organización y al equipo predeterminados configurados en la conexión SSO.

El siguiente gráfico proporciona una descripción general de la autenticación SSO con JIT habilitado:

Autenticación SSO con aprovisionamiento JIT deshabilitado

Cuando el aprovisionamiento JIT está deshabilitado, ocurren las siguientes acciones durante la autenticación SSO:

1. El sistema comprueba si existe una cuenta de Docker para la dirección de correo electrónico del usuario.

   • Si existe una cuenta: El sistema utiliza la cuenta existente y actualiza el nombre completo del usuario si es necesario.
   • Si no existe una cuenta: Se crea una nueva cuenta de Docker utilizando los atributos básicos del usuario (correo electrónico, nombre y apellido). Se genera un nombre de usuario único basado en el correo electrónico del usuario, su nombre y números aleatorios para garantizar que todos los nombres de usuario sean únicos en la plataforma.

2. El sistema comprueba si hay invitaciones pendientes para la organización de SSO.

   • Invitación encontrada: Si el usuario es miembro de la organización o tiene una invitación pendiente, el inicio de sesión es exitoso y la invitación se acepta automáticamente.
   • No se encuentra ninguna invitación: Si el usuario no es miembro de la organización y no tiene ninguna invitación pendiente, el inicio de sesión falla y aparece un error de Acceso denegado (Access denied). El usuario debe ponerse en contacto con un administrador para que lo invite a la organización.

Con JIT deshabilitado, el mapeo de grupos solo está disponible si tienes SCIM habilitado. Si SCIM no está habilitado, los usuarios no se aprovisionarán automáticamente en los grupos.

El siguiente gráfico proporciona una descripción general de la autenticación SSO con JIT deshabilitado:

Deshabilitar el aprovisionamiento JIT

Warning

Deshabilitar el aprovisionamiento JIT puede interrumpir el acceso y los flujos de trabajo de tus usuarios. Con JIT deshabilitado, los usuarios no se añadirán automáticamente a tu organización. Los usuarios ya deben ser miembros de la organización o tener una invitación pendiente para iniciar sesión correctamente a través de SSO. Para autoaprovisionar usuarios con JIT deshabilitado, utiliza SCIM.

Es posible que desees deshabilitar el aprovisionamiento JIT por motivos como los siguientes:

• Tienes varias organizaciones, tienes SCIM habilitado y deseas que SCIM sea la fuente de verdad para el aprovisionamiento
• Deseas controlar y restringir el uso en función de la configuración de seguridad de tu organización y quieres usar SCIM para aprovisionar el acceso

Los usuarios se aprovisionan con JIT por defecto. Si habilitas SCIM, puedes deshabilitar JIT:

1. Ve a Docker Home y selecciona tu organización en el menú desplegable de cuentas en la parte superior izquierda.
2. Selecciona Admin Console (Consola de administración), luego SSO and SCIM.
3. En la tabla de conexiones SSO, selecciona el icono de acciones (Action), luego selecciona Disable JIT provisioning (Deshabilitar aprovisionamiento JIT).
4. Selecciona Disable (Deshabilitar) para confirmar.

Siguientes pasos

• Configura el aprovisionamiento SCIM para una gestión de usuarios avanzada.
• Configura el mapeo de grupos para asignar automáticamente a los usuarios a los equipos.
• Revisa la sección de Resolución de problemas de aprovisionamiento.