Externe Benutzer

Sie können just-in-time (JIT) Provisionierung verwenden, um externe Benutzer zu erstellen und sie mit einer externen Identität zu verknüpfen. Ein externer Benutzer ist mit einer Authentifizierungsmethode (OpenID Connect, SAML 2.0, External Login oder Environment Link) verknüpft und kann nur mit dieser Authentifizierungsmethode authentifiziert werden.
Die Verwendung externer Benutzer ist optional; sie werden standardmäßig nicht erstellt.

Alle externen Benutzer, die unter einer Authentifizierungsmethode gruppiert sind, sind mit dem gleichen Claim Typ (z. B. dem sub Claim Typ) verknüpft und die Benutzer werden durch eindeutige Claim Werte getrennt.

Mit externen Benutzern können Sie Claims pro Benutzer speichern. Zum Beispiel Ihren User ID Claim, der den Benutzer in Ihrem System repräsentiert, speichern und damit die externe Benutzer ID auf Ihre User ID abbilden.

Eine automatisch generierte eindeutige ID wird standardmäßig jedem externen Benutzer hinzugefügt.

Für einen Überblick über Benutzerkonzepte (interne Benutzer, externe Benutzer und externe Benutzer Stores) siehe die Benutzer Übersicht.

Externen Benutzer erstellen

Abhängig von der Konfiguration der ausgewählten Authentifizierungsmethode werden neue Benutzer optional aufgefordert, ein Formular zum Erstellen eines Benutzers auszufüllen.

Neue externe Benutzer erstellen ein Konto

Die Seite besteht aus dynamischen Elementen, die pro Authentifizierungsmethode angepasst werden können.
In diesem Beispiel besteht die Seite zur Benutzer Erstellung aus drei Elementen: E-Mail, Vorname und Nachname, mit dem E-Mail Element oben.

Dies ist die Konfiguration in einer OpenID Connect Authentifizierungsmethode.

OpenID Connect Konfiguration - Konto online erstellen

Claim Transformations können hinzugefügt werden, die unmittelbar vor der Erstellung des externen Benutzers ausgeführt werden.

Wenn die Login Sequenz basierend auf einer Login Authentifizierungsmethode gestartet wird, bildet sie die Grundlage für das UI Look and Feel (customize). Andernfalls wird die Standard Login Authentifizierungsmethode als Basis ausgewählt.

Provisionieren und Einlösen

Externe Benutzer können mit dem Control Client erstellt, aktualisiert und gelöscht oder über die Control API provisioniert werden.

Sie kennen den Link Claim Wert wahrscheinlich nicht im Voraus, weil es sich um eine externe Benutzer ID handelt. Aber wenn Sie ihn kennen, ist es möglich Benutzer zu erstellen und sie mit dem Link Claim Wert zu verknüpfen. Meistens kennen Sie stattdessen einen Redemption Claim im Voraus.

Die externen Benutzer können über einen Redemption Claim Typ (z. B. email) eingelöst werden und werden dann automatisch mit dem Link Claim Typ verknüpft. Es ist schlechte Praxis, Benutzer über einen langen Zeitraum anhand ihrer E-Mail zu verknüpfen, da E-Mails sich ändern können. Aber die E-Mail ändert sich in der kurzen Redemption Periode eher nicht.

Sobald der Benutzer eingelöst wurde, wird der externe Benutzer anschließend basierend auf dem Link Claim Wert angemeldet.

Diese Authentifizierungsmethode ist mit email Claim Redemption und sub Link Claim Typ konfiguriert.

Authentifizierungsmethode, externe Benutzer Redemption

Und Benutzer werden mit ihrer bekannten E-Mail als Redemption Claim Wert hinzugefügt.

Externe Benutzer Redemption

In diesem Beispiel ist der Benutzer mit Google Workspace über eine OpenID Connect Authentifizierungsmethode verbunden und eine app_user_id Claim wird mit einer internen Benutzer ID hinzugefügt.

Sie können einen eingelösten Benutzer zurücksetzen, indem Sie den Link Claim Wert löschen und falls erforderlich auch den Redemption Claim Wert ändern. Der externe Benutzer wird dann beim nächsten Login erneut eingelöst.

Ihre Privatsphäre

Wir verwenden Cookies, um Ihre Erfahrung auf unseren Websites zu verbessern. Klicken Sie auf 'Alle Cookies akzeptieren', um der Verwendung von Cookies zuzustimmen. Um nicht notwendige Cookies abzulehnen, klicken Sie auf 'Nur notwendige Cookies'.

Weitere Informationen finden Sie in unserer Datenschutzerklärung