Utenti esterni
Puoi usare il provisioning just-in-time (JIT) per creare utenti esterni e associarli a un'identita esterna.
Un utente esterno e associato a un metodo di autenticazione (OpenID Connect, SAML 2.0, External Login oppure Environment Link) e puo essere autenticato solo usando quel metodo di autenticazione.
L'uso degli utenti esterni e facoltativo; non vengono creati per impostazione predefinita.
Tutti gli utenti esterni raggruppati sotto un metodo di autenticazione sono collegati con lo stesso tipo di claim (ad esempio il tipo di claim sub) e gli utenti sono separati da valori di claim univoci.
Con gli utenti esterni puoi memorizzare claim su ogni utente. Ad esempio, puoi memorizzare il tuo claim ID utente che rappresenta l'utente nel tuo sistema e in questo modo mappare l'ID utente esterno al tuo ID utente.
Un ID univoco generato automaticamente viene aggiunto per impostazione predefinita a ogni utente esterno.
L'ID univoco generato viene emesso nel claim local_sub quando l'utente esterno effettua l'accesso.
Se memorizzi uno o piu claim local_sub sull'utente esterno, anche i valori memorizzati vengono restituiti, ma sono prefissati con il nome del metodo di autenticazione nel formato {authentication-method-name}|{value}.
Questo mantiene univoci per metodo di autenticazione i valori local_sub memorizzati, continuando comunque ad aggiungere l'ID utente esterno generato come local_sub.
Per una panoramica dei concetti utente (utenti interni, utenti esterni e archivi utenti esterni), consulta la panoramica utenti.
Agli utenti esterni possono anche essere assegnate membership della struttura di accesso per modellare accessi gerarchici e risolvere i claim di accesso durante il login.
Creare utente esterno
A seconda della configurazione del metodo di autenticazione selezionato, ai nuovi utenti viene facoltativamente chiesto di compilare un modulo per creare un utente.
La pagina e composta da elementi dinamici che possono essere personalizzati per metodo di autenticazione.
In questo esempio la pagina di creazione utente e composta da tre elementi: Email, Given name e Family name, ordinati con l'elemento Email in alto.
Questa e la configurazione in un metodo di autenticazione OpenID Connect.
Le claim transformations possono essere aggiunte ed eseguite subito prima della creazione dell'utente esterno.
Se la sequenza di login viene avviata in base a un metodo di autenticazione login, esso fornisce la base per il look and feel della UI (personalizza). Altrimenti, come base viene selezionato il metodo di autenticazione login predefinito.
Provisioning e riscatto
Gli utenti esterni possono essere creati, aggiornati ed eliminati con il Control Client oppure essere provisioned tramite la Control API.
Probabilmente non conosci in anticipo il valore del claim di collegamento, perche e un ID utente esterno. Ma se lo conosci, e possibile creare utenti e associarli al valore del claim di collegamento. Piu spesso, invece, conoscerai in anticipo un claim di riscatto.
Gli utenti esterni possono essere riscattati tramite un tipo di claim di riscatto (ad esempio email) e vengono poi automaticamente collegati con il tipo di claim di collegamento.
Collegare gli utenti in base alla loro email per un lungo periodo e una cattiva pratica, perche le email possono cambiare. Tuttavia, e improbabile che l'email cambi nel breve periodo di riscatto.
Una volta che l'utente e stato riscattato, gli accessi successivi dell'utente esterno avvengono in base al valore del claim di collegamento.
Questo metodo di autenticazione e configurato con riscatto del claim email e tipo di claim di collegamento sub.
E gli utenti vengono aggiunti con la loro email nota come valore del claim di riscatto.
In questo esempio l'utente e collegato a Google Workspace con un metodo di autenticazione OpenID Connect e viene aggiunto un claim app_user_id con un ID utente interno.
Puoi reimpostare un utente riscattato eliminando il valore del claim di collegamento e, se necessario, cambiando anche il valore del claim di riscatto. L'utente esterno verra quindi riscattato di nuovo la prossima volta che l'utente effettua l'accesso.