Utilizadores externos
Pode usar provisioning just-in-time (JIT) para criar utilizadores externos e associá-los a uma identidade externa.
Um utilizador externo está associado a um método de autenticação (OpenID Connect, SAML 2.0, External Login ou Environment Link) e só pode ser autenticado usando esse método de autenticação.
Usar utilizadores externos é opcional; não são criados por predefinição.
Todos os utilizadores externos agrupados sob um método de autenticação estão ligados com o mesmo tipo de claim (por exemplo, o tipo de claim sub) e os utilizadores são separados por valores de claim únicos.
Com utilizadores externos pode guardar claims em cada utilizador. Por exemplo, guarde o seu claim de ID de utilizador que representa o utilizador no seu sistema e, assim, mapeie o ID do utilizador externo para o seu ID de utilizador.
Um ID único gerado automaticamente é adicionado por predefinição a cada utilizador externo.
O ID único gerado é emitido no claim local_sub quando o utilizador externo inicia sessão.
Se guardar um ou mais claims local_sub no utilizador externo, os valores guardados também são devolvidos, mas são prefixados com o nome do método de autenticação no formato {authentication-method-name}|{value}.
Isto mantém os valores local_sub guardados únicos por método de autenticação, enquanto continua a adicionar o ID gerado do utilizador externo como local_sub.
Para uma visão geral dos conceitos de utilizador (utilizadores internos, utilizadores externos e stores de utilizadores externas) veja a visão geral de utilizadores.
Também podem ser atribuídas aos utilizadores externos memberships de estrutura de acesso para modelar acesso hierárquico e resolver claims de acesso durante o login.
Criar utilizador externo
Dependendo da configuração do método de autenticação selecionado, é opcionalmente pedido aos novos utilizadores que preencham um formulário para criar um utilizador.
A página é composta por elementos dinâmicos que podem ser personalizados por método de autenticação.
Neste exemplo, a página de criação de utilizador é composta por três elementos: Email, Given name e Family name, ordenados com o elemento Email no topo.
Esta é a configuração num método de autenticação OpenID Connect.
Podem ser adicionadas transformações de claims que são executadas imediatamente antes de o utilizador externo ser criado.
Se a sequência de login for iniciada com base num método de autenticação login, esse método fornece a base para o look and feel da UI (personalizar). Caso contrário, o método de autenticação login predefinido é selecionado como base.
Provisionar e resgatar
Os utilizadores externos podem ser criados, atualizados e eliminados com o Control Client ou provisionados através da Control API.
Provavelmente não conhece antecipadamente o valor do claim de ligação, porque é um ID de utilizador externo. Mas se o conhecer, é possível criar utilizadores e associá-los ao valor do claim de ligação. Na maioria das vezes, conhecerá antes um claim de resgate.
Os utilizadores externos podem ser resgatados por um tipo de claim de resgate (por exemplo, email) e ficam então automaticamente ligados com o tipo de claim de ligação.
Ligar utilizadores com base no seu email durante um longo período é uma má prática, porque os emails podem mudar. Mas é improvável que o email mude dentro do curto período de resgate.
Depois de o utilizador ter sido resgatado, o utilizador externo inicia sessão subsequentemente com base no valor do claim de ligação.
Este método de autenticação está configurado com resgate do claim email e tipo de claim de ligação sub.
E os utilizadores são adicionados com o seu email conhecido como valor do claim de resgate.
Neste exemplo, o utilizador é ligado ao Google Workspace com um método de autenticação OpenID Connect e é adicionado um claim app_user_id com um ID de utilizador interno.
Pode repor um utilizador resgatado eliminando o valor do claim de ligação e, se necessário, alterando também o valor do claim de resgate. O utilizador externo será então resgatado novamente na próxima vez que o utilizador iniciar sessão.