Есть несколько подходов к решению этой проблемы, и в конечном итоге это зависит от окончательного желаемого поведения вашего приложения.
- Синхронизация в реальном времени.
- Своевременная подготовка / обновление при SSO.
Дело 1.
Некоторые системы управления идентификацией, такие как OneLogin, могут выполнять перехватчики при изменении пользовательских данных в их системе. Так, например, если пользователь обновляет свой адрес электронной почты, вы можете настроить ловушку, которая будет выполнять вызов API конечного приложения, чтобы обновить учетную запись пользователя в конечном приложении.
Таким же образом иногда интересно, что пользователи могут редактировать свой профиль в окончательном приложении и применять это изменение в системе IdM, для этого вы можете использовать IdM API, поэтому, когда пользователь редактирует свой профиль в конечном приложении, он выполняет вызов API. к IdM API. (обратите внимание, что если система idM настроена с перехватчиками для конечных приложений, эти перехватчики будут выполняться в системе IdM, поэтому конечные приложения также будут обновляться автоматически).
Случай 2.
Когда пользователь выполняет процесс SSO (SAML / OIDC, JIT), его данные могут быть переданы из системы IdM в окончательное приложение, и в этот момент последнее приложение может использовать предоставленные данные для его синхронизации. Минусы. Если пользователь не выполняет SSO, учетная запись не создается / не обновляется.
Случай 1 имеет смысл в средах, где критически важно обновление пользовательских данных, таких как, например, LMS, где преподаватель должен знать набор учеников своего класса, но если вы полагаетесь на процесс SSO (SAML / OIDC, JIT) для создания / обновить учетную запись ученика, если ученик никогда не получает доступ к LMS, учитель никогда не узнает, что ученик существует.
person
smartin
schedule
19.09.2018
