JIT auth (just-in-time provisioning)
Kapcsolódó szolgáltatás Kiberbiztonság
MEGHATÁROZÁS
Just-in-time provisioning azt jelenti, hogy a felhasználó fiókja az alkalmazásban akkor jön létre, amikor először SSO-zik be (Okta, Entra, Google Workspace), nem előre szinkronizálva. Az identitás-szolgáltató SAML vagy OIDC tokenben adott attribútumok (email, név, csoport, role) alapján a backend on the fly létrehoz vagy frissít egy user rekordot. Egyszerű, gyors bevezetés, jó kis és közepes csapatoknak. A SCIM (System for Cross-domain Identity Management) ezzel szemben proaktív: az IdP push-ol minden create, update és delete eseményt egy SCIM endpointra, így a deprovisioning is azonnali. JIT-tel a kilépett dolgozó account-ja az alkalmazásban ott marad amíg ki nem takarítjuk, ami audit és compliance kockázat. Szabály: SOC 2 vagy ISO 27001 alá készülő, 50 fő feletti B2B SaaS-nak SCIM kell. Alatta a JIT plusz egy heti revoke-job sokszor elég.
- Threat model→
Strukturált gyakorlat, ami végigveszi a rendszer szereplőit, támadási felületét, kockázatait és kontrolljait. Minden DField-projektben ez az első nap, még a kód előtt.
- Pentest (Penetrációs teszt)→
Kézi és eszközös támadás-szimuláció, amivel kiderül, hogy egy támadó mit tudna elérni. Nálunk a találatok PR-ekként jönnek a repódba, nem 80 oldalas PDF-ként.
- DevSecOps→
Biztonság mint folyamatosan futó CI-lépés (SAST, DAST, SCA, IaC-scan), nem éves projekt. Minden push ellen fut; minden sprint fix biztonsági bugot is.
- MFA (Multi-faktoros auth)→
Kétfaktoros vagy több faktor (TOTP, WebAuthn, biometria) az egy jelszón felül. SaaS-nak ma kötelező · enterprise-beszerzés lenullázza a bevételt nélküle.
- SOC 2→
Amerikai auditálási keretrendszer a bizalmassági, integritási, elérhetőségi és adatvédelmi kontrollokra. SaaS-nál a Type II audit (6–12 hó megfigyelés) a szokásos enterprise-alapvetés.
- ISO 27001→
Nemzetközi szabvány az információbiztonsági menedzsmentrendszerre (ISMS). Európában gyakran elvárt SOC 2 helyett vagy mellett. 3 éves certifikációs ciklus.