O provisionamento Just-in-Time fornece outra forma de provisionar usuários no serviço do VMware Identity Manager. Em vez de sincronizar os usuários a partir de uma instância do Active Directory, com o provisionamento Just-in-Time os usuários são criados e atualizados dinamicamente quando fazem login, com base em asserções SAML enviadas pelo provedor de identidade.
Nesse cenário, o VMware Identity Manager funciona como o provedor de serviço (SP) SAML.
A configuração Just-in-Time pode ser realizada somente para provedores de identidade de terceiros. Ela não está disponível para o conector.
Com uma configuração Just-in-Time, você não precisa instalar um conector no local, pois toda a criação e gerenciamento de usuários são feitos por meio de asserções SAML, e a autenticação é manipulada pelo provedor de identidade de terceiros.
Criação e gerenciamento de usuários
Se o provisionamento de usuários Just-in-Time estiver ativado, quando um usuário acessa a página de login do serviço do VMware Identity Manager e seleciona um domínio, a página o redireciona para o provedor de identidade correto. O usuário faz login, é autenticado e depois redirecionado pelo provedor de identidade de volta para o serviço do VMware Identity Manager com uma asserção SAML. Os atributos na asserção SAML são usados para criar o usuário no serviço. Somente os atributos que correspondem aos atributos de usuário definidos no serviço são utilizados; os outros atributos são ignorados. O usuário também é adicionado a grupos com base nos atributos e recebe os direitos que estão definidos para esses grupos.
No logins subsequentes, se houver alguma alteração na asserção SAML, o usuário será atualizado no serviço.
Os usuários com provisionamento Just-in-Time não podem ser excluídos. Para excluir usuários, você deve excluir o diretório Just-in-Time.
Observe que todo o gerenciamento de usuários é realizado por meio de asserções SAML. Você não pode criar nem atualizar esses usuários diretamente no serviço. Os usuários Just-in-Time não podem ser sincronizados do Active Directory.
Para obter informações sobre os atributos necessários na asserção SAML, consulte Requisitos das asserções SAML.
Diretório Just-in-Time
O provedor de identidade de terceiros deve ter um diretório Just-in-Time associado a ele no serviço.
Ao ativar pela primeira vez o provisionamento Just-in-Time para um provedor de identidade, você cria um novo diretório Just-in-Time e especifica um ou mais domínios para ele. Os usuários pertencentes a esses domínios são provisionados para o diretório. Se vários domínios estiverem configurados para o diretório, as asserções SAML deverão incluir um atributo de domínio. Se um único domínio estiver configurado para o diretório, um atributo de domínio não será necessário nas asserções SAML, mas, se especificado, o respectivo valor deverá corresponder ao nome do domínio.
Somente um diretório, do tipo Just-in-Time, pode ser associado a um provedor de identidade com o provisionamento Just-in-Time ativado.