Quando o provisionamento de usuários Just-in-Time está ativado para um provedor de identidade de terceiros, os usuários são criados ou atualizados no serviço do Workspace ONE Access durante o login baseado em asserções SAML. As asserções SAML enviadas pelo provedor de identidade devem conter determinados atributos.
- A asserção SAML deve incluir o atributo
userName
. - A asserção SAML deve incluir todos os atributos de usuário marcados como necessários no serviço.
Para exibir ou editar os atributos de usuário no console do Workspace ONE Access, na guia Gerenciamento de Identidade e Acesso, clique em Instalar e em Atributos de Usuário.
Importante: Certifique-se de que as chaves na asserção SAML coincidem exatamente com os nomes de atributo, incluindo as letras maiúsculas e minúsculas. - Se você estiver configurando vários domínios para o diretório Just-in-Time, a asserção SAML deverá incluir o atributo
domain
. O valor do atributo deve corresponder a um dos domínios configurados para o diretório. Se o valor não corresponder ou um domínio não estiver especificado, o login falhará. - Se você estiver configurando um único domínio para o diretório Just-in-Time, a especificação do atributo
domain
na asserção SAML será opcional.Se você especificar o atributo
domain
, verifique se o respectivo valor corresponde ao domínio configurado para o diretório. Se a asserção SAML não contiver um atributo de domínio, o usuário será associado ao domínio configurado para o diretório - Se você desejar permitir atualizações de nome de usuário, inclua o atributo
ExternalId
na asserção SAML. O usuário é identificado peloExternalId
. Se, em um login subsequente, a asserção SAML contiver um nome de usuário diferente, o usuário ainda será identificada corretamente, o login será bem sucedido e o nome de usuário será atualizado no serviço do Workspace ONE Access.
Os atributos da asserção SAML são usados para criar ou atualizar os usuários desta forma.
- Os atributos que são necessários ou opcionais no serviço do Workspace ONE Access (conforme listado na página Atributos de Usuário) são usados.
- Os atributos que não correspondem a nenhum dos atributos na página Atributos de Usuário são ignorados.
- Os atributos sem valor são ignorados.