O provisionamento Just-in-Time fornece outra forma de provisionar usuários no serviço do Workspace ONE Access. Em vez de sincronizar os usuários a partir de um Active Directory ou de outra instância de diretório LDAP, com usuários de provisionamento Just-in-Time são criados e atualizados dinamicamente quando fazem login por meio de SSO de SAML ou OpenID Connect.
Nesse cenário, o Workspace ONE Access funciona como o provedor de serviço (SP).
A configuração Just-in-Time pode ser realizada somente para provedores de identidade de terceiros. Ela não está disponível para o conector. O provedor de identidade de terceiros gerencia toda a criação e o gerenciamento de usuários por meio de asserções SAML ou declarações do OpenID Connect.
Diretório Just-in-Time
O provedor de identidade de terceiros deve ter um diretório Just-in-Time associado a ele no serviço.
Ao ativar o provisionamento Just-in-Time para um provedor de identidade, você cria um diretório Just-in-Time e especifica um ou mais domínios para ele. Os usuários pertencentes a esses domínios são provisionados para o diretório. Se vários domínios estiverem configurados para o diretório, um atributo de domínio deverá ser incluído na configuração. Se um único domínio estiver configurado para o diretório, um atributo de domínio não será necessário nas asserções, mas, se especificado, seu valor deverá corresponder ao nome do domínio.
Somente um diretório, do tipo Just-in-Time, pode ser associado a um provedor de identidade com o provisionamento Just-in-Time ativado.
Criação e gerenciamento de usuários
Se o provisionamento de usuários Just-in-Time estiver ativado, quando um usuário acessar a página de login do serviço do Workspace ONE Access e selecionar um domínio, a página o redirecionará para o provedor de identidade correto. O usuário faz login, é autenticado, e o provedor de identidade redireciona o usuário de novo para o serviço do Workspace ONE Access. Os dados necessários para provisionar o usuário estão na resposta SSO e são usados para criar o usuário no serviço do Workspace ONE Access. Somente os dados para os atributos de usuário que são mapeados no diretório Workspace ONE Access são usados para provisionar o usuário. O usuário também é adicionado a grupos com base nos atributos e recebe os direitos que estão definidos para esses grupos.
Em logins subsequentes, se houver alguma alteração nos dados do usuário, os dados do usuário serão atualizados no serviço.
Os usuários com provisionamento Just-in-Time não podem ser excluídos. Para excluir usuários, você deve excluir o diretório Just-in-Time.
Todo o gerenciamento de usuários é realizado por meio da resposta do provedor de identidade. Você não pode criar nem atualizar esses usuários diretamente no serviço. Os usuários Just-in-Time não podem ser sincronizados a partir do Active Directory ou de outros diretórios LDAP.