Quando o provisionamento de usuários Just-in-Time está ativado para um provedor de identidade de terceiros, os usuários são criados ou atualizados no serviço do VMware Identity Manager durante o login baseado em asserções SAML. As asserções SAML enviadas pelo provedor de identidade devem conter determinados atributos.

  • A asserção SAML deve incluir o atributo userName.
  • A asserção SAML deve incluir todos os atributos de usuário marcados como necessários no serviço do VMware Identity Manager.

    Para exibir ou editar os atributos de usuário no console de administração, na guia Gerenciamento de Identidade e Acesso, clique em Instalar e em Atributos de Usuário.

    Importante: Certifique-se de que as chaves na asserção SAML coincidem exatamente com os nomes de atributo, incluindo as letras maiúsculas e minúsculas.
  • Se você estiver configurando vários domínios para o diretório Just-in-Time, a asserção SAML deverá incluir o atributo domain. O valor do atributo deve corresponder a um dos domínios configurados para o diretório. Se o valor não corresponder ou um domínio não estiver especificado, o login falhará.
  • Se você estiver configurando um único domínio para o diretório Just-in-Time, a especificação do atributo domain na asserção SAML será opcional.

    Se você especificar o atributo domain, verifique se o respectivo valor corresponde ao domínio configurado para o diretório. Se a asserção SAML não contiver um atributo de domínio, o usuário será associado ao domínio configurado para o diretório

  • Se você desejar permitir atualizações de nome de usuário, inclua o atributo ExternalId na asserção SAML. O usuário é identificado pelo ExternalId. Se, em um login subsequente, a asserção SAML contiver um nome de usuário diferente, o usuário ainda será identificada corretamente, o login será bem sucedido e o nome de usuário será atualizado no serviço do Identity Manager.

Os atributos da asserção SAML são usados para criar ou atualizar os usuários desta forma.

  • Os atributos que são necessários ou opcionais no serviço do Identity Manager (conforme listado na página Atributos de Usuário) são usados.
  • Os atributos que não correspondem a nenhum dos atributos na página Atributos de Usuário são ignorados.
  • Os atributos sem valor são ignorados.