为第三方身份提供程序启用 Just-in-Time 用户置备后,系统会在用户登录期间,根据 SAML 断言在 VMware Identity Manager 服务中创建或更新用户。身份提供程序发送的 SAML 断言必须包含特定属性。

  • SAML 断言必须包含 userName 属性。

  • SAML 断言必须包含在 VMware Identity Manager 服务中标记为必需的所有用户属性。

    要在管理控制台中查看或编辑用户属性,请在身份和访问管理选项卡中,单击设置,然后单击用户属性

    重要:

    确保 SAML 断言中的键与属性名称完全匹配,包括大小写。

  • 如果要为 Just-in-Time 目录配置多个域,则 SAML 断言必须包含 domain 属性。该属性的值必须与为目录配置的其中一个域相匹配。如果值不匹配或未指定域,登录将会失败。

  • 如果要为 Just-in-Time 目录配置单个域,则在 SAML 断言中指定 domain 属性的操作是可选的。

    如果指定 domain 属性,请确保其值与为目录配置的域相匹配。如果 SAML 断言不包含域属性,则用户将会与为目录配置的域相关联。

  • 如果要允许更新用户名,请在 SAML 断言中包含 ExternalId 属性。用户通过 ExternalId 来识别。如果在后续登录中,SAML 断言包含不同的用户名,则用户仍可正确识别,登录也会成功,并且用户名会在 Identity Manager 服务中进行更新。

SAML 断言中的属性将用于创建或更新用户,具体使用情况如下所示。

  • 将使用在 Identity Manager 服务中属于必需或可选的属性(在“用户属性”页面中列出)。

  • 将忽略与“用户属性”页面中的任何属性都不匹配的属性。

  • 将忽略没有值的属性。