关于 Just-in-Time 用户置备

Just-in-Time 置备提供了另一种在 VMware Identity Manager 服务中置备用户的方法。Just-in-Time 置备并不是从 Active Directory 实例同步用户，而是在用户登录时，根据由身份提供程序发送的 SAML 断言，动态创建和更新用户。

在这种情况下，VMware Identity Manager 充当 SAML 服务提供程序 (SP)。

只能为第三方身份提供程序执行 Just-in-Time 配置。该配置不适用于连接器。

对于 Just-in-Time 配置，您无需在本地安装连接器，因为所有用户创建和管理都通过 SAML 断言来处理，而身份验证则由第三方身份提供程序来处理。

用户创建和管理

如果启用了 Just-in-Time 用户置备，则在用户转到 VMware Identity Manager 服务登录页面并选择域后，该页面会将用户重定向到正确的身份提供程序。随后，用户登录、进行身份验证，并由身份提供程序根据 SAML 断言重定向回 VMware Identity Manager 服务。SAML 断言中的属性将用于在服务中创建用户。系统将只使用那些与服务中定义的用户属性相匹配的属性；其他属性将被忽略。用户还会根据属性添加到相应的组，并收到为这些组设置的授权。

在后续登录中，如果 SAML 断言发生任何更改，用户也会在服务中进行更新。

无法删除 Just-in-Time 置备的用户。要删除这些用户，必须删除 Just-in-Time 目录。

请注意，所有用户管理都是通过 SAML 断言来处理的。您无法直接从服务中创建或更新这些用户。Just-in-Time 用户无法从 Active Directory 进行同步。

有关 SAML 断言中必需属性的信息，请参阅SAML 断言要求。

Just-in-Time 目录

第三方身份提供程序必须在服务中有一个关联的 Just-in-Time 目录。

首次为身份提供程序启用 Just-in-Time 置备时，您需要创建一个新的 Just-in-Time 目录，并为其指定一个或多个域。属于这些域的用户会被置备到该目录。如果为目录配置了多个域，则 SAML 断言必须包含域属性。如果为目录配置了单个域，则 SAML 断言无需包含域属性，但如果指定了域属性，其值必须与域名相匹配。