为 OpenID Connect 第三方身份提供程序启用即时置备后,将在 Workspace ONE Access 中创建一些用户,并在他们登录时根据身份提供程序所发送的令牌动态更新这些用户。
OpenID Connect 令牌必须在对 Workspace ONE Access 的响应中包含以下属性(声明)。
- 域属性。如果要为即时目录配置多个域,则 OpenID Connect 令牌必须包含域属性。该属性的值必须与为目录配置的其中一个域相匹配。如果值不匹配或未指定域,登录将会失败。
- OpenID Connect 令牌必须包含已在 Workspace ONE Access 服务的“用户属性”页面中标记为“必需”的所有属性。
要在 Workspace ONE Access 控制台中查看或编辑用户属性,请在“身份和访问管理”选项卡中,单击设置,然后单击用户属性。
“用户属性”页面中的必需属性是在“用户属性映射”下的 OpenID Connect 配置中配置的。成功完成身份验证后,将使用 OpenID Connect 范围 ID 令牌中的属性来创建或更新 JIT 用户的信息。
- 将使用在“用户属性映射”下的 OpenID Connect 身份提供程序配置中配置的属性。
- 将忽略与“用户属性”页面中的任何属性都不匹配的属性。
- 将忽略没有值的属性。