即时置备提供了另一种在 Workspace ONE Access 服务中置备用户的方法。通过即时置备,将会创建一些用户,并在用户通过 SAML SSO 或 OpenID Connect SSO 登录时动态更新这些用户,而不是从 Active Directory 或其他 LDAP 目录实例同步用户。

注: 此功能不适用于启用了 VMware Identity Services 的 Workspace ONE Access 租户。请参阅 使用 VMware Identity Services 配置用户置备和身份联合指南中的“不支持的 Workspace ONE 功能” 主题。
注: 只能为 Workspace ONE Access 云租户配置 OpenID Connect 身份提供程序。

在这种场景下,Workspace ONE Access 将充当服务提供程序 (SP)。

只能为第三方身份提供程序执行即时配置。该配置不适用于连接器。第三方身份提供程序将通过 SAML 断言或 OpenID Connect 声明来管理所有用户创建和管理操作。

即时目录

第三方身份提供程序必须在服务中有一个关联的即时目录。

为身份提供程序启用即时置备时,您需要创建一个即时目录,并为其指定一个或多个域。属于这些域的用户会被置备到该目录。如果为目录配置了多个域,则必须在配置中包含域属性。如果为目录配置了单个域,则不需要域属性,但如果指定了域属性,其值必须与域名相匹配。

只能将一个即时类型的目录与启用了即时置备的身份提供程序相关联。

用户创建和管理

如果启用了即时用户置备,则在用户转到 Workspace ONE Access 服务登录页面并选择域后,该页面会将用户重定向到正确的身份提供程序。在用户登录并进行身份验证后,身份提供程序会将用户重定向回 Workspace ONE Access 服务。置备用户所需的数据位于 SSO 响应中,并用于在 Workspace ONE Access 服务中创建用户。将仅使用 Workspace ONE Access 目录中映射的用户属性数据来置备用户。用户还会根据属性添加到相应的组,并获得为这些组设置的授权。

在后续登录中,如果用户数据发生了任何更改,也会在该服务中更新用户数据。

无法删除即时置备的用户。要删除这些用户,必须删除即时目录。

所有用户管理都是通过身份提供程序响应来处理的。您无法直接从服务中创建或更新这些用户。无法从 Active Directory 或其他 LDAP 目录同步即时用户。