为 SAML 第三方身份提供程序启用即时用户置备后,系统会在用户登录期间,根据 SAML 断言在 Workspace ONE Access 服务中创建或更新用户。身份提供程序发送的 SAML 断言必须包含特定属性。

  • SAML 断言必须包含 userName 属性。
  • SAML 断言必须包含已在 Workspace ONE Access 服务的“用户属性”页面中标记为“必需”的所有属性。

    您可以在管理控制台的设置 > 用户属性页面中查看用户属性。

    重要说明: 确保 SAML 断言中的键与属性名称完全匹配,包括大小写。
  • 如果要为即时目录配置多个域,则 SAML 断言必须包含 domain 属性。该属性的值必须与为目录配置的其中一个域相匹配。如果值不匹配或未指定域,登录将会失败。
  • 如果要为即时目录配置单个域,则在 SAML 断言中指定 domain 属性的操作是可选的。

    如果指定 domain 属性,请确保其值与为目录配置的域相匹配。如果 SAML 断言不包含域属性,则用户将会与为目录配置的域相关联。

  • 如果要更新用户名变更,请在 SAML 断言中包含 ExternalId 属性。用户通过 ExternalId 来识别。如果在后续登录中 SAML 断言包含不同的用户名,则仍可以正确识别用户,登录也会成功,并且会在 Workspace ONE Access 服务中更新用户名。

SAML 断言中的属性将用于创建或更新用户,具体使用情况如下所示。

  • 将使用在 Workspace ONE Access 服务的“用户属性”页面中列为“必需”或“可选”的属性。
  • 将忽略与“用户属性”页面中的任何属性都不匹配的 SAML 属性。
  • 将忽略没有值的 SAML 属性。