为 SAML 第三方身份提供程序启用即时用户置备后,系统会在用户登录期间,根据 SAML 断言在 Workspace ONE Access 服务中创建或更新用户。身份提供程序发送的 SAML 断言必须包含特定属性。
- SAML 断言必须包含
userName
属性。 - SAML 断言必须包含已在 Workspace ONE Access 服务的“用户属性”页面中标记为“必需”的所有属性。
您可以在管理控制台的
页面中查看用户属性。重要说明: 确保 SAML 断言中的键与属性名称完全匹配,包括大小写。 - 如果要为即时目录配置多个域,则 SAML 断言必须包含
domain
属性。该属性的值必须与为目录配置的其中一个域相匹配。如果值不匹配或未指定域,登录将会失败。 - 如果要为即时目录配置单个域,则在 SAML 断言中指定
domain
属性的操作是可选的。如果指定
domain
属性,请确保其值与为目录配置的域相匹配。如果 SAML 断言不包含域属性,则用户将会与为目录配置的域相关联。 - 如果要更新用户名变更,请在 SAML 断言中包含
ExternalId
属性。用户通过ExternalId
来识别。如果在后续登录中 SAML 断言包含不同的用户名,则仍可以正确识别用户,登录也会成功,并且会在 Workspace ONE Access 服务中更新用户名。
SAML 断言中的属性将用于创建或更新用户,具体使用情况如下所示。
- 将使用在 Workspace ONE Access 服务的“用户属性”页面中列为“必需”或“可选”的属性。
- 将忽略与“用户属性”页面中的任何属性都不匹配的 SAML 属性。
- 将忽略没有值的 SAML 属性。