Die Just-in-Time-Bereitstellung stellt eine weitere Möglichkeit zur Bereitstellung von Benutzern im VMware Identity Manager-Dienst dar. Anstelle der Synchronisierung von Benutzern aus einer Active Directory-Instanz werden mit der Just-in-Time-Bereitstellung Benutzer bei der Anmeldung dynamisch auf der Basis der vom Identitätsanbieter übergebenen SAML-Assertionen erstellt und aktualisiert.

In diesem Fall fungiert VMware Identity Manager als SAML-Dienstanbieter (SP, Service Provider).

Die Just-in-Time-Konfiguration kann nur für externe Identitätsanbieter durchgeführt werden. Sie ist nicht für den Connector verfügbar.

Mit einer Just-in-Time-Konfiguration müssen Sie lokal keinen Connector installieren, da die gesamte Benutzererstellung und -verwaltung über SAML-Assertionen und die Authentifizierung durch den externen Identitätsanbieter erfolgt.

Benutzererstellung und -verwaltung

Wenn bei aktivierter Just-in-Time-Benutzerbereitstellung ein Benutzer die Anmeldeseite des VMware Identity Manager-Dienstes aufruft und eine Domäne auswählt, wird der Benutzer zum entsprechenden Identitätsanbieter weitergeleitet. Der Benutzer meldet sich an, wird authentifiziert und vom Identitätsanbieter mit einer SAML-Assertion zum VMware Identity Manager-Dienst umgeleitet. Mit den Attributen in der SAML-Assertion wird der Benutzer im Dienst erstellt. Es werden nur jene Attribute verwendet, die den im Dienst definierten Attributen entsprechen. Alle anderen Attribute werden ignoriert. Der Benutzer wird auf der Basis der Attribute auch Gruppen hinzugefügt und er erhält die Berechtigungen, die für diese Gruppen festgelegt wurden.

Bei den nachfolgenden Anmeldungen wird der Benutzer dann bei Änderungen in der SAML-Assertion im Dienst aktualisiert.

Just-in-Time-bereitgestellte Benutzer können nicht gelöscht werden. Um Benutzer zu löschen, müssen Sie das Just-in-Time-Verzeichnis entfernen.

Beachten Sie, dass die gesamte Benutzerverwaltung über SAML-Assertionen durchgeführt wird. Diese Benutzer lassen sich nicht direkt im Dienst erstellen oder aktualisieren. Just-in-Time-Benutzer können nicht aus Active Directory synchronisiert werden.

Erläuterungen zu den für die SAML-Assertion erforderlichen Attributen finden Sie unter Anforderungen für SAML-Assertionen.

Just-in-Time-Verzeichnis

Dem externen Identitätsanbieter muss ein Just-in-Time-Verzeichnis im Dienst zugeordnet sein.

Bei der ersten Aktivierung der Just-in-Time-Bereitstellung für einen Identitätsanbieter erstellen Sie ein neues Just-in-Time-Verzeichnis und geben eine oder mehrere Domänen dafür an. Die Benutzer dieser Domänen werden für das Verzeichnis bereitgestellt. Wenn mehrere Domänen für das Verzeichnis konfiguriert wurden, müssen die SAML-Assertions ein Domänenattribut enthalten. Wenn nur eine Domäne für das Verzeichnis konfiguriert wurde, ist kein Domänenattribut in den SAML-Assertions erforderlich. Wenn es dennoch angegeben wird, muss es dem Domänennamen entsprechen.

Es kann einem Identitätsanbieter mit aktivierter Just-in-Time-Benutzerbereitstellung nur ein Verzeichnis vom Typ „Just-in-Time“ zugeordnet werden.