Wenn die Just-in-Time-Benutzerbereitstellung für einen externen Identitätsanbieter aktiviert wurde, werden Benutzer im VMware Identity Manager-Dienst bei der Anmeldung auf der Basis von SAML-Assertionen erstellt oder aktualisiert. Die vom Identitätsanbieter gesendeten SAML-Assertionen müssen bestimmte Attribute enthalten.

  • Die SAML-Assertion muss das userName-Attribut enthalten.

  • Die SAML-Assertion muss alle Attribute enthalten, die im VMware Identity Manager-Dienst als erforderlich gekennzeichnet sind.

    Um die Benutzerattribute in der Verwaltungskonsole anzuzeigen und zu bearbeiten, klicken Sie in der Registerkarte Identitäts- und Zugriffsmanagement auf Einrichten und dann auf Benutzerattribute.

    Wichtig:

    Stellen Sie sicher, dass die Schlüssel in der SAML-Assertion exakt den Attributnamen entsprechen, inklusive Groß- und Kleinschreibung.

  • Wenn Sie mehrere Domänen für das Just-in-Time-Verzeichnis konfigurieren, muss die SAML-Assertion das Attribut domain enthalten. Der Wert des Attributs muss einer für das Verzeichnis konfigurierten Domäne entsprechen. Ist dies nicht Fall oder wurde die Domäne nicht angegeben, kann keine Anmeldung durchgeführt werden.

  • Wenn Sie eine einzelne Domäne für das Just-in-Time-Verzeichnis konfigurieren, ist die Angabe des domain-Attributs in der SAML-Assertion optional.

    Wenn Sie das domain-Attribut festlegen, müssen Sie sicherstellen, dass dessen Wert der für das Verzeichnis konfigurierten Domäne entspricht. Enthält die SAML-Assertion kein Domänenattribut, wird der Benutzer der für das Verzeichnis konfigurierten Domäne zugeordnet

  • Wenn die Aktualisierung von Benutzernamen zulässig sein soll, fügen Sie der SAML-Assertion das Attribut ExternalId hinzu. Der Benutzer wird durch die ExternalId identifiziert. Enthält die SAML-Assertion bei einer späteren Anmeldung einen anderen Benutzernamen, wird der Benutzer trotzdem korrekt identifiziert, die Anmeldung ist erfolgreich und der Benutzername wird im Identity Manager-Dienst aktualisiert.

Mit den Attributen der SAML-Assertion werden Benutzer wie nachfolgend dargestellt erstellt oder aktualisiert.

  • Es werden im Identity Manager-Dienst erforderliche oder optionale Attribute (wie auf der Seite „Benutzerattribute“ aufgeführt) verwendet.

  • Attribute, die keinen Attributen auf der Seite „Benutzerattribute“ entsprechen, werden ignoriert.

  • Auch Attribute ohne Wert werden ignoriert.