Wenn die Just-in-Time-Benutzerbereitstellung für einen externen Identitätsanbieter aktiviert wurde, werden Benutzer im Workspace ONE Access-Dienst bei der Anmeldung auf der Basis von SAML-Assertionen erstellt oder aktualisiert. Die vom Identitätsanbieter gesendeten SAML-Assertionen müssen bestimmte Attribute enthalten.

  • Die SAML-Assertion muss das userName-Attribut enthalten.
  • Die SAML-Assertion muss alle Attribute enthalten, die im Dienst als erforderlich gekennzeichnet sind.

    Um die Benutzerattribute in der Workspace ONE Access-Konsole anzuzeigen und zu bearbeiten, klicken Sie auf der Registerkarte Identitäts- und Zugriffsmanagement auf Einrichten und dann auf Benutzerattribute.

    Wichtig: Stellen Sie sicher, dass die Schlüssel in der SAML-Assertion exakt den Attributnamen entsprechen, inklusive Groß- und Kleinschreibung.
  • Wenn Sie mehrere Domänen für das Just-in-Time-Verzeichnis konfigurieren, muss die SAML-Assertion das Attribut domain enthalten. Der Wert des Attributs muss einer für das Verzeichnis konfigurierten Domäne entsprechen. Ist dies nicht Fall oder wurde die Domäne nicht angegeben, kann keine Anmeldung durchgeführt werden.
  • Wenn Sie eine einzelne Domäne für das Just-in-Time-Verzeichnis konfigurieren, ist die Angabe des domain-Attributs in der SAML-Assertion optional.

    Wenn Sie das domain-Attribut festlegen, müssen Sie sicherstellen, dass dessen Wert der für das Verzeichnis konfigurierten Domäne entspricht. Enthält die SAML-Assertion kein Domänenattribut, wird der Benutzer der für das Verzeichnis konfigurierten Domäne zugeordnet

  • Wenn die Aktualisierung von Benutzernamen zulässig sein soll, fügen Sie der SAML-Assertion das Attribut ExternalId hinzu. Der Benutzer wird durch die ExternalId identifiziert. Enthält die SAML-Assertion bei einer späteren Anmeldung einen anderen Benutzernamen, wird der Benutzer trotzdem korrekt identifiziert, die Anmeldung verläuft erfolgreich und der Benutzername wird im Workspace ONE Access-Dienst aktualisiert.

Mit den Attributen der SAML-Assertion werden Benutzer wie nachfolgend dargestellt erstellt oder aktualisiert.

  • Es werden im Workspace ONE Access-Dienst erforderliche oder optionale Attribute (wie auf der Seite „Benutzerattribute“ aufgeführt) verwendet.
  • Attribute, die keinen Attributen auf der Seite „Benutzerattribute“ entsprechen, werden ignoriert.
  • Auch Attribute ohne Wert werden ignoriert.