Wenn die Just-in-Time-Benutzerbereitstellung für einen externen SAML-Identitätsanbieter aktiviert wurde, werden Benutzer im Workspace ONE Access-Dienst bei der Anmeldung auf der Basis von SAML-Assertionen erstellt oder aktualisiert. Die vom Identitätsanbieter gesendeten SAML-Assertionen müssen bestimmte Attribute enthalten.
- Die SAML-Assertion muss das
userName
-Attribut enthalten. - Die SAML-Assertion muss alle Attribute enthalten, die auf der Seite „Benutzerattribute“ im Workspace ONE Access-Dienst als erforderlich gekennzeichnet sind.
Um die Benutzerattribute in der Workspace ONE Access-Konsole anzuzeigen und zu bearbeiten, klicken Sie auf der Registerkarte Identitäts- und Zugriffsmanagement auf Einrichten und dann auf Benutzerattribute.
Wichtig: Stellen Sie sicher, dass die Schlüssel in der SAML-Assertion exakt den Attributnamen entsprechen, inklusive Groß- und Kleinschreibung. - Wenn Sie mehrere Domänen für das Just-in-Time-Verzeichnis konfigurieren, muss die SAML-Assertion das Attribut
domain
enthalten. Der Wert des Attributs muss einer für das Verzeichnis konfigurierten Domäne entsprechen. Ist dies nicht Fall oder wurde die Domäne nicht angegeben, kann keine Anmeldung durchgeführt werden. - Wenn Sie eine einzelne Domäne für das Just-in-Time-Verzeichnis konfigurieren, ist die Angabe des
domain
-Attributs in der SAML-Assertion optional.Wenn Sie das
domain
-Attribut festlegen, müssen Sie sicherstellen, dass dessen Wert der für das Verzeichnis konfigurierten Domäne entspricht. Enthält die SAML-Assertion kein Domänenattribut, wird der Benutzer der für das Verzeichnis konfigurierten Domäne zugeordnet. - Wenn Benutzernamensänderungen aktualisiert werden sollen, fügen Sie der SAML-Assertion das Attribut
ExternalId
hinzu. Der Benutzer wird durch dieExternalId
identifiziert. Enthält die SAML-Assertion bei einer späteren Anmeldung einen anderen Benutzernamen, wird der Benutzer trotzdem korrekt identifiziert, die Anmeldung verläuft erfolgreich, und der Benutzername wird im Workspace ONE Access-Dienst aktualisiert.
Mit den Attributen der SAML-Assertion werden Benutzer wie nachfolgend dargestellt erstellt oder aktualisiert.
- Attribute, die auf der Seite „Benutzerattribut“ im Workspace ONE Access-Dienst als erforderlich oder optional aufgelistet sind, werden verwendet.
- SAML-Attribute, die keinen Attributen auf der Seite „Benutzerattribute“ entsprechen, werden ignoriert.
- SAML-Attribute ohne Wert werden ignoriert.