Wenn die Just-in-Time-Bereitstellung für einen OpenID Connect-Identitätsdrittanbieter aktiviert ist, werden Benutzer in Workspace ONE Access erstellt und dynamisch aktualisiert, wenn sie sich auf der Basis des vom Identitätsanbieter gesendeten Tokens anmelden.
Das OpenID Connect-Token muss die folgenden Attribute (Beanspruchungen) in der Antwort auf Workspace ONE Access enthalten.
- Domänenattribut. Wenn Sie mehrere Domänen für das Just-in-Time-Verzeichnis konfigurieren, muss das OpenID Connect-Token das Domänenattribut enthalten. Der Wert des Attributs muss einer für das Verzeichnis konfigurierten Domäne entsprechen. Ist dies nicht Fall oder wurde die Domäne nicht angegeben, kann keine Anmeldung durchgeführt werden.
- Das OpenID Connect-Token muss alle Attribute enthalten, die auf der Seite „Benutzerattribute“ im Workspace ONE Access-Dienst als erforderlich gekennzeichnet sind.
Um die Benutzerattribute in der Workspace ONE Access-Konsole anzuzeigen und zu bearbeiten, klicken Sie in der Registerkarte „Identitäts- und Zugriffsmanagement“ auf Einrichten und dann auf Benutzerattribute.
Die erforderlichen Attribute auf der Seite „Benutzerattribute“ werden in der OpenID Connect-Konfiguration unter „Benutzerattributzuordnungen“ konfiguriert. Nach erfolgreicher Authentifizierung werden Attribute des OpenID Connect-Geltungsbereich-ID-Tokens zum Erstellen oder Aktualisieren von Informationen eines JIT-Benutzers verwendet.
- Attribute, die in OpenID Connect-Identitätsanbieterkonfiguration unter „Benutzerattributzuordnungen“ konfiguriert wurden, werden verwendet.
- Attribute, die keinen Attributen auf der Seite „Benutzerattribute“ entsprechen, werden ignoriert.
- Auch Attribute ohne Wert werden ignoriert.