Anforderungen für die Verwendung von SAML-Assertionen für die Just-in-Time-Bereitstellung in Workspace ONE Access

Wenn die Just-in-Time-Benutzerbereitstellung für einen externen SAML-Identitätsanbieter aktiviert wurde, werden Benutzer im Workspace ONE Access-Dienst bei der Anmeldung auf der Basis von SAML-Assertionen erstellt oder aktualisiert. Die vom Identitätsanbieter gesendeten SAML-Assertionen müssen bestimmte Attribute enthalten.

Die SAML-Assertion muss das userName-Attribut enthalten.
Die SAML-Assertion muss alle Attribute enthalten, die auf der Seite „Benutzerattribute“ im Workspace ONE Access-Dienst als erforderlich gekennzeichnet sind.
Sie können die Benutzerattribute auf der Seite Einstellungen > Benutzerattribute der Verwaltungskonsole anzeigen.

Wichtig: Stellen Sie sicher, dass die Schlüssel in der SAML-Assertion exakt den Attributnamen entsprechen, inklusive Groß- und Kleinschreibung.
Wenn Sie mehrere Domänen für das Just-in-Time-Verzeichnis konfigurieren, muss die SAML-Assertion das Attribut domain enthalten. Der Wert des Attributs muss einer für das Verzeichnis konfigurierten Domäne entsprechen. Ist dies nicht Fall oder wurde die Domäne nicht angegeben, kann keine Anmeldung durchgeführt werden.
Wenn Sie eine einzelne Domäne für das Just-in-Time-Verzeichnis konfigurieren, ist die Angabe des domain-Attributs in der SAML-Assertion optional.
Wenn Sie das domain-Attribut festlegen, müssen Sie sicherstellen, dass dessen Wert der für das Verzeichnis konfigurierten Domäne entspricht. Enthält die SAML-Assertion kein Domänenattribut, wird der Benutzer der für das Verzeichnis konfigurierten Domäne zugeordnet.
Wenn Benutzernamensänderungen aktualisiert werden sollen, fügen Sie der SAML-Assertion das Attribut ExternalId hinzu. Der Benutzer wird durch die ExternalId identifiziert. Enthält die SAML-Assertion bei einer späteren Anmeldung einen anderen Benutzernamen, wird der Benutzer trotzdem korrekt identifiziert, die Anmeldung verläuft erfolgreich, und der Benutzername wird im Workspace ONE Access-Dienst aktualisiert.

Mit den Attributen der SAML-Assertion werden Benutzer wie nachfolgend dargestellt erstellt oder aktualisiert.

Attribute, die auf der Seite „Benutzerattribut“ im Workspace ONE Access-Dienst als erforderlich oder optional aufgelistet sind, werden verwendet.
SAML-Attribute, die keinen Attributen auf der Seite „Benutzerattribute“ entsprechen, werden ignoriert.
SAML-Attribute ohne Wert werden ignoriert.