Die Just-in-Time-Bereitstellung stellt eine weitere Möglichkeit zur Bereitstellung von Benutzern im Workspace ONE Access-Dienst dar. Anstatt Benutzer von einem Active Directory oder einer anderen LDAP-Verzeichnisinstanz zu synchronisieren, werden Benutzer mit Just-in-Time-Bereitstellung dynamisch erstellt und aktualisiert, wenn sie sich über SAML SSO oder OpenID Connect SSO anmelden.
In diesem Szenario fungiert Workspace ONE Access als Dienstanbieter (SP, Service Provider).
Die Just-in-Time-Konfiguration kann nur für externe Identitätsanbieter durchgeführt werden. Sie ist nicht für den Connector verfügbar. Der externe Identitätsanbieter verwaltet die gesamte Benutzererstellung und -verwaltung entweder über SAML-Assertionen oder OpenID Connect-Anforderungen.
Just-in-Time-Verzeichnis
Dem externen Identitätsanbieter muss ein Just-in-Time-Verzeichnis im Dienst zugeordnet sein.
Bei der Aktivierung der Just-in-Time-Bereitstellung für einen Identitätsanbieter erstellen Sie ein Just-in-Time-Verzeichnis und geben eine oder mehrere Domänen dafür an. Die Benutzer dieser Domänen werden für das Verzeichnis bereitgestellt. Wenn mehrere Domänen für das Verzeichnis konfiguriert sind, muss ein Domänenattribut in der-Konfiguration enthalten sein. Wenn nur eine Domäne für das Verzeichnis konfiguriert wurde, ist kein Domänenattribut erforderlich. Wenn es dennoch angegeben wird, muss es dem Domänennamen entsprechen.
Es kann einem Identitätsanbieter mit aktivierter Just-in-Time-Benutzerbereitstellung nur ein Verzeichnis vom Typ „Just-in-Time“ zugeordnet werden.
Benutzererstellung und -verwaltung
Wenn bei aktivierter Just-in-Time-Benutzerbereitstellung ein Benutzer die Anmeldeseite des Workspace ONE Access-Diensts aufruft und eine Domäne auswählt, wird der Benutzer an den entsprechenden Identitätsanbieter weitergeleitet. Der Benutzer meldet sich an und wird authentifiziert, und der Identitätsanbieter leitet den Benutzer wieder an den Workspace ONE Access-Dienst weiter. Die für die Bereitstellung des Benutzers benötigten Daten befinden sich in der SSO-Antwort und werden verwendet, um den Benutzer im Workspace ONE Access-Dienst zu erstellen. Nur die Daten für die Benutzerattribute, die im Workspace ONE Access-Verzeichnis zugeordnet sind, werden zur Bereitstellung des Benutzers verwendet. Der Benutzer wird auf der Basis der Attribute auch Gruppen hinzugefügt und erhält die Berechtigungen, die für diese Gruppen festgelegt wurden.
Bei den nachfolgenden Anmeldungen werden die Benutzerdaten, wenn sie geändert wurden, im Dienst aktualisiert.
Just-in-Time-bereitgestellte Benutzer können nicht gelöscht werden. Um Benutzer zu löschen, müssen Sie das Just-in-Time-Verzeichnis entfernen.
Das gesamte Benutzermanagement wird über die Identitätsanbieterantwort abgewickelt. Diese Benutzer lassen sich nicht direkt im Dienst erstellen oder aktualisieren. Just-in-Time-Benutzer können nicht aus Active Directory oder anderen LDAP-Verzeichnissen synchronisiert werden.