Cuando se habilita el aprovisionamiento Just-in-Time para un proveedor de identidades externo de OpenID Connect, se crean usuarios en Workspace ONE Access y se actualizan de forma dinámica cuando inician sesión, según el token que envía el proveedor de identidades.
El token de OpenID Connect debe incluir los siguientes atributos (notificaciones) en la respuesta a Workspace ONE Access.
- Atributo de dominio. Si se configuran varios dominios para el directorio de Just-in-Time, el token de OpenID Connect debe incluir el atributo de dominio. El valor del atributo debe coincidir con uno de los dominios configurados para el directorio. Si el valor no coincide o no se especifica un dominio, no se podrá iniciar la sesión.
- El token de OpenID Connect debe incluir todos los atributos marcados como obligatorios en la página de atributos de usuario del servicio de Workspace ONE Access.
Para ver o editar los atributos de usuario en la consola de Workspace ONE Access, en la pestaña Administración de acceso e identidad, haga clic en Configuración y, a continuación, en Atributos de usuario.
Los atributos obligatorios de la página de atributos de usuario se configuran en la sección de asignación de atributos de usuario de la configuración de OpenID Connect. Una vez que la autenticación se realiza correctamente, se utilizan los atributos del token de identificador de ámbito de OpenID Connect para crear o actualizar la información de un usuario JIT.
- Se utilizan los atributos que están configurados en la sección de asignación de atributos de usuario de la configuración del proveedor de identidades de OpenID Connect.
- Los atributos que no coinciden con ninguno de los atributos de la página de atributos de usuario se ignoran.
- Los atributos sin ningún valor se ignoran.