Si el aprovisionamiento de usuarios Just-in-Time está habilitado para un proveedor de identidades externo, los usuarios se crean o actualizan en el servicio VMware Identity Manager durante el inicio de sesión basándose en las aserciones SAML. Las aserciones SAML que envíe el proveedor de identidades deben contener ciertos atributos.

  • La aserción SAML debe incluir el atributo userName.
  • La aserción SAML debe incluir todos los atributos de usuario marcados como requeridos en el servicio VMware Identity Manager.

    Para ver o editar los atributos de usuario en la consola de administración, en la pestaña Administración de acceso e identidad haga clic en Configuración y, a continuación, en Atributos de usuario.

    Importante: Asegúrese de que las claves de la aserción SAML coincidan exactamente con los nombres de atributo, incluyendo mayúsculas/minúsculas.
  • Si se configuran varios dominios para el directorio de Just-In-Time, la aserción SAML debe incluir el atributo domain. El valor del atributo debe coincidir con uno de los dominios configurados para el directorio. Si el valor no coincide o no se especifica un dominio, no se podrá iniciar la sesión.
  • Si se configura un solo dominio para el directorio Just-In-Time, la especificación del atributo domain en la aserción SAML es opcional.

    Si especifica el atributo domain, asegúrese de que su valor coincida con el dominio configurado para el directorio. Si la aserción SAML no contiene ningún atributo de dominio, se asociará al usuario con el dominio configurado para el directorio.

  • Si desea permitir la actualización de nombres de usuario, incluya el atributo ExternalId en la aserción SAML. El usuario se identificará mediante ExternalId. Si en inicios de sesión posteriores la aserción SAML contiene un nombre diferente, se seguirá identificando correctamente al usuario, la sesión se iniciará y el nombre de usuario se actualizará en el servicio Identity Manager.

Los atributos de la aserción SAML se utilizan para crear o actualizar usuario como se indica a continuación.

  • Se utilizan los atributos obligatorios u opcionales del servicio Identity Manager (como aparecen en la página de atributos de usuario).
  • Los atributos que no coinciden con ninguno de los atributos de la página de atributos de usuario se ignoran.
  • Los atributos sin ningún valor se ignoran.