Si el aprovisionamiento de usuarios Just-in-Time está habilitado para un proveedor de identidades externo de SAML, los usuarios se crean o actualizan en el servicio de Workspace ONE Access durante el inicio de sesión basándose en las aserciones SAML. Las aserciones SAML que envíe el proveedor de identidades deben contener ciertos atributos.
- La aserción SAML debe incluir el atributo
userName
. - La aserción SAML debe incluir todos los atributos marcados como obligatorios en la página de atributos de usuario del servicio de Workspace ONE Access.
Puede ver los atributos de usuario en la página
de la consola de administración.Importante: Asegúrese de que las claves de la aserción SAML coincidan exactamente con los nombres de atributo, incluyendo mayúsculas/minúsculas. - Si se configuran varios dominios para el directorio de Just-In-Time, la aserción SAML debe incluir el atributo
domain
. El valor del atributo debe coincidir con uno de los dominios configurados para el directorio. Si el valor no coincide o no se especifica un dominio, no se podrá iniciar la sesión. - Si se configura un solo dominio para el directorio Just-In-Time, la especificación del atributo
domain
en la aserción SAML es opcional.Si especifica el atributo
domain
, asegúrese de que su valor coincida con el dominio configurado para el directorio. Si la aserción SAML no contiene ningún atributo de dominio, se asociará al usuario con el dominio que esté configurado para el directorio. - Si desea que se actualicen los cambios de nombres de usuario, incluya el atributo
ExternalId
en la aserción SAML. El usuario se identificará medianteExternalId
. Si en inicios de sesión posteriores la aserción SAML contiene un nombre de usuario diferente, se seguirá identificando correctamente al usuario, la sesión se iniciará correctamente y el nombre de usuario se actualizará en el servicio de Workspace ONE Access.
Los atributos de la aserción SAML se utilizan para crear o actualizar usuario como se indica a continuación.
- Se utilizan los atributos que se incluyen como obligatorios u opcionales en la página de atributos de usuario del servicio de Workspace ONE Access.
- Los atributos de SAML que no coinciden con ninguno de los atributos de la página de atributos de usuario se ignoran.
- Los atributos de SAML sin ningún valor se ignoran.