Requisitos para usar aserciones SAML para el aprovisionamiento Just-in-Time en Workspace ONE Access

Si el aprovisionamiento de usuarios Just-in-Time está habilitado para un proveedor de identidades externo de SAML, los usuarios se crean o actualizan en el servicio de Workspace ONE Access durante el inicio de sesión basándose en las aserciones SAML. Las aserciones SAML que envíe el proveedor de identidades deben contener ciertos atributos.

La aserción SAML debe incluir el atributo userName.
La aserción SAML debe incluir todos los atributos marcados como obligatorios en la página de atributos de usuario del servicio de Workspace ONE Access.
Puede ver los atributos de usuario en la página Configuración > Atributos de usuario de la consola de administración.

Importante: Asegúrese de que las claves de la aserción SAML coincidan exactamente con los nombres de atributo, incluyendo mayúsculas/minúsculas.
Si se configuran varios dominios para el directorio de Just-In-Time, la aserción SAML debe incluir el atributo domain. El valor del atributo debe coincidir con uno de los dominios configurados para el directorio. Si el valor no coincide o no se especifica un dominio, no se podrá iniciar la sesión.
Si se configura un solo dominio para el directorio Just-In-Time, la especificación del atributo domain en la aserción SAML es opcional.
Si especifica el atributo domain, asegúrese de que su valor coincida con el dominio configurado para el directorio. Si la aserción SAML no contiene ningún atributo de dominio, se asociará al usuario con el dominio que esté configurado para el directorio.
Si desea que se actualicen los cambios de nombres de usuario, incluya el atributo ExternalId en la aserción SAML. El usuario se identificará mediante ExternalId. Si en inicios de sesión posteriores la aserción SAML contiene un nombre de usuario diferente, se seguirá identificando correctamente al usuario, la sesión se iniciará correctamente y el nombre de usuario se actualizará en el servicio de Workspace ONE Access.

Los atributos de la aserción SAML se utilizan para crear o actualizar usuario como se indica a continuación.

Se utilizan los atributos que se incluyen como obligatorios u opcionales en la página de atributos de usuario del servicio de Workspace ONE Access.
Los atributos de SAML que no coinciden con ninguno de los atributos de la página de atributos de usuario se ignoran.
Los atributos de SAML sin ningún valor se ignoran.