El aprovisionamiento Just-in-Time es otra manera de aprovisionar usuarios en el servicio Workspace ONE Access. En lugar de sincronizar usuarios de una instancia de Active Directory, con el aprovisionamiento Just-in-Time los usuarios se crean y actualizan dinámicamente al iniciar la sesión, de acuerdo con las aserciones SAML enviadas por el proveedor de identidades.

En este caso, Workspace ONE Access actúa como proveedor del servicio (SP) SAML.

La configuración Just-in-Time solo se puede configurar para otros proveedores de identidades. No está disponible para el conector.

Con la configuración Just-in-Time no es necesario instalar un conector, ya que todas las tareas de creación y administración de usuarios se realizan mediante aserciones SAML y la autenticación mediante el otro proveedor de identidades.

Creación y administración de usuarios

Si el aprovisionamiento de usuarios Just-in-Time está habilitado, cuando un usuario accede a la página de inicio de sesión del servicio Workspace ONE Access y selecciona un dominio, la página redirige al usuario al proveedor de identidades correcto. El usuario inicia la sesión y el proveedor de identidades le autentica y le redirige de nuevo al servicio Workspace ONE Access con una aserción SAML. Los atributos de la aserción SAML se utilizan para crear al usuario en el servicio. Solo se utilizan los atributos que coincidan con los atributos de usuario definidos en el servicio; los demás atributos se ignoran. El usuario también se agrega a grupos en función de los atributos y recibe las autorizaciones establecidas para esos grupos.

En inicios de sesión posteriores, si se produce algún cambio en la aserción SAML, se actualizará al usuario en el servicio.

Los usuarios aprovisionados por Just-in-Time no se pueden eliminar. Para eliminar usuarios, se debe eliminar el directorio Just-in-Time.

Tenga en cuenta que toda la administración de usuarios se realiza mediante aserciones SAML. No se pueden crear ni actualizar estos usuarios directamente desde el servicio. Los usuarios de Just-in-Time no se pueden sincronizar desde Active Directory.

Para obtener información sobre los atributos requeridos en la aserción SAML, consulte Requisitos para las aserciones SAML

Directorio Just-in-Time

El otro proveedor de identidades debe tener un directorio Just-in-Time asociado a él en el servicio.

Al habilitar el aprovisionamiento Just-in-Time para un proveedor de identidades, se debe crear un nuevo directorio Just-in-Time y especificar uno o más dominios para este directorio. Los usuarios que pertenecen a estos dominios se aprovisionan al directorio. Si hay varios dominios configurados para el directorio, las aserciones SAML deben incluir un atributo de dominio. Si solo se configura un dominio para el directorio, no se necesita ningún atributo de dominio en las aserciones SAML, pero si se especifica su valor debe coincidir con el nombre del dominio.

Solo se puede asociar un directorio de tipo Just-in-Time a un proveedor de identidades que tenga habilitado el aprovisionamiento Just-in-Time.