El aprovisionamiento Just-in-Time es otra manera de aprovisionar usuarios en el servicio Workspace ONE Access. En lugar de sincronizar los usuarios desde una instancia de Active Directory u otra instancia de directorio LDAP, los usuarios con aprovisionamiento Just-in-Time se crean y se actualizan de forma dinámica cuando inician sesión a través de SSO SAML o SSO OpenID Connect.
En este caso, Workspace ONE Access actúa como proveedor del servicio (SP).
La configuración Just-in-Time solo se puede configurar para otros proveedores de identidades. No está disponible para el conector. El proveedor de identidades externo administra la creación y la administración de todos los usuarios a través de aserciones SAML o notificaciones de OpenID Connect.
Directorio Just-in-Time
El otro proveedor de identidades debe tener un directorio Just-in-Time asociado a él en el servicio.
Al habilitar el aprovisionamiento Just-in-Time para un proveedor de identidades, se debe crear un directorio Just-in-Time y especificar uno o varios dominios para este directorio. Los usuarios que pertenecen a estos dominios se aprovisionan al directorio. Si se configuran varios dominios para el directorio, se debe incluir un atributo de dominio en la configuración. Si solo se configura un dominio para el directorio, no se necesita ningún atributo de dominio, pero, si se especifica, su valor debe coincidir con el nombre del dominio.
Solo se puede asociar un directorio de tipo Just-in-Time a un proveedor de identidades que tenga habilitado el aprovisionamiento Just-in-Time.
Creación y administración de usuarios
Si el aprovisionamiento de usuarios Just-in-Time está habilitado, cuando un usuario accede a la página de inicio de sesión del servicio Workspace ONE Access y selecciona un dominio, la página redirige al usuario al proveedor de identidades correcto. El usuario inicia sesión, se autentica y el proveedor de identidades redirige de nuevo al usuario al servicio Workspace ONE Access. Los datos necesarios para aprovisionar al usuario se encuentran en la respuesta SSO y se utilizan para crear el usuario en el servicio Workspace ONE Access. Solo se utilizan los datos de los atributos de usuario que están asignados en el directorio de Workspace ONE Access para aprovisionar al usuario. El usuario también se agrega a grupos en función de los atributos y recibe las autorizaciones establecidas para esos grupos.
En los inicios de sesión posteriores, si se produce algún cambio en los datos de usuario, estos se actualizarán en el servicio.
Los usuarios aprovisionados por Just-in-Time no se pueden eliminar. Para eliminar usuarios, se debe eliminar el directorio Just-in-Time.
Toda la administración de usuarios se controla a través de la respuesta del proveedor de identidades. No se pueden crear ni actualizar estos usuarios directamente desde el servicio. Los usuarios Just-in-Time no se pueden sincronizar desde Active Directory u otros directorios LDAP.