Le provisionnement juste-à-temps représente un autre moyen de provisionner des utilisateurs dans le service VMware Identity Manager. Au lieu de synchroniser des utilisateurs à partir d'une instance Active Directory, avec le provisionnement juste-à-temps, les utilisateurs sont créés et mis à jour de façon dynamique lorsqu'ils se connectent, en fonction des assertions SAML envoyées par le fournisseur d'identité.
Dans ce scénario, VMware Identity Manager agit en tant que fournisseur de service SAML.
La configuration juste-à-temps ne peut être configurée que pour des fournisseurs d'identité tiers. Elle n'est pas disponible pour le connecteur.
Avec une configuration juste-à-temps, vous n'avez pas besoin d'installer un connecteur sur site car la création et la gestion de tous les utilisateurs sont gérées via des assertions SAML et l'authentification est gérée par le fournisseur d'identité tiers.
Création et gestion d'utilisateurs
Si le provisionnement d'utilisateurs juste-à-temps est activé, lorsqu'un utilisateur accède à la page de connexion du service VMware Identity Manager et sélectionne un domaine, la page le redirige vers le bon fournisseur d'identité. L'utilisateur se connecte, est authentifié, puis redirigé par le fournisseur d'identité vers le service VMware Identity Manager avec une assertion SAML. Les attributs dans l'assertion SAML sont utilisés pour créer l'utilisateur dans le service. Seuls les attributs qui correspondent aux attributs utilisateur définis dans le service sont utilisés ; les autres attributs sont ignorés. L'utilisateur est également ajouté à des groupes en fonction des attributs, et il reçoit les droits définis pour ces groupes.
Lors des connexions suivantes, si des modifications sont apportées à l'assertion SAML, l'utilisateur est mis à jour dans le service.
Il n'est pas possible de supprimer les utilisateurs provisionnés juste-à-temps. Pour supprimer des utilisateurs, vous devez supprimer le répertoire juste-à-temps.
Notez que la gestion de tous les utilisateurs est gérée via des assertions SAML. Vous ne pouvez pas créer ou mettre à jour ces utilisateurs directement à partir du service. Les utilisateurs juste-à-temps ne peuvent pas être synchronisés depuis Active Directory.
Pour plus d'informations sur les attributs requis dans l'assertion SAML, voir Exigences des assertions SAML.
Répertoire juste-à-temps
Le fournisseur d'identité tiers doit être associé à un répertoire juste-à-temps dans le service.
La première fois que vous activez le provisionnement juste-à-temps pour un fournisseur d'identité, vous créez un répertoire juste-à-temps et lui spécifiez un ou plusieurs domaines. Les utilisateurs appartenant à ces domaines sont provisionnés vers le répertoire. Si plusieurs domaines sont configurés pour le répertoire, les assertions SAML doivent inclure un attribut de domaine. Si un seul domaine est configuré pour le répertoire, un attribut de domaine n'est pas requis dans les assertions SAML mais, s'il est spécifié, cette valeur doit correspondre au nom de domaine.
Un seul répertoire, de type juste-à-temps, peut être associé à un fournisseur d'identité sur lequel le provisionnement juste-à-temps est activé.