Lorsque le provisionnement d'utilisateurs juste-à-temps est activé pour un fournisseur d'identité tiers, des utilisateurs sont créés ou mis à jour dans le service VMware Identity Manager lors de la connexion en fonction des assertions SAML. Les assertions SAML envoyées par le fournisseur d'identité doivent contenir certains attributs.

  • L'assertion SAML doit inclure l'attribut userName.
  • L'assertion SAML doit inclure tous les attributs utilisateur qui sont marqués comme requis dans le service VMware Identity Manager.

    Pour voir ou modifier les attributs utilisateur dans la console d'administration, dans l'onglet Identité et gestion de l'accès, cliquez sur Configuration et sur Attributs utilisateur.

    Important : Vérifiez que les clés dans l'assertion SAML correspondent exactement aux noms d'attribut, y compris la casse.
  • Si vous configurez plusieurs domaines pour le répertoire juste-à-temps, l'assertion SAML doit inclure l'attribut domain. La valeur de l'attribut doit correspondre à l'un des domaines configurés pour le répertoire. Si la valeur ne correspond pas ou si un domaine n'est pas spécifié, la connexion échoue.
  • Si vous configurez un seul domaine pour le répertoire juste-à-temps, la spécification de l'attribut domain dans l'assertion SAML est facultative.

    Si vous spécifiez l'attribut domain, vérifiez que sa valeur correspond au domaine configuré pour le répertoire. Si l'assertion SAML ne contient pas d'attribut de domaine, l'utilisateur est associé au domaine configuré pour le répertoire.

  • Si vous voulez autoriser les mises à jour des noms d'utilisateur, incluez l'attribut ExternalId dans l'assertion SAML. L'utilisateur est identifié par ExternalId. Si, lors d'une prochaine connexion, l'assertion SAML contient un nom d'utilisateur différent, l'utilisateur est toujours identifié correctement, la connexion réussit et le nom d'utilisateur est mis à jour dans le service Identity Manager.

Les attributs de l'assertion SAML sont utilisés pour créer ou mettre à jour les utilisateurs comme suit.

  • Les attributs obligatoires ou facultatifs dans le service Identity Manager (tels que répertoriés sur la page Attributs utilisateur) sont utilisés.
  • Les attributs qui ne correspondent à aucun attribut sur la page Attributs utilisateur sont ignorés.
  • Les attributs sans valeur sont ignorés.