Lorsque le provisionnement d'utilisateurs juste-à-temps est activé pour un fournisseur d'identité tiers, des utilisateurs sont créés ou mis à jour dans le service Workspace ONE Access lors de la connexion en fonction des assertions SAML. Les assertions SAML envoyées par le fournisseur d'identité doivent contenir certains attributs.
- L'assertion SAML doit inclure l'attribut
userName
. - L'assertion SAML doit inclure tous les attributs utilisateur qui sont marqués comme requis dans le service.
Pour afficher ou modifier les attributs utilisateur dans la console Workspace ONE Access, dans l'onglet Identité et gestion de l'accès, cliquez sur Configuration et sur Attributs utilisateur.
Important : Vérifiez que les clés dans l'assertion SAML correspondent exactement aux noms d'attribut, y compris la casse. - Si vous configurez plusieurs domaines pour le répertoire juste-à-temps, l'assertion SAML doit inclure l'attribut
domain
. La valeur de l'attribut doit correspondre à l'un des domaines configurés pour le répertoire. Si la valeur ne correspond pas ou si un domaine n'est pas spécifié, la connexion échoue. - Si vous configurez un seul domaine pour le répertoire juste-à-temps, la spécification de l'attribut
domain
dans l'assertion SAML est facultative.Si vous spécifiez l'attribut
domain
, vérifiez que sa valeur correspond au domaine configuré pour le répertoire. Si l'assertion SAML ne contient pas d'attribut de domaine, l'utilisateur est associé au domaine configuré pour le répertoire. - Si vous voulez autoriser les mises à jour des noms d'utilisateur, incluez l'attribut
ExternalId
dans l'assertion SAML. L'utilisateur est identifié parExternalId
. Si, lors d'une prochaine connexion, l'assertion SAML contient un nom d'utilisateur différent, l'utilisateur est toujours identifié correctement, la connexion réussit et le nom d'utilisateur est mis à jour dans le service Workspace ONE Access.
Les attributs de l'assertion SAML sont utilisés pour créer ou mettre à jour les utilisateurs comme suit.
- Les attributs obligatoires ou facultatifs dans le service Workspace ONE Access (tels que répertoriés sur la page Attributs utilisateur) sont utilisés.
- Les attributs qui ne correspondent à aucun attribut sur la page Attributs utilisateur sont ignorés.
- Les attributs sans valeur sont ignorés.