Configuration requise de l'utilisation des assertions SAML pour le provisionnement juste-à-temps dans Workspace ONE Access

Lorsque le provisionnement d'utilisateurs juste-à-temps est activé pour un fournisseur d'identité tiers SAML, des utilisateurs sont créés ou mis à jour dans le service Workspace ONE Access lors de la connexion en fonction des assertions SAML. Les assertions SAML envoyées par le fournisseur d'identité doivent contenir certains attributs.

L'assertion SAML doit inclure l'attribut userName.
L'assertion SAML doit inclure tous les attributs utilisateur marqués comme requis sur la page Attributs utilisateur dans le service Workspace ONE Access.
Pour afficher ou modifier les attributs utilisateur dans la console Workspace ONE Access, dans l'onglet Gestion des identités et des accès, cliquez sur Configuration et sur Attributs utilisateur.

Important : Vérifiez que les clés dans l'assertion SAML correspondent exactement aux noms d'attribut, y compris la casse.
Si vous configurez plusieurs domaines pour le répertoire juste-à-temps, l'assertion SAML doit inclure l'attribut domain. La valeur de l'attribut doit correspondre à l'un des domaines configurés pour le répertoire. Si la valeur ne correspond pas ou si un domaine n'est pas spécifié, la connexion échoue.
Si vous configurez un seul domaine pour le répertoire juste-à-temps, la spécification de l'attribut domain dans l'assertion SAML est facultative.
Si vous spécifiez l'attribut domain, vérifiez que sa valeur correspond au domaine configuré pour l'annuaire. Si l'assertion SAML ne contient aucun attribut de domaine, l'utilisateur est associé au domaine configuré pour l'annuaire.
Si vous voulez mettre à jour des modifications du nom d'utilisateur, incluez l'attribut ExternalId dans l'assertion SAML. L'utilisateur est identifié par ExternalId. Si, lors d'une prochaine connexion, l'assertion SAML contient un nom d'utilisateur différent, l'utilisateur est toujours identifié correctement, la connexion réussit et le nom d'utilisateur est mis à jour dans le service Workspace ONE Access.

Les attributs de l'assertion SAML sont utilisés pour créer ou mettre à jour les utilisateurs comme suit.

Les attributs répertoriés comme obligatoires ou facultatifs sur la page Attributs utilisateur dans le service Workspace ONE Access sont utilisés.
Les attributs SAML qui ne correspondent à aucun attribut sur la page Attributs utilisateur sont ignorés.
Les attributs SAML sans valeur sont ignorés.