Le provisionnement juste-à-temps représente un autre moyen de provisionner des utilisateurs dans le service Workspace ONE Access. Au lieu de synchroniser des utilisateurs à partir d'un annuaire Active Directory ou d'une autre instance d'annuaire LDAP, avec un provisionnement juste-à-temps, les utilisateurs sont créés et mis à jour dynamiquement lorsqu'ils se connectent via SSO SAML ou SSO OpenID Connect.
Dans ce scénario, Workspace ONE Access fait office de fournisseur de services (SP).
La configuration juste-à-temps ne peut être configurée que pour des fournisseurs d'identité tiers. Elle n'est pas disponible pour le connecteur. Le fournisseur d'identité tiers gère toute la création et la gestion des utilisateurs via des assertions SAML ou des réclamations d'OpenID Connect.
Répertoire juste-à-temps
Le fournisseur d'identité tiers doit être associé à un répertoire juste-à-temps dans le service.
L'activation du provisionnement juste-à-temps pour un fournisseur d'identité permet de créer un annuaire juste-à-temps et de lui spécifier un ou plusieurs domaines. Les utilisateurs appartenant à ces domaines sont provisionnés vers le répertoire. Si plusieurs domaines sont configurés pour l'annuaire, un attribut de domaine doit être inclus dans la configuration. Si un seul domaine est configuré pour l'annuaire, aucun attribut de domaine n'est requis. Toutefois, s'il est spécifié, sa valeur doit correspondre au nom de domaine.
Un seul répertoire, de type juste-à-temps, peut être associé à un fournisseur d'identité sur lequel le provisionnement juste-à-temps est activé.
Création et gestion d'utilisateurs
Si le provisionnement d'utilisateurs juste-à-temps est activé, lorsqu'un utilisateur accède à la page de connexion du service Workspace ONE Access et sélectionne un domaine, la page le redirige vers le fournisseur d'identité approprié. L'utilisateur se connecte, est authentifié et le fournisseur d'identité le redirige vers le service Workspace ONE Access. Les données requises pour provisionner l'utilisateur se trouvent dans la réponse SSO et sont utilisées pour créer l'utilisateur dans le service Workspace ONE Access. Seules les données des attributs utilisateur qui sont mappées dans l'annuaire Workspace ONE Access sont utilisées pour provisionner l'utilisateur. Celui-ci est également ajouté à des groupes en fonction des attributs et reçoit les droits qui sont définis pour ces groupes.
Lors des connexions suivantes, les données utilisateur sont mises à jour dans le service si elles sont modifiées.
Il n'est pas possible de supprimer les utilisateurs provisionnés juste-à-temps. Pour supprimer des utilisateurs, vous devez supprimer le répertoire juste-à-temps.
Toute la gestion des utilisateurs est gérée via la réponse du fournisseur d'identité. Vous ne pouvez pas créer ou mettre à jour ces utilisateurs directement à partir du service. Les utilisateurs juste-à-temps ne peuvent pas être synchronisés à partir d'Active Directory ou d'autres annuaires LDAP.