Lorsque le provisionnement d'utilisateurs juste-à-temps est activé pour un fournisseur d'identité tiers SAML, des utilisateurs sont créés ou mis à jour dans le service Workspace ONE Access lors de la connexion en fonction des assertions SAML. Les assertions SAML envoyées par le fournisseur d'identité doivent contenir certains attributs.
- L'assertion SAML doit inclure l'attribut
userName
. - L'assertion SAML doit inclure tous les attributs utilisateur marqués comme requis sur la page Attributs utilisateur dans le service Workspace ONE Access.
Vous pouvez afficher les attributs utilisateur sur la page
de la console d'administration.Important : Vérifiez que les clés dans l'assertion SAML correspondent exactement aux noms d'attribut, y compris la casse. - Si vous configurez plusieurs domaines pour le répertoire juste-à-temps, l'assertion SAML doit inclure l'attribut
domain
. La valeur de l'attribut doit correspondre à l'un des domaines configurés pour le répertoire. Si la valeur ne correspond pas ou si un domaine n'est pas spécifié, la connexion échoue. - Si vous configurez un seul domaine pour le répertoire juste-à-temps, la spécification de l'attribut
domain
dans l'assertion SAML est facultative.Si vous spécifiez l'attribut
domain
, vérifiez que sa valeur correspond au domaine configuré pour l'annuaire. Si l'assertion SAML ne contient aucun attribut de domaine, l'utilisateur est associé au domaine configuré pour l'annuaire. - Si vous voulez mettre à jour des modifications du nom d'utilisateur, incluez l'attribut
ExternalId
dans l'assertion SAML. L'utilisateur est identifié parExternalId
. Si, lors d'une prochaine connexion, l'assertion SAML contient un nom d'utilisateur différent, l'utilisateur est toujours identifié correctement, la connexion réussit et le nom d'utilisateur est mis à jour dans le service Workspace ONE Access.
Les attributs de l'assertion SAML sont utilisés pour créer ou mettre à jour les utilisateurs comme suit.
- Les attributs répertoriés comme obligatoires ou facultatifs sur la page Attributs utilisateur dans le service Workspace ONE Access sont utilisés.
- Les attributs SAML qui ne correspondent à aucun attribut sur la page Attributs utilisateur sont ignorés.
- Les attributs SAML sans valeur sont ignorés.