Lors de l'activation du provisionnement juste-à-temps pour un fournisseur d'identité tiers OpenID Connect, les utilisateurs sont créés dans Workspace ONE Access et mis à jour dynamiquement lorsqu'ils se connectent, en fonction du jeton envoyé par le fournisseur d'identité.
Le jeton OpenID Connect doit inclure les attributs suivants (réclamations) dans la réponse à Workspace ONE Access.
- Attribut de domaine. Si vous configurez plusieurs domaines pour l'annuaire juste-à-temps, le jeton OpenID Connect doit inclure l'attribut de domaine. La valeur de l'attribut doit correspondre à l'un des domaines configurés pour le répertoire. Si la valeur ne correspond pas ou si un domaine n'est pas spécifié, la connexion échoue.
- Le jeton OpenID Connect doit inclure tous les attributs utilisateur marqués comme requis sur la page Attributs utilisateur dans le service Workspace ONE Access.
Vous pouvez afficher ou modifier les attributs utilisateur sur la page
de la console Workspace ONE Access.
Les attributs requis de la page Attributs utilisateur sont configurés dans la configuration d'OpenID Connect sous Mappages d'attributs utilisateur. Une fois l'authentification réussie, les attributs du jeton d'ID d'étendue OpenID Connect sont utilisés pour créer ou mettre à jour les informations d'un utilisateur JIT.
- Les attributs configurés dans la configuration du fournisseur d'identité OpenID Connect sous Mappages d'attributs utilisateur sont utilisés.
- Les attributs qui ne correspondent à aucun attribut sur la page Attributs utilisateur sont ignorés.
- Les attributs sans valeur sont ignorés.