Quando per un provider di identità di terze parti è abilitato il provisioning utente Just-in-Time, gli utenti vengono creati o aggiornati nel servizio VMware Identity Manager durante l'accesso basato sulle asserzioni SAML. Le asserzioni SAML inviate dal provider di identità devono contenere determinati attributi.
- L'asserzione SAML deve includere l'attributo
userName
. - L'asserzione SAML deve includere tutti gli attributi utente che sono contrassegnati come richiesti nel servizio VMware Identity Manager.
Per visualizzare o modificare gli attributi utente nella console di amministrazione, dalla scheda Gestione identità e accessi fare clic su Configura quindi selezionare Attributi utente.
Importante: Assicurarsi che le chiavi nell'asserzione SAML corrispondano esattamente ai nomi degli attributi, compreso il formato maiuscolo/minuscolo. - Se si stanno configurando più domini per la directory Just-in-Time, l'asserzione SAML deve includere l'attributo
domain
. Il valore dell'attributo deve corrispondere a uno dei domini configurati per la directory. Se il valore non corrisponde o se non viene specificato alcun dominio, l'accesso non riesce. - Se si sta configurando un singolo dominio per la directory Just-in-Time, la specifica dell'attributo
domain
nell'asserzione SAML è facoltativa.Se si specifica l'attributo
domain
, assicurarsi che il suo valore corrisponda al dominio configurato per la directory. Se l'asserzione SAML non contiene un attributo del dominio, l'utente sarà associato al dominio configurato per la directory. - Se si desidera consentire gli aggiornamenti ai nomi degli utenti, includere l'attributo
ExternalId
nell'asserzione SAML. L'utente è identificato dalExternalId
. Se, a un accesso successivo, l'asserzione SAML contiene un nome utente differente, l'utente sarà comunque identificato correttamente, potrà accedere e il nome utente sarà aggiornato nel servizio Identity Manager.
Gli attributi dall'asserzione SAML sono utilizzati per creare o aggiornare gli utenti come riportato di seguito.
- Sono utilizzati gli attributi richiesti o facoltativi nel servizio Identity Manager (come riportato sulla pagina Attributi utente).
- Gli attributi che non corrispondono ad alcun attributo sulla pagina Attributi utente saranno ignorati.
- Gli attributi senza un valore vengono ignorati.