Il provisioning Just-in-Time fornisce un altro modo di eseguire il provisioning di utenti nel servizio VMware Identity Manager. Invece di sincronizzare gli utenti da un'istanza di Active Directory, con il provisioning Just-in-Time gli utenti vengono creati e aggiornati dinamicamente al loro accesso in base alle asserzioni SAML inviate dal provider di identità.
In questo scenario, VMware Identity Manager funziona da provider di servizi SAML.
La configurazione Just-in-Time può essere configurata solo per provider di identità di terze parti. Non è disponibile per il connettore.
Con una configurazione Just-in-Time, non è necessario installare un connettore on-premise in quanto il processo di gestione e gestione di tutti gli utenti è gestito mediante asserzioni SAML e l'autenticazione è gestita dal provider di identità di terze parti.
Creazione e gestione di utenti
Se il provisioning Just-in-Time è abilitato, quando un utente passa alla pagina di accesso al servizio VMware Identity Manager e seleziona un dominio, sarà reindirizzato al provider di identità corretto. L'utente accede, viene autenticato e viene reindirizzato dal provider di identità al servizio VMware Identity Manager con una asserzione SAML. Gli attributi nell'asserzione SAML sono utilizzati per creare l'utente nel servizio. Sono utilizzati solo gli attributi che corrispondono agli attributi utente definiti nel servizio; altri attributi saranno ignorati. L'utente viene aggiunto anche ai gruppi basati sugli attributi e riceve i permessi impostati per tali gruppi.
Agli accessi successivi, se sono state apportate delle modifiche nell'asserzione SAML, l'utente sarà aggiornato nel servizio.
Gli utenti sottoposti a provisioning Just-in-Time non possono essere eliminati. Per eliminare gli utenti, è necessario eliminare la directory Just-in-Time.
Tenere presente che la gestione di tutti gli utenti viene condotta tramite le asserzioni SAML. Non è possibile creare o aggiornare questi utenti direttamente dal servizio. Gli utenti Just-in-Time non possono essere sincronizzati da Active Directory.
Per informazioni sugli attributi richiesti nell'asserzione SAML, vedere Requisiti per le asserzioni SAML.
Directory Just-in-Time
Il provider di identità di terze parti deve avere una directory Just-in-Time associata nel servizio.
Quando si abilita il provisioning Just-in-Time per un provider di identità, viene creata una nuova directory Just-in-Time e si specifica uno o più domini per tali directory. Gli utenti appartenenti a questi domini sono sottoposti a provisioning nella directory. Se per la directory sono configurati più domini, le asserzioni SAML devono includere un attributo di dominio. Se per la directory è configurato un singolo dominio, un attributo di dominio non è richiesto nelle asserzioni SAML ma se viene specificato, il suo valore deve corrispondere al nome del dominio.
È possibile associare soltanto una directory, di tipo Just-in-Time, a un provider di identità che ha il provisioning Just-in-Time abilitato.