Quando per un provider di identità di terze parti è abilitato il provisioning utente Just-in-Time, gli utenti vengono creati o aggiornati nel servizio VMware Identity Manager durante l'accesso basato sulle asserzioni SAML. Le asserzioni SAML inviate dal provider di identità devono contenere determinati attributi.

  • L'asserzione SAML deve includere l'attributo userName.

  • L'asserzione SAML deve includere tutti gli attributi utente che sono contrassegnati come richiesti nel servizio VMware Identity Manager.

    Per visualizzare o modificare gli attributi utente nella console di amministrazione, dalla scheda Gestione identità e accessi fare clic su Configura quindi selezionare Attributi utente.

    Importante:

    Assicurarsi che le chiavi nell'asserzione SAML corrispondano esattamente ai nomi degli attributi, compreso il formato maiuscolo/minuscolo.

  • Se si stanno configurando più domini per la directory Just-in-Time, l'asserzione SAML deve includere l'attributo domain. Il valore dell'attributo deve corrispondere a uno dei domini configurati per la directory. Se il valore non corrisponde o se non viene specificato alcun dominio, l'accesso non riesce.

  • Se si sta configurando un singolo dominio per la directory Just-in-Time, la specifica dell'attributo domain nell'asserzione SAML è facoltativa.

    Se si specifica l'attributo domain, assicurarsi che il suo valore corrisponda al dominio configurato per la directory. Se l'asserzione SAML non contiene un attributo del dominio, l'utente sarà associato al dominio configurato per la directory.

  • Se si desidera consentire gli aggiornamenti ai nomi degli utenti, includere l'attributo ExternalId nell'asserzione SAML. L'utente è identificato dal ExternalId. Se, a un accesso successivo, l'asserzione SAML contiene un nome utente differente, l'utente sarà comunque identificato correttamente, potrà accedere e il nome utente sarà aggiornato nel servizio Identity Manager.

Gli attributi dall'asserzione SAML sono utilizzati per creare o aggiornare gli utenti come riportato di seguito.

  • Sono utilizzati gli attributi richiesti o facoltativi nel servizio Identity Manager (come riportato sulla pagina Attributi utente).

  • Gli attributi che non corrispondono ad alcun attributo sulla pagina Attributi utente saranno ignorati.

  • Gli attributi senza un valore vengono ignorati.