Quando per un provider di identità di terze parti è abilitato il provisioning utente Just-in-Time, gli utenti vengono creati o aggiornati nel servizio Workspace ONE Access durante l'accesso in base alle asserzioni SAML. Le asserzioni SAML inviate dal provider di identità devono contenere determinati attributi.

  • L'asserzione SAML deve includere l'attributo userName.
  • L'asserzione SAML deve includere tutti gli attributi utente che sono contrassegnati come obbligatori nel servizio.

    Per visualizzare o modificare gli attributi utente nella console di Workspace ONE Access, nella scheda Gestione identità e accessi fare clic su Configurazione, quindi selezionare Attributi utente.

    Importante: Assicurarsi che le chiavi nell'asserzione SAML corrispondano esattamente ai nomi degli attributi, compreso il formato maiuscolo/minuscolo.
  • Se si stanno configurando più domini per la directory Just-in-Time, l'asserzione SAML deve includere l'attributo domain. Il valore dell'attributo deve corrispondere a uno dei domini configurati per la directory. Se il valore non corrisponde o se non viene specificato alcun dominio, l'accesso non riesce.
  • Se si sta configurando un singolo dominio per la directory Just-in-Time, la specifica dell'attributo domain nell'asserzione SAML è facoltativa.

    Se si specifica l'attributo domain, assicurarsi che il suo valore corrisponda al dominio configurato per la directory. Se l'asserzione SAML non contiene un attributo del dominio, l'utente sarà associato al dominio configurato per la directory.

  • Se si desidera consentire gli aggiornamenti ai nomi degli utenti, includere l'attributo ExternalId nell'asserzione SAML. L'utente è identificato dal ExternalId. Se, a un accesso successivo, l'asserzione SAML contiene un nome utente diverso, l'utente verrà comunque identificato correttamente, potrà accedere e il nome utente verrà aggiornato nel servizio Workspace ONE Access.

Gli attributi dall'asserzione SAML sono utilizzati per creare o aggiornare gli utenti come riportato di seguito.

  • Vengono utilizzati gli attributi che sono obbligatori o facoltativi nel servizio Workspace ONE Access (in base a quanto indicato nella pagina Attributi utente).
  • Gli attributi che non corrispondono ad alcun attributo sulla pagina Attributi utente saranno ignorati.
  • Gli attributi senza un valore vengono ignorati.