Quando per un provider di identità di terze parti è abilitato il provisioning utente Just-in-Time, gli utenti vengono creati o aggiornati nel servizio Workspace ONE Access durante l'accesso in base alle asserzioni SAML. Le asserzioni SAML inviate dal provider di identità devono contenere determinati attributi.
- L'asserzione SAML deve includere l'attributo
userName
. - L'asserzione SAML deve includere tutti gli attributi utente che sono contrassegnati come obbligatori nel servizio.
Per visualizzare o modificare gli attributi utente nella console di Workspace ONE Access, nella scheda Gestione identità e accessi fare clic su Configurazione, quindi selezionare Attributi utente.
Importante: Assicurarsi che le chiavi nell'asserzione SAML corrispondano esattamente ai nomi degli attributi, compreso il formato maiuscolo/minuscolo. - Se si stanno configurando più domini per la directory Just-in-Time, l'asserzione SAML deve includere l'attributo
domain
. Il valore dell'attributo deve corrispondere a uno dei domini configurati per la directory. Se il valore non corrisponde o se non viene specificato alcun dominio, l'accesso non riesce. - Se si sta configurando un singolo dominio per la directory Just-in-Time, la specifica dell'attributo
domain
nell'asserzione SAML è facoltativa.Se si specifica l'attributo
domain
, assicurarsi che il suo valore corrisponda al dominio configurato per la directory. Se l'asserzione SAML non contiene un attributo del dominio, l'utente sarà associato al dominio configurato per la directory. - Se si desidera consentire gli aggiornamenti ai nomi degli utenti, includere l'attributo
ExternalId
nell'asserzione SAML. L'utente è identificato dalExternalId
. Se, a un accesso successivo, l'asserzione SAML contiene un nome utente diverso, l'utente verrà comunque identificato correttamente, potrà accedere e il nome utente verrà aggiornato nel servizio Workspace ONE Access.
Gli attributi dall'asserzione SAML sono utilizzati per creare o aggiornare gli utenti come riportato di seguito.
- Vengono utilizzati gli attributi che sono obbligatori o facoltativi nel servizio Workspace ONE Access (in base a quanto indicato nella pagina Attributi utente).
- Gli attributi che non corrispondono ad alcun attributo sulla pagina Attributi utente saranno ignorati.
- Gli attributi senza un valore vengono ignorati.