Quando per un provider di identità di terze parti SAML è abilitato il provisioning Just-in-Time degli utenti, gli utenti vengono creati o aggiornati nel servizio Workspace ONE Access durante l'accesso in base alle asserzioni SAML. Le asserzioni SAML inviate dal provider di identità devono contenere determinati attributi.
- L'asserzione SAML deve includere l'attributo
userName
. - L'asserzione SAML deve includere tutti gli attributi che sono contrassegnati come obbligatori nella pagina Attributi utente del servizio Workspace ONE Access.
Per visualizzare o modificare gli attributi utente nella console di Workspace ONE Access, nella scheda Gestione identità e accessi fare clic su Configurazione, quindi selezionare Attributi utente.
Importante: Assicurarsi che le chiavi nell'asserzione SAML corrispondano esattamente ai nomi degli attributi, compreso il formato maiuscolo/minuscolo. - Se si stanno configurando più domini per la directory Just-in-Time, l'asserzione SAML deve includere l'attributo
domain
. Il valore dell'attributo deve corrispondere a uno dei domini configurati per la directory. Se il valore non corrisponde o se non viene specificato alcun dominio, l'accesso non riesce. - Se si sta configurando un singolo dominio per la directory Just-in-Time, la specifica dell'attributo
domain
nell'asserzione SAML è facoltativa.Se si specifica l'attributo
domain
, assicurarsi che il suo valore corrisponda al dominio configurato per la directory. Se l'asserzione SAML non contiene un attributo del dominio, l'utente verrà associato al dominio configurato per la directory. - Se si desidera consentire gli aggiornamenti delle modifiche dei nomi utente, includere l'attributo
ExternalId
nell'asserzione SAML. L'utente è identificato dalExternalId
. Se, a un accesso successivo, l'asserzione SAML contiene un nome utente diverso, l'utente verrà comunque identificato correttamente, potrà accedere e il nome utente verrà aggiornato nel servizio Workspace ONE Access.
Gli attributi dall'asserzione SAML sono utilizzati per creare o aggiornare gli utenti come riportato di seguito.
- Gli attributi elencati come obbligatori o facoltativi nella pagina Attributi utente nel servizio Workspace ONE Access vengono utilizzati.
- Gli attributi SAML che non corrispondono ad alcun attributo della pagina Attributi utente vengono ignorati.
- Gli attributi SAML senza un valore vengono ignorati.