Il provisioning Just-in-Time offre un altro modo di eseguire il provisioning di utenti nel servizio Workspace ONE Access. Anziché sincronizzare gli utenti da un'istanza di Active Directory o di un'altra directory LDAP, con il provisioning Just-in-Time gli utenti vengono creati e aggiornati dinamicamente quando accedono tramite SSO SAML o SSO OpenID Connect.
In questo scenario, Workspace ONE Access funziona da provider di servizi (SP).
La configurazione Just-in-Time può essere configurata solo per provider di identità di terze parti. Non è disponibile per il connettore. Il provider di identità di terze parti gestisce la creazione e la gestione di tutti gli utenti tramite asserzioni SAML o attestazioni OpenID Connect.
Directory Just-in-Time
Il provider di identità di terze parti deve avere una directory Just-in-Time associata nel servizio.
Quando si abilita il provisioning Just-in-Time per un provider di identità, si crea una directory Just-in-Time e si specificano uno o più domini per tale directory. Gli utenti appartenenti a questi domini sono sottoposti a provisioning nella directory. Se per la directory sono configurati più domini, nella configurazione deve essere incluso un attributo di dominio. Se per la directory è configurato un solo dominio, non è richiesto alcun attributo di dominio ma se viene specificato, il suo valore deve corrispondere al nome del dominio.
È possibile associare soltanto una directory, di tipo Just-in-Time, a un provider di identità che ha il provisioning Just-in-Time abilitato.
Creazione e gestione di utenti
Se il provisioning Just-in-Time è abilitato, quando un utente passa alla pagina di accesso al servizio Workspace ONE Access e seleziona un dominio, viene reindirizzato al provider di identità corretto. L'utente accede, viene autenticato e il provider di identità lo reindirizza nuovamente al servizio Workspace ONE Access. I dati necessari per eseguire il provisioning dell'utente sono nella risposta SSO e vengono utilizzati per creare l'utente nel servizio Workspace ONE Access. Per eseguire il provisioning dell'utente, vengono utilizzati solo i dati per gli attributi utente mappati nella directory di Workspace ONE Access. L'utente viene anche aggiunto in base agli attributi e riceve i permessi impostati per tali gruppi.
Agli accessi successivi, se sono state apportate modifiche ai dati dell'utente, tali dati verranno aggiornati nel servizio.
Gli utenti sottoposti a provisioning Just-in-Time non possono essere eliminati. Per eliminare gli utenti, è necessario eliminare la directory Just-in-Time.
La gestione di tutti gli utenti viene gestita tramite la risposta del provider di identità. Non è possibile creare o aggiornare questi utenti direttamente dal servizio. Gli utenti Just-in-Time non possono essere sincronizzati da Active Directory o da altre directory LDAP.