Il provisioning Just-in-Time offre un altro modo di eseguire il provisioning di utenti nel servizio Workspace ONE Access. Anziché sincronizzare gli utenti da un'istanza di Active Directory o di un'altra directory LDAP, con il provisioning Just-in-Time gli utenti vengono creati e aggiornati dinamicamente quando accedono tramite SSO SAML o SSO OpenID Connect.

Nota: Questa funzionalità non è disponibile per un tenant di Workspace ONE Access in cui è abilitato VMware Identity Services. Vedere l'argomento Funzionalità di Workspace ONE non supportate nella guida Configurazione del provisioning degli utenti e della federazione delle identità con VMware Identity Services.
Nota: È possibile configurare un solo provider di identità OpenID Connect per il cloud tenant di Workspace ONE Access.

In questo scenario, Workspace ONE Access funziona da provider di servizi (SP).

La configurazione Just-in-Time può essere configurata solo per provider di identità di terze parti. Non è disponibile per il connettore. Il provider di identità di terze parti gestisce la creazione e la gestione di tutti gli utenti tramite asserzioni SAML o attestazioni OpenID Connect.

Directory Just-in-Time

Il provider di identità di terze parti deve avere una directory Just-in-Time associata nel servizio.

Quando si abilita il provisioning Just-in-Time per un provider di identità, si crea una directory Just-in-Time e si specificano uno o più domini per tale directory. Gli utenti appartenenti a questi domini sono sottoposti a provisioning nella directory. Se per la directory sono configurati più domini, nella configurazione deve essere incluso un attributo di dominio. Se per la directory è configurato un solo dominio, non è richiesto alcun attributo di dominio ma se viene specificato, il suo valore deve corrispondere al nome del dominio.

A un provider di identità con provisioning Just-in-Time abilitato è possibile associare solo una directory di tipo Just-in-Time.

Creazione e gestione di utenti

Se il provisioning Just-in-Time è abilitato, quando un utente passa alla pagina di accesso al servizio Workspace ONE Access e seleziona un dominio, viene reindirizzato al provider di identità corretto. L'utente accede, viene autenticato e il provider di identità lo reindirizza nuovamente al servizio Workspace ONE Access. I dati necessari per eseguire il provisioning dell'utente sono nella risposta SSO e vengono utilizzati per creare l'utente nel servizio Workspace ONE Access. Per eseguire il provisioning dell'utente, vengono utilizzati solo i dati per gli attributi utente mappati nella directory di Workspace ONE Access. L'utente viene anche aggiunto in base agli attributi e riceve i permessi impostati per tali gruppi.

Agli accessi successivi, se sono state apportate modifiche ai dati dell'utente, tali dati verranno aggiornati nel servizio.

Gli utenti sottoposti a provisioning Just-in-Time non possono essere eliminati. Per eliminare gli utenti, è necessario eliminare la directory Just-in-Time.

La gestione di tutti gli utenti viene gestita tramite la risposta del provider di identità. Non è possibile creare o aggiornare questi utenti direttamente dal servizio. Gli utenti Just-in-Time non possono essere sincronizzati da Active Directory o da altre directory LDAP.