Quando per un provider di identità di terze parti SAML è abilitato il provisioning Just-in-Time degli utenti, gli utenti vengono creati o aggiornati nel servizio Workspace ONE Access durante l'accesso in base alle asserzioni SAML. Le asserzioni SAML inviate dal provider di identità devono contenere determinati attributi.

  • L'asserzione SAML deve includere l'attributo userName.
  • L'asserzione SAML deve includere tutti gli attributi che sono contrassegnati come obbligatori nella pagina Attributi utente del servizio Workspace ONE Access.

    È possibile visualizzare gli attributi utente nella pagina Impostazioni > Attributi utente della console di amministrazione.

    Importante: Assicurarsi che le chiavi nell'asserzione SAML corrispondano esattamente ai nomi degli attributi, compreso il formato maiuscolo/minuscolo.
  • Se si stanno configurando più domini per la directory Just-in-Time, l'asserzione SAML deve includere l'attributo domain. Il valore dell'attributo deve corrispondere a uno dei domini configurati per la directory. Se il valore non corrisponde o se non viene specificato alcun dominio, l'accesso non riesce.
  • Se si sta configurando un singolo dominio per la directory Just-in-Time, la specifica dell'attributo domain nell'asserzione SAML è facoltativa.

    Se si specifica l'attributo domain, assicurarsi che il suo valore corrisponda al dominio configurato per la directory. Se l'asserzione SAML non contiene un attributo del dominio, l'utente verrà associato al dominio configurato per la directory.

  • Se si desidera consentire gli aggiornamenti delle modifiche dei nomi utente, includere l'attributo ExternalId nell'asserzione SAML. L'utente è identificato dal ExternalId. Se, a un accesso successivo, l'asserzione SAML contiene un nome utente diverso, l'utente verrà comunque identificato correttamente, potrà accedere e il nome utente verrà aggiornato nel servizio Workspace ONE Access.

Gli attributi dall'asserzione SAML sono utilizzati per creare o aggiornare gli utenti come riportato di seguito.

  • Gli attributi elencati come obbligatori o facoltativi nella pagina Attributi utente nel servizio Workspace ONE Access vengono utilizzati.
  • Gli attributi SAML che non corrispondono ad alcun attributo della pagina Attributi utente vengono ignorati.
  • Gli attributi SAML senza un valore vengono ignorati.