Il provisioning Just-in-Time offre un altro modo di eseguire il provisioning di utenti nel servizio Workspace ONE Access. Invece di sincronizzare gli utenti da un'istanza di Active Directory, con il provisioning Just-in-Time gli utenti vengono creati e aggiornati dinamicamente al loro accesso in base alle asserzioni SAML inviate dal provider di identità.

In questo scenario, Workspace ONE Access funziona da provider di servizi SAML.

La configurazione Just-in-Time può essere configurata solo per provider di identità di terze parti. Non è disponibile per il connettore.

Con una configurazione Just-in-Time, non è necessario installare un connettore on-premise in quanto il processo di gestione e gestione di tutti gli utenti è gestito mediante asserzioni SAML e l'autenticazione è gestita dal provider di identità di terze parti.

Creazione e gestione di utenti

Se il provisioning Just-in-Time è abilitato, quando un utente passa alla pagina di accesso al servizio Workspace ONE Access e seleziona un dominio, viene reindirizzato al provider di identità corretto. L'utente accede, viene autenticato e viene reindirizzato dal provider di identità al servizio Workspace ONE Access con un'asserzione SAML. Gli attributi nell'asserzione SAML sono utilizzati per creare l'utente nel servizio. Sono utilizzati solo gli attributi che corrispondono agli attributi utente definiti nel servizio; altri attributi saranno ignorati. L'utente viene aggiunto anche ai gruppi basati sugli attributi e riceve i permessi impostati per tali gruppi.

Agli accessi successivi, se sono state apportate delle modifiche nell'asserzione SAML, l'utente sarà aggiornato nel servizio.

Gli utenti sottoposti a provisioning Just-in-Time non possono essere eliminati. Per eliminare gli utenti, è necessario eliminare la directory Just-in-Time.

Tenere presente che la gestione di tutti gli utenti viene condotta tramite le asserzioni SAML. Non è possibile creare o aggiornare questi utenti direttamente dal servizio. Gli utenti Just-in-Time non possono essere sincronizzati da Active Directory.

Per informazioni sugli attributi richiesti nell'asserzione SAML, vedere Requisiti per le asserzioni SAML.

Directory Just-in-Time

Il provider di identità di terze parti deve avere una directory Just-in-Time associata nel servizio.

Quando si abilita il provisioning Just-in-Time per un provider di identità, viene creata una nuova directory Just-in-Time e si specifica uno o più domini per tali directory. Gli utenti appartenenti a questi domini sono sottoposti a provisioning nella directory. Se per la directory sono configurati più domini, le asserzioni SAML devono includere un attributo di dominio. Se per la directory è configurato un singolo dominio, un attributo di dominio non è richiesto nelle asserzioni SAML ma se viene specificato, il suo valore deve corrispondere al nome del dominio.

È possibile associare soltanto una directory, di tipo Just-in-Time, a un provider di identità che ha il provisioning Just-in-Time abilitato.