ジャストインタイム プロビジョニングは、VMware Identity Manager サービスでユーザーをプロビジョニングする方法の 1 つです。ジャストインタイム プロビジョニングを使用すると、Active Directory インスタンスとユーザーと同期する代わりに、ID プロバイダによって送信される SAML アサーションを基準として、ユーザーのログイン時にユーザーを動的に作成および更新できます。

このシナリオでは、VMware Identity Manager は SAML サービス プロバイダ (SP) として動作します。

ジャストインタイム構成は、サードパーティ ID プロバイダに対してのみ構成できます。コネクタでは利用できません。

ジャストインタイム構成では、すべてのユーザーの作成と管理は SAML アサーションを通じて処理され、認証はサードパーティ ID プロバイダによって処理されるため、オンプレミスにコネクタをインストールする必要はありません。

ユーザーの作成と管理

ジャストインタイムのユーザー プロビジョニングを有効にすると、ユーザーが VMware Identity Manager サービスのログイン ページに移動してドメインを選択するときに、適切な ID プロバイダにリダイレクトされます。ユーザーがログインすると、SAML アサーションを使用して ID プロバイダによって認証され、VMware Identity Manager サービスにリダイレクトされます。Identity Manager サービスでユーザーを作成するため、SAML アサーションの属性が使用されます。このうち、Identity Manager サービスで定義されたユーザー属性に一致する属性だけが使用され、一致しないその他の属性は無視されます。ユーザーは、属性を基準とするグループに追加され、これらのグループに設定されている資格を受け取ります。

次のログイン時に SAML アサーションが変更されている場合には、このユーザーは Identity Manager サービスで更新されます。

ジャストインタイム プロビジョニングで作成されたユーザーは、削除できません。ユーザーを削除するには、ジャストインタイム ディレクトリを削除する必要があります。

すべてのユーザー管理は、SAML アサーションを通じて処理されることに注意してください。Identity Manager から直接これらのユーザーを作成したり更新したりすることはできません。ジャストインタイム ユーザーは、Active Directory と同期できません。

SAML アサーションで必要な属性の情報については、SAML アサーションの要件を参照してください。

ジャストインタイム ディレクトリ

サードパーティ ID プロバイダは、Identity Manager サービスでジャストインタイム ディレクトリを関連付ける必要があります。

ID プロバイダでジャストインタイム プロビジョニングを最初に有効にするときに、ジャストインタイム ディレクトリを作成して、このディレクトリのドメインを 1 つ以上指定します。これらのドメインに属するユーザーが、ディレクトリにプロビジョニングされます。ディレクトリに複数のドメインが構成されている場合、SAML アサーションにドメイン属性が含まれている必要があります。ディレクトリに対して 1 つのドメインが構成されている場合、SAML アサーションにドメイン属性は指定されている必要はありませんが、指定されている場合には、その値がドメイン名と一致する必要があります。

ジャストインタイム プロビジョニングが有効な ID プロバイダに関連付けることができるジャストインタイムのタイプのディレクトリは 1 つのみです。