サードパーティ ID プロバイダでジャストインタイム ユーザー プロビジョニングが有効になっている場合、SAML アサーションを基準としてログイン時に Workspace ONE Access サービスでユーザーが作成または更新されます。ID プロバイダによって送信される SAML アサーションには、特定の属性が含まれる必要があります。

• SAML アサーションには、userName 属性が含まれている必要があります。
• SAML アサーションには、サービスで必須としてマークされているすべてのユーザー属性が含まれている必要があります。

  Workspace ONE Access コンソールでユーザー属性を表示または編集するには、[ID とアクセス管理] タブで [セットアップ] をクリックしてから、[ユーザー属性] をクリックします。

  重要： SAML アサーションのキーが、大文字小文字も含めて、属性名と完全に一致していることを確認します。
• ジャスインタイム ディレクトリで複数のドメインを構成している場合、SAML アサーションには domain 属性が含まれる必要があります。属性値は、ディレクトリに構成されているドメインのいずれかと一致する必要があります。値が一致しない、あるいはドメインが指定されていない場合、ログインは失敗します。
• ジャストインタイム ディレクトリに単一のドメインを構成している場合、SAML アサーションでの domain 属性の指定は任意になります。

  domain 属性を指定する場合、その値がディレクトリに構成されているドメインと一致していることを確認します。SAML アサーションに特定のドメイン属性が含まれない場合、ディレクトリに構成されたドメインにユーザーは関連付けられます。

• ユーザー名の更新を許可する場合、SAML アサーションに ExternalId 属性を含めます。ユーザーは ExternalId によって識別されます。次にログインするときに、SAML アサーションに異なるユーザー名が含まれる場合、ユーザーはそれでも正しく識別され、ログインは成功し、ユーザー名は Workspace ONE Access サービスで更新されます。

SAML アサーションの属性は、次のようにユーザーの作成や更新で使用されます。

• Workspace ONE Access サービスで必須または任意指定の属性（[ユーザー属性] ページで表示）が使用されます。
• [ユーザー属性] ページの属性と一致しない属性は無視されます。
• 値のない属性は無視されます。