サードパーティ ID プロバイダで Just-in-Time ユーザー プロビジョニングが有効になっている場合、SAML アサーションを基準としてログイン時に Workspace ONE Access サービスでユーザーが作成または更新されます。ID プロバイダによって送信される SAML アサーションには、特定の属性が含まれる必要があります。
- SAML アサーションには、
userName属性が含まれている必要があります。 - SAML アサーションには、Workspace ONE Access サービスの [ユーザー属性] ページで必須としてマークされているすべてのユーザー属性が含まれている必要があります。
ユーザー属性は、管理コンソールの ページで確認できます。
重要: SAML アサーションのキーが、大文字小文字も含めて、属性名と完全に一致していることを確認します。 - Just-in-Time ディレクトリで複数のドメインを構成している場合、SAML アサーションには
domain属性が含まれる必要があります。属性値は、ディレクトリに構成されているドメインのいずれかと一致する必要があります。値が一致しない、あるいはドメインが指定されていない場合、ログインは失敗します。 - Just-in-Time ディレクトリに単一のドメインを構成している場合、SAML アサーションでの
domain属性の指定は任意になります。domain属性を指定する場合、その値がディレクトリに構成されているドメインと一致していることを確認します。SAML アサーションに特定のドメイン属性が含まれない場合、ディレクトリに構成されたドメインにユーザーは関連付けられます。 - ユーザー名の変更を更新する場合は、SAML アサーションに
ExternalId属性を含めます。ユーザーはExternalIdによって識別されます。次にログインするときに、SAML アサーションに異なるユーザー名が含まれる場合、ユーザーはそれでも正しく識別され、ログインは成功し、ユーザー名は Workspace ONE Access サービスで更新されます。
SAML アサーションの属性は、次のようにユーザーの作成や更新で使用されます。
- Workspace ONE Access サービスの [ユーザー属性] ページで、必須またはオプションとしてリストされた属性が使用されます。
- [ユーザー属性] ページの SAML 属性と一致しない属性は無視されます。
- 値のない SAML 属性は無視されます。
