Just-in-Time プロビジョニングは、Workspace ONE Access サービスでユーザーをプロビジョニングする方法の 1 つです。Just-in-Time プロビジョニングを使用すると、Active Directory インスタンスとユーザーと同期する代わりに、ID プロバイダによって送信される SAML アサーションを基準として、ユーザーのログイン時にユーザーを動的に作成および更新できます。

このシナリオでは、Workspace ONE Access は SAML サービス プロバイダ (SP) として動作します。

Just-in-Time 構成は、サードパーティ ID プロバイダに対してのみ構成できます。コネクタでは利用できません。

Just-in-Time 構成では、すべてのユーザーの作成と管理は SAML アサーションを通じて処理され、認証はサードパーティ ID プロバイダによって処理されるため、オンプレミスにコネクタをインストールする必要はありません。

ユーザーの作成と管理

Just-in-Time のユーザー プロビジョニングを有効にすると、ユーザーが Workspace ONE Access サービスのログイン ページに移動してドメインを選択するときに、適切な ID プロバイダにリダイレクトされます。ユーザーがログインすると、SAML アサーションを使用して ID プロバイダによって認証され、Workspace ONE Access サービスにリダイレクトされます。Identity Manager サービスでユーザーを作成するため、SAML アサーションの属性が使用されます。このうち、Identity Manager サービスで定義されたユーザー属性に一致する属性だけが使用され、一致しないその他の属性は無視されます。ユーザーは、属性を基準とするグループに追加され、これらのグループに設定されている資格を受け取ります。

次のログイン時に SAML アサーションが変更されている場合には、このユーザーは Identity Manager サービスで更新されます。

Just-in-Time プロビジョニングで作成されたユーザーは、削除できません。ユーザーを削除するには、Just-in-Time ディレクトリを削除する必要があります。

すべてのユーザー管理は、SAML アサーションを通じて処理されることに注意してください。Identity Manager から直接これらのユーザーを作成したり更新したりすることはできません。Just-in-Time ユーザーは、Active Directory と同期できません。

SAML アサーションで必要な属性の情報については、SAML アサーションの要件を参照してください。

Just-in-Time ディレクトリ

サードパーティ ID プロバイダは、Identity Manager サービスで Just-in-Time ディレクトリを関連付ける必要があります。

ID プロバイダで Just-in-Time プロビジョニングを最初に有効にするときに、Just-in-Time ディレクトリを作成して、このディレクトリのドメインを 1 つ以上指定します。これらのドメインに属するユーザーが、ディレクトリにプロビジョニングされます。ディレクトリに複数のドメインが構成されている場合、SAML アサーションにドメイン属性が含まれている必要があります。ディレクトリに対して 1 つのドメインが構成されている場合、SAML アサーションにドメイン属性は指定されている必要はありませんが、指定されている場合には、その値がドメイン名と一致する必要があります。

Just-in-Time プロビジョニングが有効な ID プロバイダに関連付けることができる Just-in-Time のタイプのディレクトリは 1 つのみです。