Just-in-Time プロビジョニングは、Workspace ONE Access サービスでユーザーをプロビジョニングする方法の 1 つです。Just-in-Time プロビジョニングのユーザーは、Active Directory またはその他の LDAP ディレクトリ インスタンスからユーザーを同期する代わりに、SAML SSO または OpenID Connect SSO を使用してログインするときに動的に作成および更新されます。
このシナリオでは、Workspace ONE Access はサービス プロバイダ (SP) として動作します。
Just-in-Time 構成は、サードパーティ ID プロバイダに対してのみ構成できます。コネクタでは利用できません。サードパーティの ID プロバイダは、SAML アサーションまたは OpenID Connect の要求のいずれかによって、すべてのユーザーの作成と管理を処理します。
Just-in-Time ディレクトリ
サードパーティ ID プロバイダは、Identity Manager サービスで Just-in-Time ディレクトリを関連付ける必要があります。
ID プロバイダで Just-in-Time プロビジョニングを有効にするときに、Just-in-Time ディレクトリを作成して、このディレクトリのドメインを 1 つ以上指定します。これらのドメインに属するユーザーが、ディレクトリにプロビジョニングされます。ディレクトリに複数のドメインが構成されている場合は、構成にドメイン属性が含まれている必要があります。ディレクトリに対して 1 つのドメインが構成されている場合、ドメイン属性は指定されている必要はありません。ただし、指定されている場合は、その値がドメイン名と一致する必要があります。
Just-in-Time プロビジョニングが有効な ID プロバイダに関連付けることができるのは、Just-in-Time タイプの 1 つのディレクトリのみです。
ユーザーの作成と管理
Just-in-Time のユーザー プロビジョニングを有効にすると、ユーザーが Workspace ONE Access サービスのログイン ページに移動してドメインを選択するときに、適切な ID プロバイダにリダイレクトされます。ユーザーがログインし、認証され、ID プロバイダがそのユーザーを Workspace ONE Access サービスにリダイレクトします。ユーザーをプロビジョニングするために必要なデータは SSO 応答に含まれており、Workspace ONE Access サービスでユーザーを作成するために使用されます。ユーザーをプロビジョニングするために使用されるのは、Workspace ONE Access ディレクトリにマッピングされているユーザー属性のデータのみです。ユーザーは、属性を基準とするグループに追加され、これらのグループに設定されている資格を受け取ります。
次回以降のログイン時に、ユーザー データに変更がある場合は、Identity Manager サービスでそのユーザー データ更新されます。
Just-in-Time プロビジョニングで作成されたユーザーは、削除できません。ユーザーを削除するには、Just-in-Time ディレクトリを削除する必要があります。
すべてのユーザー管理は、ID プロバイダの応答を通じて処理されます。Identity Manager から直接これらのユーザーを作成したり更新したりすることはできません。Just-in-Time ユーザーは、Active Directory またはその他の LDAP ディレクトリから同期することはできません。