OpenID Connect のサードパーティの ID プロバイダで Just-in-Time プロビジョニングが有効になっている場合、ユーザーは Workspace ONE Access で作成され、ID プロバイダから送信されるトークンに基づいて、ログイン時に動的に更新されます。
OpenID Connect トークンには、Workspace ONE Access への応答に次の属性(要求)が含まれている必要があります。
- ドメイン属性。Just-in-Time ディレクトリで複数のドメインを構成している場合、OpenID Connect トークンにはドメイン属性が含まれる必要があります。属性値は、ディレクトリに構成されているドメインのいずれかと一致する必要があります。値が一致しない、あるいはドメインが指定されていない場合、ログインは失敗します。
- OpenID Connect トークンには、Workspace ONE Access サービスの [ユーザー属性] ページで必須としてマークされているすべてのユーザー属性が含まれている必要があります。
ユーザー属性は、Workspace ONE Access コンソールの
ページで表示または編集できます。
[ユーザー属性] ページで必要な属性は、[ユーザー属性のマッピング] の [OpenID Connect 構成] で構成されます。認証に成功した後、OpenID Connect スコープ ID トークンの属性を使用して、JIT ユーザーの情報を作成または更新します。
- [ユーザー属性のマッピング] の [OpenID Connect ID プロバイダ構成] で構成された属性が使用されます。
- [ユーザー属性] ページの属性と一致しない属性は無視されます。
- 値のない属性は無視されます。