Just-in-Time 프로비저닝은 VMware Identity Manager 서비스에서 사용자를 프로비저닝하는 또 다른 방법을 제공합니다. Active Directory 인스턴스에서 사용자를 동기화하는 대신, Just-in-Time 프로비저닝을 사용하면 사용자 로그인 시 ID 제공자가 보낸 SAML 어설션을 기준으로 사용자가 동적으로 만들어지고 업데이트됩니다.
이 시나리오에서 VMware Identity Manager는 SAML SP(서비스 제공자) 역할을 합니다.
Just-in-Time 구성은 타사 ID 제공자에 대해서만 구성할 수 있습니다. 커넥터에 대해서는 사용할 수 없습니다.
Just-in-Time 구성을 사용할 경우 모든 사용자 생성 및 관리가 SAML 어설션을 통해 처리되고 타사 ID 제공자가 인증을 처리하므로 온-프레미스에서 커넥터를 설치할 필요가 없습니다.
사용자 생성 및 관리
Just-in-Time 사용자 프로비저닝이 사용되도록 설정되면 사용자가 VMware Identity Manager 서비스 로그인 페이지로 이동한 후 도메인을 선택할 경우 사용자가 올바른 ID 제공자로 리디렉션됩니다. 사용자는 로그인한 후 인증되고, ID 제공자에 의해 SAML 어설션을 통해 VMware Identity Manager 서비스로 다시 리디렉션됩니다. SAML 어설션의 특성은 서비스에서 사용자를 만드는 데 사용됩니다. 서비스에 정의된 사용자 특성과 일치하는 특성만 사용되고 다른 특성은 무시됩니다. 또한 해당 사용자는 특성을 기준으로 그룹에 추가되고 해당 그룹에 대해 설정된 사용 권한을 받습니다.
이후 로그인 시 SAML 어설션이 변경된 경우 사용자가 서비스에서 업데이트됩니다.
Just-in-Time 프로비저닝된 사용자는 삭제할 수 없습니다. 사용자를 삭제하려면 Just-in-Time 디렉토리를 삭제해야 합니다.
모든 사용자 관리는 SAML 어설션을 통해 처리됩니다. 서비스에서 직접 이러한 사용자를 만들거나 업데이트할 수는 없습니다. Just-in-Time 사용자는 Active Directory에서 동기화할 수 없습니다.
SAML 어설션에 필요한 특성에 대한 자세한 정보는 SAML 어설션에 대한 요구 사항의 내용을 참조하십시오.
Just-in-Time 디렉토리
타사 ID 제공자의 경우 서비스에서 연결된 Just-in-Time 디렉토리가 있어야 합니다.
처음에 ID 제공자에 대해 Just-in-Time 프로비저닝을 사용하도록 설정할 경우 새 Just-in-Time 디렉토리를 만들고 해당 디렉토리에 대해 하나 이상의 도메인을 지정합니다. 해당 도메인에 속하는 사용자는 해당 디렉토리로 프로비저닝됩니다. 해당 디렉토리에 대해 여러 도메인이 구성되면 SAML 어설션에 도메인 특성이 포함되어야 합니다. 디렉토리에 대해 단일 도메인이 구성되면 SAML 어설션에 대해 도메인 특성이 필요하지 않지만, 지정할 경우에는 해당 값이 도메인 이름과 일치해야 합니다.
Just-in-Time 유형의 디렉토리 1개만 Just-in-Time 프로비저닝을 사용하도록 설정된 ID 제공자와 연결될 수 있습니다.