Just-in-Time 프로비저닝은 Workspace ONE Access 서비스에서 사용자를 프로비저닝하는 또 다른 방법을 제공합니다. Active Directory 또는 다른 LDAP 디렉토리 인스턴스에서 사용자를 동기화하는 대신, Just-in-time 프로비저닝을 사용하여 SAML SSO 또는 OpenID Connect SSO를 통해 로그인할 때 사용자가 동적으로 생성되고 업데이트됩니다.
이 시나리오에서 Workspace ONE Access는 SP(서비스 제공자) 역할을 합니다.
Just-in-Time 구성은 타사 ID 제공자에 대해서만 구성할 수 있습니다. 커넥터에 대해서는 사용할 수 없습니다. 타사 ID 제공자는 SAML 어설션을 사용하거나 OpenID Connect 클레임을 통해 모든 사용자 생성 및 관리를 관리합니다.
Just-in-Time 디렉토리
타사 ID 제공자의 경우 서비스에서 연결된 Just-in-Time 디렉토리가 있어야 합니다.
ID 제공자에 대해 Just-in-Time 프로비저닝을 사용하도록 설정할 경우 Just-in-Time 디렉토리를 만들고 해당 디렉토리에 대해 하나 이상의 도메인을 지정합니다. 해당 도메인에 속하는 사용자는 해당 디렉토리로 프로비저닝됩니다. 디렉토리에 대해 여러 도메인이 구성된 경우 도메인 특성을 구성에 포함해야 합니다. 디렉토리에 대해 단일 도메인이 구성되면 도메인 특성이 필요하지 않지만, 지정할 경우에는 해당 값이 도메인 이름과 일치해야 합니다.
Just-in-Time 유형의 디렉토리 1개만 Just-in-Time 프로비저닝을 사용하도록 설정된 ID 제공자와 연결될 수 있습니다.
사용자 생성 및 관리
Just-in-Time 사용자 프로비저닝이 사용되도록 설정되면 사용자가 Workspace ONE Access 서비스 로그인 페이지로 이동한 후 도메인을 선택할 경우 올바른 ID 제공자로 리디렉션됩니다. 사용자가 로그인하고 인증되며, ID 제공자는 사용자를 다시 Workspace ONE Access 서비스로 리디렉션합니다. 사용자를 프로비저닝하는 데 필요한 데이터는 SSO 응답에 있으며 Workspace ONE Access 서비스에서 사용자를 생성하는 데 사용됩니다. Workspace ONE Access 디렉토리에 매핑된 사용자 특성에 대한 데이터만 사용자를 프로비저닝하는 데 사용됩니다. 또한 해당 사용자는 특성을 기준으로 그룹에 추가되고 해당 그룹에 대해 설정된 사용 권한을 받습니다.
이후 로그인 시 사용자 데이터가 변경된 경우 사용자 데이터가 서비스에서 업데이트됩니다.
Just-in-Time 프로비저닝된 사용자는 삭제할 수 없습니다. 사용자를 삭제하려면 Just-in-Time 디렉토리를 삭제해야 합니다.
모든 사용자 관리는 ID 제공자 응답을 통해 처리됩니다. 서비스에서 직접 이러한 사용자를 만들거나 업데이트할 수는 없습니다. Just-in-time 사용자는 Active Directory 또는 다른 LDAP 디렉토리에서 동기화할 수 없습니다.