Just-in-Time-provisioning biedt een andere manier om gebruikers in te richten in de Workspace ONE Access-service. In plaats van gebruikers te synchroniseren vanaf een exemplaar van Active Directory, worden gebruikers met de Just-in-Time-provisioning dynamisch gemaakt en bijgewerkt wanneer ze zich aanmelden op basis van SAML-bevestigingen die door de identiteitsprovider worden verzonden.
In dit scenario werkt Workspace ONE Access als SAML-serviceprovider (SP).
De configuratie van Just-in-Time kan alleen worden geconfigureerd voor externe identiteitsproviders. Deze configuratie is niet beschikbaar voor de connector.
Met een Just-in-Time-configuratie hoeft u geen connector te installeren op locatie, omdat het maken en beheren van gebruikers wordt behandeld via SAML-bevestigingen en verificatie wordt behandeld door de externe identiteitsprovider.
Maken en beheren van gebruikers
Als Just-in-Time-gebruikersprovisioning is ingeschakeld en een gebruiker naar de aanmeldingspagina van de Workspace ONE Access-service gaat en een domein selecteert, stuurt de pagina de gebruiker door naar de juiste identiteitsprovider. De gebruiker meldt zich aan, wordt geverifieerd en wordt door de identiteitsprovider teruggestuurd naar de Workspace ONE Access-service met een SAML-bevestiging. De kenmerken in de SAML-bevestiging worden gebruikt om de gebruiker in de service aan te maken. Er worden alleen eigenschappen gebruikt die overeenkomen met de kenmerken van de gebruiker die in de service worden gedefinieerd; overige kenmerken worden genegeerd. De gebruiker wordt ook toegevoegd aan groepen op basis van de kenmerken en krijgt de rechten die voor die groepen zijn ingesteld.
Wanneer de gebruiker zich later aanmeldt, wordt hij/zij, als er wijzigingen zijn in de SAML-bevestiging, in de service bijgewerkt.
Gebruikers voorzien van Just-in-Time kunnen niet worden verwijderd. Om gebruikers te verwijderen, moet u de directory van Just-in-Time verwijderen.
Let op dat alle gebruikersbeheer wordt behandeld via SAML-bevestigingen. U kunt deze gebruikers niet direct vanaf de service aanmaken of bijwerken. Gebruikers van Just-in-Time kunnen niet worden gesynchroniseerd vanaf Active Directory.
Raadpleeg Vereisten voor SAML-bevestigingen voor informatie over de kenmerken die vereist zijn in de SAML-bevestiging.
Just-in-Time-directory
De externe identiteitsprovider moet een Just-in-Time-directory hebben die eraan is gekoppeld in de service.
Wanneer u de Just-in-Time-provisioning voor een identiteitsprovider voor het eerst inschakelt, maakt u een nieuwe Just-in-Time-directory aan en specificeert u één of meer domeinen ervoor. Gebruikers die tot deze domeinen behoren, worden toegevoegd aan de directory. Als meerdere domeinen voor de directory zijn geconfigureerd, moeten SAML-bevestigingen een domeinkenmerk bevatten. Als één domein voor de directory wordt geconfigureerd, is een domeinkenmerk niet vereist in SAML-bevestigingen. Als het echter wordt gespecificeerd, moet de waarde overeenkomen met de domeinnaam.
Er kan slechts één directory, van het type Just-in-Time, worden gekoppeld aan een identiteitsprovider met ingeschakelde Just-in-Time-provisioning.