Just-in-time-provisioning biedt een andere manier om gebruikers in te richten in de Workspace ONE Access-service. In plaats van gebruikers te synchroniseren vanuit een Active Directory- of andere LDAP-directoryinstantie, worden gebruikers met just-in-time-provisioning dynamisch gemaakt en bijgewerkt wanneer ze zich aanmelden via SAML SSO of OpenID Connect SSO.

Opmerking: Deze functie is niet beschikbaar voor een Workspace ONE Access-tenant waarop VMware Identity Services is ingeschakeld. Zie het onderwerp Niet-ondersteunde Workspace ONE-functies in de handleiding Gebruikersprovisioning en identiteitsfederatie configureren met VMware Identity Services.
Opmerking: Een OpenID Connect-identiteitsprovider kan alleen worden geconfigureerd voor Workspace ONE Access-cloudtenants.

In dit scenario fungeert Workspace ONE Access als de serviceprovider (SP).

De configuratie van Just-in-Time kan alleen worden geconfigureerd voor externe identiteitsproviders. Deze configuratie is niet beschikbaar voor de connector. De externe identiteitsprovider beheert het maken en beheren van alle gebruikers via SAML-verklaringen of OpenID Connect-claims.

Just-in-Time-directory

De externe identiteitsprovider moet een Just-in-Time-directory hebben die eraan is gekoppeld in de service.

Wanneer u just-in-time-provisioning voor een identiteitsprovider inschakelt, maakt u een nieuwe just-in-time-directory aan en specificeert u één of meer domeinen ervoor. Gebruikers die tot deze domeinen behoren, worden toegevoegd aan de directory. Als er meerdere domeinen zijn geconfigureerd voor de directory, moet een domeinkenmerk worden opgenomen in de configuratie. Als één domein voor de directory wordt geconfigureerd, is een domeinkenmerk niet vereist. Als het echter wordt gespecificeerd, moet de waarde overeenkomen met de domeinnaam.

Er kan slechts één directory van het type Just-in-Time worden gekoppeld aan een identiteitsprovider met ingeschakelde Just-in-Time-provisioning.

Maken en beheren van gebruikers

Als just-in-time-gebruikersprovisioning is ingeschakeld en een gebruiker naar de aanmeldingspagina van de Workspace ONE Access-service gaat en een domein selecteert, stuurt de pagina de gebruiker door naar de juiste identiteitsprovider. De gebruiker meldt zich aan en wordt geverifieerd en de identiteitsprovider stuurt de gebruiker terug naar de Workspace ONE Access-service. De gegevens die nodig zijn om de gebruiker in te richten, bevindt zich in het SSO-antwoord en wordt gebruikt om de gebruiker in de Workspace ONE Access-service te maken. Alleen de gegevens voor de gebruikerskenmerken die zijn toegewezen in de Workspace ONE Access-directory, worden gebruikt om de gebruiker in te richten. De gebruiker wordt ook toegevoegd aan groepen op basis van de kenmerken en krijgt de rechten die voor die groepen zijn ingesteld.

Wanneer de gebruiker zich later aanmeldt, worden de gebruikersgegevens, indien deze gewijzigd zijn, in de service bijgewerkt.

Gebruikers voorzien van Just-in-Time kunnen niet worden verwijderd. Om gebruikers te verwijderen, moet u de directory van Just-in-Time verwijderen.

Alle gebruikersbeheer wordt afgehandeld via het antwoord van de identiteitsprovider. U kunt deze gebruikers niet direct vanaf de service aanmaken of bijwerken. Just-in-time-gebruikers kunnen niet worden gesynchroniseerd vanuit Active Directory of andere LDAP-directory's.