Wanneer just-in-time-provisioning is ingeschakeld voor een externe OpenID Connect-identiteitsprovider, worden gebruikers gemaakt in Workspace ONE Access en dynamisch bijgewerkt wanneer ze zich aanmelden, op basis van het token dat door de identiteitsprovider is verzonden.
Het OpenID Connect-token moet de volgende kenmerken (claims) bevatten in het antwoord op Workspace ONE Access.
- Domeinkenmerk. Als u meerdere domeinen voor de just-in-time-directory configureert, moet het OpenID Connect-token het domeinkenmerk bevatten. De waarde van het kenmerk moet overeenkomen met de domeinen die voor de directory zijn geconfigureerd. Als de waarde niet overeenkomt of als er geen domein is opgegeven, kunt u zich niet aanmelden.
- Het OpenID Connect-token moet alle kenmerken bevatten die als vereist zijn gemarkeerd op de pagina Gebruikerskenmerken in de Workspace ONE Access-service.
U kunt de gebruikerskenmerken bekijken of bewerken op de pagina
in de Workspace ONE Access-console.
De vereiste kenmerken van de pagina Gebruikerskenmerken worden geconfigureerd in de OpenID Connect-configuratie onder Toewijzing van gebruikerskenmerken. Na een geslaagde verificatie worden kenmerken van het token van bereik-ID voor OpenID Connect gebruikt om de informatie van een JIT-gebruiker te maken of bij te werken.
- Kenmerken die zijn geconfigureerd op de configuratie van de OpenID Connect-identiteitsprovider onder Toewijzing van gebruikerskenmerken worden gebruikt.
- Kenmerken die niet overeenkomen met kenmerken op de pagina Gebruikerskenmerken worden genegeerd.
- Kenmerken zonder waarde worden genegeerd