啟用第三方身分識別提供者的 Just-in-Time 使用者佈建時,登入期間會根據 SAML 宣告而在 VMware Identity Manager 服務中建立或更新使用者。該身分識別提供者傳送的 SAML 宣告必須包含特定屬性。
SAML 宣告必須包含
userName
屬性。SAML 宣告必須包含 VMware Identity Manager 服務中標示為必要的所有使用者屬性。
若要在管理主控台中檢視或編輯使用者屬性,請在身分識別與存取管理索引標籤中,依序按一下設定和使用者屬性。
重要:確定 SAML 宣告中的金鑰完全符合屬性名稱,包括大小寫。
如果您為 Just-in-Time 目錄設定多個網域,則 SAML 宣告必須包含
domain
屬性。屬性的值必須符合為目錄設定的其中一個網域。如果此值不符合或未指定網域,則登入會失敗。如果您為 Just-in-Time 目錄設定單一網域,則在 SAML 宣告中指定
domain
屬性為選用。如果指定
domain
屬性,請確定其值符合為目錄設定的網域。如果 SAML 宣告不含網域屬性,則使用者會關聯至為目錄設定的網域。如果想允許使用者名稱更新,請在 SAML 宣告中加入
ExternalId
屬性。使用者將由ExternalId
識別。如果在後續登入中 SAML 宣告包含不同的使用者名稱,則仍可正確識別使用者而登入成功,接著會更新 Identity Manager 服務中的使用者名稱。
SAML 宣告中的屬性將用來建立或更新使用者,方法如下所示。
系統會使用 Identity Manager 服務中的必要或選用屬性 (如 [使用者屬性] 頁面中所列)。
系統會忽略不符合 [使用者屬性] 頁面中任何屬性的屬性。
系統會忽略沒有值的屬性。