啟用第三方身分識別提供者的 Just-in-Time 使用者佈建時,登入期間會根據 SAML 宣告而在 VMware Identity Manager 服務中建立或更新使用者。該身分識別提供者傳送的 SAML 宣告必須包含特定屬性。

  • SAML 宣告必須包含 userName 屬性。

  • SAML 宣告必須包含 VMware Identity Manager 服務中標示為必要的所有使用者屬性。

    若要在管理主控台中檢視或編輯使用者屬性,請在身分識別與存取管理索引標籤中,依序按一下設定使用者屬性

    重要:

    確定 SAML 宣告中的金鑰完全符合屬性名稱,包括大小寫。

  • 如果您為 Just-in-Time 目錄設定多個網域,則 SAML 宣告必須包含 domain 屬性。屬性的值必須符合為目錄設定的其中一個網域。如果此值不符合或未指定網域,則登入會失敗。

  • 如果您為 Just-in-Time 目錄設定單一網域,則在 SAML 宣告中指定 domain 屬性為選用。

    如果指定 domain 屬性,請確定其值符合為目錄設定的網域。如果 SAML 宣告不含網域屬性,則使用者會關聯至為目錄設定的網域。

  • 如果想允許使用者名稱更新,請在 SAML 宣告中加入 ExternalId 屬性。使用者將由 ExternalId 識別。如果在後續登入中 SAML 宣告包含不同的使用者名稱,則仍可正確識別使用者而登入成功,接著會更新 Identity Manager 服務中的使用者名稱。

SAML 宣告中的屬性將用來建立或更新使用者,方法如下所示。

  • 系統會使用 Identity Manager 服務中的必要或選用屬性 (如 [使用者屬性] 頁面中所列)。

  • 系統會忽略不符合 [使用者屬性] 頁面中任何屬性的屬性。

  • 系統會忽略沒有值的屬性。