為 OpenID Connect 第三方身分識別提供者啟用即時佈建時,會在 Workspace ONE Access 中建立使用者,並在其登入時,根據身分識別提供者所傳送的權杖動態更新。
OpenID Connect 權杖必須在對 Workspace ONE Access 的回應中包含下列屬性 (宣告)。
- 網域屬性。如果您為即時目錄設定多個網域,則 OpenID Connect 權杖必須包含網域屬性。屬性的值必須符合為目錄設定的其中一個網域。如果此值不符合或未指定網域,則登入會失敗。
- OpenID Connect 權杖必須包含 Workspace ONE Access 服務的 [使用者屬性] 頁面中標示為必要的所有屬性。
若要在 Workspace ONE Access 主控台中檢視或編輯使用者屬性,請在身分識別與存取管理索引標籤中按一下設定,然後按一下使用者屬性。
[使用者屬性] 頁面中的必要屬性是在 [使用者屬性對應] 下的 OpenID Connect 組態中進行設定。成功完成驗證後,會使用來自 OpenID Connect 範圍識別碼權杖的屬性來建立或更新 JIT 使用者的資訊。
- 會使用在 [使用者屬性對應] 下的 OpenID Connect 身分識別提供者組態下設定的屬性。
- 系統會忽略不符合 [使用者屬性] 頁面中任何屬性的屬性。
- 系統會忽略沒有值的屬性。