#WS1 Access专辑 | Access里的即时(JIT)用户目录
本文有点难度,因为我们聊的是Workspace ONE Access.
而且我们聊得是即时用户目录,JIT=Just in time。
“即时”翻译不完全准确,我们还是叫JIT好了。
一句话解释就是:这用户本来没有,访问的时候就自动创建出来了,所以要Just In Time
01
—
Just In Time(JIT)是什么?
其实把JIT翻译成“即时”不完全准确,我们还是叫JIT好了。
一句话解释就是:这用户本来没有,访问的时候就自动创建出来了,所以就叫Just In Time。你有可能都不一定需要部署access connector。
这种机制在某些用户场景是非常有用的,特别是在开启了第三方IDP做认证的时候。
这样就可以在需要的时候:
自动创建用户。
自动修改用户属性。
这两者都是从SAML 断言(assertion)中获取。
当然有几点要注意:
JIT属于本地用户组(这也是为是什么你不需要connector的原因)。
需要自定义用户属性,加入External ID。
无法手工移除JIT用户,但你可以把整个JIT用户组删掉。
02
—
JIT用户创建流程
我们用Access做🌰,因为Access本来就是支持SAML协议,可以作为另外一台Access的认证来源(第三方IDP)。
我们分一下角色:
aw-theped: SP,提供应用。
aw-theped2: IDP,和AD目录集成。
用户属性在SAML认证过程中进行传递,最终aw-theped上自动创建了John Doe这个JIT用户。
所以,我们在aw-theped2创建应用的时候,记得加上ExternalID,map到objectGUID,当然,这个objectGUID是在和AD集成后map到AD用户属性objectGUID的。
在aw-theped上创建了JIT用户目录,起名为aw-theped2。
03
—
看效果
目前aw-theped的用户列表里面没有John Doe。
我们尝试登陆aw-theped,会被跳转到aw-theped2,此时输入John doe进行登陆。
登陆后从SAML Tracer 就可以看到断言中包含了John Doe的用户属性。
用户也被创建了出来(aw-theped上)。ExternalID也可以看到。
下面我们尝试改一下用户名。
在aw-theped2上同步用户,确认信息被同步过来。
此时aw-theped上的信息还未同步。
我们这时候重新登陆门户,输入凭证。注意用户名已改,需要输入新的用户名,要不然无法登陆。
在SAML断言中可见用户属性的改变。
进入aw-theped管理后台就会发现用户属性也自动修改好了。
当然,做应用分配授权的时候由于用户可能会改来改去,此时用Group是最好的方式,定义一个包含JIT用户组的group就好啦。
下面⏯原始视频,供你们参考: