Configurer l'approvisionnement juste-à-temps dans OneLogin

Vous pouvez rationaliser l'intégration de vos utilisateurs en configurant l'approvisionnement juste-à-temps (JIT) dans OneLogin. Cette fonctionnalité automatise la création de compte et met à jour le moment où un utilisateur s'authentifie via un fournisseur d'identité de confiance (ITdP). En mappant les attributs principaux de la section Mappage d'attributs dans JIT ou en utilisant l'éditeur de transformation pour une logique personnalisée, vous pouvez vous assurer que les utilisateurs sont instantanément reconnus et affectés aux bons rôles sans intervention manuelle.

  1. Connectez-vous à OneLogin.
  2. Accédez à Authentication > IdP de confiance et cliquez sur New Trust.
  3. Dans le volet de gauche, accédez à la section JIT.
  4. Activez le paramètre d'approvisionnement Juste-à-temps (JIT).
  5. Activez Définir le TIDP de l'utilisateur après la création de l'utilisateur.
  6. Mappez les attributs suivants : Prénom, Nom, et E-mail.
  7. Configurez des attributs supplémentaires selon vos besoins :
    • Valeur du TIDP : saisissez le nom exact de l'attribut, sensible à la casse, tel que défini dans votre IdP. Vous pouvez donner la valeur TIDP de la manière suivante :

      • Pour l'E-mail, il devrait s'agir de {tidp.email}

      • Pour le Prénom, il devrait s'agir de {tidp.given_name}

      • Pour le Nom de famille, il devrait s'agir de {tidp.family_name}

    • Champ utilisateur : sélectionnez le nom de l'attribut OneLogin auquel mapper la valeur de l'IdP.
    • Obligatoire ? : cochez cette case si l'attribut est obligatoire.
    • Peut être mis à jour ? (Facultatif) : cochez cette case pour permettre la mise à jour de l'enregistrement de l'utilisateur avec les nouvelles informations reçues de l'IdP.
    • Transformer (facultatif) : ajoutez ou modifiez les détails de la transformation pour personnaliser les attributs et les paramètres d'accès.

Personnaliser les attributs utilisateur à l'aide de Transform Editor (facultatif)

Transform Editor vous aide à personnaliser les attributs utilisateur en utilisant un ensemble restreint de fonctionnalités JavaScript. Cela vous permet de configurer automatiquement les rôles ou attributs des utilisateurs en fonction des valeurs mappées depuis votre IdP. Par exemple, vous pouvez automatiquement affecter un rôle spécifique à un utilisateur, en fonction de son intitulé de poste tel que fourni par son compte IdP. L'éditeur fournit les paramètres et fonctions suivants :

Paramètres/Fonctions Description

current_value

La valeur actuelle de l'attribut pour lequel la transformation doit être ajoutée.

tidp_attributes

Les instructions d'attribut restantes de l'assertion SAML. Par exemple, tidp_attributes["User.Email"].

saml_response

La chaîne qui contient la réponse SAML.

setPameter_Name

Utilisez cette fonction pour définir la valeur de l'attribut. Mettez en majuscules la première lettre du nom du paramètre et la première lettre après les traits de soulignement. Laissez le reste en minuscules.

reject

Utilisez cette fonction pour rejeter la valeur de l'attribut et rejeter complètement l'assertion. Cette fonction déclenche un événement qui empêche la création de l'utilisateur et, par conséquent, l'empêche de se connecter.

Script de transformation

Ce script de transformation de base analyse l'adresse e-mail d'un utilisateur et affecte le rôle Ventes à tout utilisateur au sein du dacmesales.com domain. Vous pouvez modifier ce script pour répondre aux besoins spécifiques de votre organisation.


         var email = tidp_attributes["Email"].split("@");
         var domain = email[1];
         if (domain === "acmesales.com") 
         {
         setRoles("Sales");
         }

Étape suivante

Vérifier l'authentification unique (SSO) initiée par fournisseur de service