Zřizování aplikací na základě atributů s filtry oborů

Cílem tohoto článku je vysvětlit, jak používat filtry oborů k definování pravidel založených na atributech, která určují, kteří uživatelé se zřídí pro aplikaci.

Případy použití filtru oborů

Filtr oborů umožňuje službě zřizování Azure Active Directory (Azure AD) zahrnout nebo vyloučit uživatele, kteří mají atribut, který odpovídá konkrétní hodnotě. Například při zřizování uživatelů z Azure AD do aplikace SaaS používané prodejním týmem můžete určit, že v rozsahu pro zřizování by měli být pouze uživatelé s atributem "Oddělení" "Prodej".

Filtry oborů se dají použít různě v závislosti na typu zřizovacího konektoru:

  • Odchozí zřizování z Azure AD do aplikací SaaS. Pokud je Azure AD zdrojový systém, nejběžnější metodou pro určení uživatelů v oboru zřizování jsou přiřazení uživatelů a skupin. Tato přiřazení se také používají k povolení jednotného přihlašování a poskytují jedinou metodu pro správu přístupu a zřizování. Filtry oborů se dají použít volitelně kromě přiřazení nebo místo nich k filtrování uživatelů na základě hodnot atributů.

    Tip

    Čím více uživatelů a skupin je v oboru zřizování, tím déle může proces synchronizace trvat. Nastavením oboru pro synchronizaci přiřazených uživatelů a skupin, omezením počtu skupin přiřazených k aplikaci a omezením velikosti skupin se zkrátí doba potřebná k synchronizaci všech uživatelů v daném oboru.

  • Příchozí zřizování z aplikací HCM pro Azure AD a Active Directory. Pokud je zdrojovým systémem aplikace HCM, jako je Workday, jsou filtry oborů primární metodou pro určení uživatelů, kteří by měli být z aplikace HCM zřízeni do Služby Active Directory nebo Azure AD.

Ve výchozím nastavení Azure AD zřizovací konektory nemají nakonfigurované žádné filtry oborů založené na atributech.

Konstrukce filtru oborů

Filtr oborů se skládá z jedné nebo více klauzulí. Klauzule určují, kteří uživatelé můžou procházet filtrem oborů, vyhodnocením atributů jednotlivých uživatelů. Můžete mít například jednu klauzuli, která vyžaduje, aby atribut "State" uživatele byl roven "New York", takže do aplikace se zřídí jenom uživatelé New Yorku.

Jedna klauzule definuje jednu podmínku pro hodnotu jednoho atributu. Pokud je v jednom filtru oborů vytvořeno více klauzulí, vyhodnocují se společně pomocí logiky AND. To znamená, že všechny klauzule musí být vyhodnoceny jako true, aby bylo možné uživatele zřídit.

Nakonec je možné pro jednu aplikaci vytvořit více filtrů oborů. Pokud existuje více filtrů oborů, vyhodnocují se společně pomocí logiky OR. To znamená, že pokud se všechny klauzule v některém z nakonfigurovaných filtrů oborů vyhodnotí jako true, uživatel se zřídí.

Každý uživatel nebo skupina zpracovávaná službou zřizování Azure AD se vždy vyhodnocují zvlášť podle každého filtru oborů.

Představte si například následující filtr oborů:

Filtr oborů

Podle tohoto filtru oborů musí uživatelé splňovat následující kritéria pro zřízení:

  • Musí být v New Yorku.
  • Musí pracovat v technickém oddělení.
  • ID zaměstnance společnosti musí být mezi 1 000 000 a 2 000 000.
  • Jeho pracovní pozice nesmí být null nebo prázdná.

Vytvoření filtrů oborů

Filtry oborů se konfigurují jako součást mapování atributů pro každý konektor Azure AD zřizování uživatelů. Následující postup předpokládá, že jste už nastavili automatické zřizování pro jednu z podporovaných aplikací a přidáváte do ní filtr oborů.

Vytvoření filtru oborů

  1. V Azure Portal přejděte do části Azure Active Directory>Podnikové aplikace>– Všechny aplikace.

  2. Vyberte aplikaci, pro kterou jste nakonfigurovali automatické zřizování, například ServiceNow.

  3. Vyberte kartu Zřizování.

  4. V části Mapování vyberte mapování, pro které chcete nakonfigurovat filtr oborů: například Synchronizovat uživatele Azure Active Directory s ServiceNow.

  5. Vyberte nabídku Rozsah zdrojového objektu .

  6. Vyberte Přidat filtr oborů.

  7. Definujte klauzuli tak, že vyberete název zdrojového atributu, operátor a hodnotu atributu , které se mají shodovat. Podporují se následující operátory:

    a. ROVNÁ SE. Pokud vyhodnocený atribut přesně odpovídá hodnotě vstupního řetězce (rozlišuje malá a velká písmena), vrátí klauzule hodnotu true.

    b. NEROVNÁ SE. Pokud vyhodnocený atribut neodpovídá hodnotě vstupního řetězce (rozlišují se malá a velká písmena), vrátí klauzule hodnotu true.

    c. JE PRAVDA. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut obsahuje logickou hodnotu true.

    d. JE FALSE. Pokud vyhodnocený atribut obsahuje logickou hodnotu false, vrátí klauzule hodnotu true.

    e. JE NULL. Pokud je vyhodnocený atribut prázdný, vrátí klauzule hodnotu true.

    f. NENÍ NULL. Pokud vyhodnocený atribut není prázdný, vrátí klauzule hodnotu true.

    například SHODA REGULÁRNÍCH VÝRAZŮ. Pokud vyhodnocený atribut odpovídá vzoru regulárního výrazu, vrátí klauzule hodnotu true. Příklad: ([1-9][0-9]) odpovídá libovolnému číslu mezi 10 a 99 (rozlišují se malá a velká písmena).

    h. NEODPOVÍDÁ REGULÁRNÍMU VÝRAZU. Pokud vyhodnocený atribut neodpovídá vzoru regulárního výrazu, vrátí klauzule hodnotu true. Pokud je atribut null nebo prázdný, vrátí hodnotu false.

    i. Greater_Than. Pokud je vyhodnocený atribut větší než hodnota, vrátí klauzule hodnotu true. Hodnota zadaná ve filtru oborů musí být celé číslo a atribut uživatele musí být celé číslo [0,1,2,...].

    j. Greater_Than_OR_EQUALS. Pokud je vyhodnocený atribut větší nebo roven hodnotě, vrátí klauzule hodnotu true. Hodnota zadaná ve filtru oborů musí být celé číslo a atribut uživatele musí být celé číslo [0,1,2,...].

    k. Zahrnuje. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut obsahuje řetězcovou hodnotu (rozlišuje malá a velká písmena), jak je popsáno tady.

Důležité

  • Filtr IsMemberOf se v současné době nepodporuje.
  • Atribut members ve skupině není v současné době podporován.
  • Filtrování není podporováno pro atributy s více hodnotami.
  • Filtry oborů vrátí hodnotu false, pokud je hodnota null nebo prázdná.
  1. Volitelně můžete opakováním kroků 7 až 8 přidat další klauzule oboru.

  2. Do pole Název filtru zadejte název pro filtr oborů.

  3. Vyberte OK.

  4. Na obrazovce Filtry oborů znovu vyberte OK. Volitelně můžete opakováním kroků 6 až 11 přidat další filtr oborů.

  5. Na obrazovce Mapování atributů vyberte Uložit.

Důležité

Uložení nového filtru oborů aktivuje novou úplnou synchronizaci aplikace, kdy se všichni uživatelé ve zdrojovém systému znovu vyhodnotí podle nového filtru oborů. Pokud byl uživatel v aplikaci dříve v oboru zřizování, ale spadá mimo rozsah, je jeho účet v aplikaci zakázaný nebo zrušený. Pokud chcete toto výchozí chování přepsat, přečtěte si téma Vynechání odstranění uživatelských účtů, které přecházejí mimo rozsah.

Běžné filtry oborů

Cílový atribut Operátor Hodnota Popis
userPrincipalName (Hlavní název uživatele) SHODA REGULÁRNÍCH VÝRAZŮ .*@domain.com Všichni uživatelé s atributem userPrincipal, kteří mají doménu @domain.com , budou v oboru zřizování.
userPrincipalName (Hlavní název uživatele) NESHODA REGULÁRNÍHO VÝRAZU .*@domain.com Všichni uživatelé s atributem userPrincipal, kteří mají doménu @domain.com , budou mimo rozsah zřizování.
Oddělení ROVNÁ Prodejní Všichni uživatelé z prodejního oddělení jsou v rozsahu zřizování.
ID pracovního procesu SHODA REGULÁRNÍCH VÝRAZŮ (1[0-9][0-9][0-9][0-9][0-9][0-9]) Rozsah zřizování se vztahuje na všechny zaměstnance s id pracovního procesu mezi 1000000 a 2000000.