Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern

In diesem Artikel wird die Verwendung von Bereichsfiltern zum Definieren attributbasierter Regeln beschrieben, die festlegen, welche Benutzer für eine Anwendung bereitgestellt werden.

Anwendungsfälle für Bereichsfilter

Durch einen Bereichsfilter kann der Azure AD-Bereitstellungsdienst (Azure Active Directory) Benutzer mit einem bestimmten Attributwert ein- oder ausschließen. Wenn Sie Benutzer beispielsweise über Azure AD für eine SaaS-Anwendung bereitstellen, die von einem Vertriebsteam genutzt wird, können Sie angeben, dass die Bereitstellung nur für Benutzer mit der Einstellung „Sales“ für das Attribut „Department“ durchgeführt werden soll.

Bereichsfilter können abhängig von der Art des Bereitstellungsconnectors unterschiedlich verwendet werden:

  • Ausgehende Bereitstellung aus Azure AD für SaaS-Anwendungen: Wenn Azure AD das Quellsystem ist, sind Benutzer- und Gruppenzuweisungen die gängigste Methode, um zu ermitteln, welche Benutzer im Bereich der Bereitstellung enthalten sind. Diese Zuweisungen werden auch verwendet, um das einmalige Anmelden zu ermöglichen und eine zentrale Methode für die Zugriffs- und Bereitstellungsverwaltung bereitzustellen. Bereichsfilter können optional verwendet werden – zusätzlich zu oder anstelle von Zuweisungen –, um Benutzer basierend auf Attributwerten zu filtern.

    Tipp

    Je mehr Benutzer und Gruppen im Bereitstellungsumfang enthalten sind, desto länger kann der Synchronisierungsprozess dauern. Wenn Sie den Bereich zum Synchronisieren zugewiesener Benutzer und Gruppen festlegen, wird durch das Beschränken der Anzahl der Gruppen, die der App zugewiesen sind, und das Beschränken der Gruppengröße die Zeit verringert, die für das Synchronisieren aller im Bereich enthaltenen Benutzer erforderlich ist.

  • Eingehende Bereitstellung aus HCM-Anwendungen für Azure AD und Active Directory: Wenn eine HCM-Anwendung (beispielsweise Workday) das Quellsystem ist, sind Bereichsfilter die Hauptmethode für die Ermittlung, welche Benutzer aus der HCM-Anwendung für Active Directory oder Azure AD bereitgestellt werden sollen.

Standardmäßig sind für Azure AD-Bereitstellungsconnectors keine attributbasierten Bereichsfilter konfiguriert.

Erstellung von Bereichsfiltern

Ein Bereichsfilter enthält mindestens eine Klausel. Klauseln bestimmen, welche Benutzer den Bereichsfilter passieren dürfen. Hierzu werden die Attribute der einzelnen Benutzer ausgewertet. Wenn für eine Klausel also beispielsweise das state-Attribut eines Benutzers „New York“ lauten muss, werden für die Anwendung nur Benutzer aus New York bereitgestellt.

Mit einer einzelnen Klausel wird eine einzelne Bedingung für einen einzelnen Attributwert definiert. Wenn in einem einzelnen Bereichsfilter mehrere Klauseln erstellt werden, werden sie gemeinsam mittels AND-Logik ausgewertet. Dies bedeutet, dass die Auswertung für alle Klauseln „true“ ergeben muss, damit ein Benutzer bereitgestellt werden kann.

Für eine einzelne Anwendung können außerdem mehrere Bereichsfilter erstellt werden. Mehrere Bereichsfilter werden gemeinsam mittels OR-Logik ausgewertet. Wenn die Auswertung für alle Klauseln der konfigurierten Bereichsfilter „true“ ergibt, wird der Benutzer bereitgestellt.

Die vom Azure AD-Bereitstellungsdienst verarbeiteten Benutzer oder Gruppen werden jeweils einzeln auf der Grundlage der einzelnen Bereichsfilter ausgewertet.

Als Beispiel soll der folgende Bereichsfilter dienen:

Bereichsfilter

Gemäß diesem Bereichsfilter müssen Benutzer die folgenden Kriterien erfüllen, damit sie bereitgestellt werden können:

  • Sie müssen sich in New York befinden.
  • Sie müssen in der Technikabteilung arbeiten.
  • Ihre Unternehmensmitarbeiter-ID muss zwischen 1.000.000 und 2.000.000 liegen.
  • Ihre Position darf nicht NULL oder leer sein.

Erstellen von Bereichsfiltern

Bereichsfilter werden im Rahmen der Attributzuordnungen für jeden Bereitstellungsconnector für Azure AD-Benutzer konfiguriert. In der folgenden Prozedur wird davon ausgegangen, dass Sie bereits die automatische Bereitstellung für eine der unterstützten Anwendungen eingerichtet haben und dafür nun einen Bereichsfilter hinzufügen möchten.

Erstellen eines Bereichsfilters

  1. Navigieren Sie im Azure-Portal zu Azure Active Directory>Unternehmensanwendungen>Alle Anwendungen.

  2. Wählen Sie die Anwendung aus, für die Sie die automatische Bereitstellung konfiguriert haben (beispielsweise „ServiceNow“).

  3. Wählen Sie die Registerkarte Bereitstellung.

  4. Wählen Sie im Abschnitt Zuordnungen die Zuordnung aus, für die Sie einen Bereichsfilter konfigurieren möchten (beispielsweise „Azure Active Directory-Benutzer mit ServiceNow synchronisieren“).

  5. Wählen Sie das Menü Quellobjektbereich.

  6. Wählen Sie Bereichsfilter hinzufügen.

  7. Definieren Sie eine Klausel, indem Sie als Quelle einen Attributnamen, einen Operator und einen Attributwert für den Abgleich auswählen. Die folgenden Operatoren werden unterstützt:

    a. EQUALS: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut exakt dem Wert der Eingabezeichenfolge entspricht (Groß-/Kleinschreibung wird berücksichtigt).

    b. NOT EQUALS: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut nicht dem Wert der Eingabezeichenfolge entspricht (Groß-/Kleinschreibung wird berücksichtigt).

    c. IS TRUE: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut den booleschen Wert „true“ enthält.

    d. IS FALSE: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut den booleschen Wert „false“ enthält.

    e. IS NULL: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut leer ist.

    f. IS NOT NULL: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut nicht leer ist.

    g. REGEX MATCH: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut mit einem Muster für reguläre Ausdrücke übereinstimmt. Beispiel: ([1-9][0-9]) entspricht einer beliebigen Zahl zwischen 10 und 99.

    h. NOT REGEX MATCH: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut nicht mit einem Muster für reguläre Ausdrücke übereinstimmt. Sie gibt „false“ zurück, wenn das Attribut NULL/leer ist.

    i. Greater_Than. Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut größer als der Wert ist. Der für den Bereichsfilter angegebene Wert muss eine ganze Zahl sein, und das-Attribut für den Benutzer muss ebenfalls eine ganze Zahl [0, 1, 2,...] sein.

    j. Greater_Than_OR_EQUALS. Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut größer oder gleich als dem Wert ist. Der für den Bereichsfilter angegebene Wert muss eine ganze Zahl sein, und das-Attribut für den Benutzer muss ebenfalls eine ganze Zahl [0, 1, 2,...] sein.

    k. Includes: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut den Zeichenfolgewert enthält, wie hier beschrieben. (Bei der Auswertung wird die Groß-/Kleinschreibung berücksichtigt.)

Wichtig

  • Der IsMemberOf-Filter wird aktuell nicht unterstützt.
  • Das Members-Attribut für eine Gruppe wird derzeit nicht unterstützt.
  • Die Filterung wird für mehrwertige Attribute nicht unterstützt.
  • Von Bereichsfiltern wird „false“ zurückgegeben, wenn der Wert NULL bzw. leer ist.
  1. Optional: Wiederholen Sie die Schritte 7 und 8, um weitere Bereichsklauseln hinzuzufügen.

  2. Fügen Sie unter Bereichsfiltertitel einen Namen für Ihren Bereichsfilter hinzu.

  3. Klicken Sie auf OK.

  4. Klicken Sie auf dem Bildschirm Bereichsfilter erneut auf OK. Optional: Wiederholen Sie die Schritte 6 bis 11, um einen weiteren Bereichsfilter hinzuzufügen.

  5. Klicken Sie auf dem Bildschirm Attributzuordnung auf Speichern.

Wichtig

Beim Speichern eines neuen Bereichsfilters wird eine neue vollständige Synchronisierung für die Anwendung ausgelöst, bei der alle Benutzer im Quellsystem für den neuen Bereichsfilter neu ausgewertet werden. Wenn ein Benutzer in der Anwendung im Bereitstellungsbereich enthalten war und sich dies ändert, wird sein Konto in der Anwendung deaktiviert (bzw. die Bereitstellung aufgehoben). Informationen zum Außerkraftsetzen dieses Standardverhaltens finden Sie unter Überspringen des Löschens von Benutzerkonten außerhalb des gültigen Bereichs.

Allgemeine Bereichsfilter

Zielattribut Operator Wert BESCHREIBUNG
userPrincipalName REGEX MATCH .*@domain.com Alle Benutzer mit dem „userPrincipal“, der die Domäne @domain.com hat, befinden sich im Umfang der Bereitstellung.
userPrincipalName NOT REGEX MATCH .*@domain.com Alle Benutzer mit dem „userPrincipal“, der die Domäne @domain.com hat, befinden sich nicht im Umfang der Bereitstellung.
department EQUALS Vertrieb Alle Benutzer der Vertriebsabteilung befinden sich im Umfang der Bereitstellung.
workerID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) Alle Mitarbeiter mit workerIDs zwischen 1000000 und 2000000 befinden sich im Umfang der Bereitstellung.