Compartir a través de


Asignación de ámbito a los usuarios o grupos que se van a aprovisionar con filtros de ámbito

Aprenda a usar filtros de ámbito en el servicio de aprovisionamiento de Microsoft Entra para definir reglas basadas en atributos. Las reglas se usan para determinar qué usuarios o grupos se aprovisionan.

Casos en los que se usan los filtros de ámbito

Se usan filtros de ámbito para evitar el aprovisionamiento de los objetos de las aplicaciones que admiten el aprovisionamiento automático de usuarios, en caso de que un objeto no cumpla los requisitos empresariales. Un filtro de ámbito permite incluir o excluir a cualquier usuario que tenga un atributo que coincida con un valor específico. Por ejemplo, al aprovisionar usuarios de Microsoft Entra ID a una aplicación SaaS que use un equipo de ventas, puede especificar que solo los usuarios que tengan el atributo de "Departamento de ventas" deben estar incluidos en el ámbito de aprovisionamiento.

Puede usar los filtros de ámbito de diversas maneras, según el tipo de conector de aprovisionamiento:

  • Aprovisionamiento saliente de Microsoft Entra ID a las aplicaciones SaaS. Cuando Microsoft Entra ID es el sistema de origen, las asignaciones de usuarios y grupos son el método más común para determinar qué usuarios deben incluirse en el ámbito de aprovisionamiento. Estas asignaciones también se usan para habilitar el inicio de sesión único y proporcionan un único método para administrar el acceso y el aprovisionamiento. Igualmente, puede usar los filtros de ámbito de forma opcional como complemento a las asignaciones, o simplemente puede filtrar los usuarios según los valores de los atributos.

    Sugerencia

    Cuantos más usuarios y grupos se encuentren en el ámbito para el aprovisionamiento, más tiempo puede tardar el proceso de sincronización. Establecer el ámbito en sincronizar usuarios y grupos asignados, limitar el número de grupos asignados a la aplicación y limitar el tamaño de los grupos reducirá el tiempo necesario para sincronizar a todos los que están en el ámbito.

  • Aprovisionamiento de entrada desde aplicaciones HCM a Microsoft Entra ID y Active Directory. Cuando una Aplicación HCM como Workday es el sistema de origen, los filtros de ámbito son el método principal para determinar qué usuarios deben aprovisionarse desde la aplicación HCM en Active Directory o Microsoft Entra ID.

De manera predeterminada, los conectores de aprovisionamiento de Microsoft Entra no tienen configurados los filtros de ámbito basados en atributos.

Cuando Microsoft Entra ID es el sistema de origen, las asignaciones de usuarios y grupos son el método más común para determinar qué usuarios deben incluirse en el ámbito de aprovisionamiento. Reducir el número de usuarios en el ámbito mejora el rendimiento y la sincronización de usuarios y grupos asignados, en lugar de sincronizar todos los usuarios y grupos.

Los filtros de ámbito se pueden usar opcionalmente, además de determinar el ámbito por asignación. Un filtro de ámbito permite que el servicio de aprovisionamiento de Microsoft Entra incluya o excluya a cualquier usuario que tenga un atributo que coincida con un valor específico. Por ejemplo, al aprovisionar usuarios de un equipo de ventas, puede especificar que solo los usuarios que tengan un atributo "departamento" de "ventas" deban estar incluidos en el ámbito de aprovisionamiento.

Estructura de un filtro de ámbito

Un filtro de ámbito consta de una o más cláusulas. Las cláusulas determinan qué usuarios pueden atravesar el filtro de ámbito mediante la evaluación de los atributos de cada usuario. Por ejemplo, podría tener una cláusula que requiere que el atributo "Estado" del usuario sea igual a "Nueva York", de modo que solo se aprovisionará a los usuarios de Nueva York en la aplicación.

Una sola cláusula define una única condición de un solo valor de atributo. Si se crean varias cláusulas en un filtro de ámbito único, se evalúan juntas mediante la función lógica "AND". La lógica "AND" significa que todas las cláusulas deben evaluarse como "true" para que un usuario pueda ser aprovisionado.

Por último, puede crear varios filtros de ámbito para una sola aplicación. Si hay varios filtros de ámbito, se evalúan juntos mediante la función lógica "OR". La lógica "OR" significa que si todas las cláusulas de cualquiera de los filtros de ámbito configurados resultan ser "true", el usuario será aprovisionado.

Cada usuario o grupo que procesa el servicio de aprovisionamiento de Microsoft Entra se evalúa siempre de forma individual con cada filtro de ámbito.

Por ejemplo, teniendo en cuenta el siguiente filtro de ámbito:

Filtro de ámbito

Según este filtro de ámbito, los usuarios deben cumplir los siguientes criterios para ser aprovisionados:

  • Deben estar en Nueva York.
  • Deben trabajar en el departamento de ingeniería.
  • Su identificador de empleado de la empresa debe estar entre 1.000.000 y 2.000.000.
  • El puesto no debe estar vacío ni ser un valor nulo.

Creación de filtros de ámbito

Los filtros de ámbito se configuran como parte de las asignaciones de atributos de cada conector de aprovisionamiento de usuarios de Microsoft Entra. En el siguiente procedimiento se da por supuesto que ya ha configurado el aprovisionamiento automático de una de las aplicaciones compatibles, para el que agregaremos un filtro de ámbito.

Creación de un filtro de ámbito

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

  1. Inicie sesión en el centro de administración de Microsoft Entra como Administrador de aplicaciones como mínimo.
  1. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.

  2. Seleccione la aplicación para la que desea configurar el aprovisionamiento automático: por ejemplo, "ServiceNow".

  1. Vaya a Identidad>Identidades externas>Sincronización entre inquilinos>Configuraciones.

  2. Seleccione la configuración.

  1. Seleccione la pestaña Aprovisionamiento.
  1. En la sección Asignaciones, seleccione la asignación para la que desea configurar un filtro de ámbito, por ejemplo: "Sincronizar usuarios de Microsoft Entra con ServiceNow".
  1. En la sección Asignaciones, seleccione la asignación para la que quiere configurar un filtro de ámbito, por ejemplo: "Aprovisionamiento de usuarios de Microsoft Entra".
  1. Seleccione el menú Ámbito del objeto de origen.

  2. Seleccione Agregar filtro de ámbito.

  3. Defina una cláusula seleccionando un nombre de atributo de origen, un operador y un valor del atributo para comparar. Se admiten los siguientes operadores:

    a. &. La cláusula devuelve "true" si el atributo evaluado existe en el valor de la cadena de entrada.

    b. !&. La cláusula devuelve "true" si el atributo evaluado no existe en el valor de la cadena de entrada.

    c. ENDS_WITH. La cláusula devuelve "true" si el atributo evaluado termina con el valor de cadena de entrada.

    d. EQUALS. La cláusula devuelve "true" si el atributo que se evalúa coincide exactamente con el valor de la cadena de entrada (se distingue entre mayúsculas y minúsculas).

    e. Greater_Than. La cláusula devuelve "true" si el atributo evaluado es mayor que el valor. El valor especificado en el filtro de ámbito debe ser un entero y el atributo del usuario debe ser un entero [0, 1, 2,...].

    f. Greater_Than_OR_EQUALS. La cláusula devuelve "true" si el atributo evaluado es mayor o igual que el valor. El valor especificado en el filtro de ámbito debe ser un entero y el atributo del usuario debe ser un entero [0, 1, 2,...].

    g. Includes. La cláusula devuelve "true" si el atributo que se evalúa contiene el valor de la cadena (distingue entre mayúsculas y minúsculas) como se describe aquí.

    h. IS FALSE. La cláusula devuelve "true" si el atributo que se evalúa contiene un valor booleano de tipo "false".

    i. IS NOT NULL. La cláusula devuelve "true" si el atributo que se evalúa no está vacío.

    j. IS NULL. La cláusula devuelve "true" si el atributo que se evalúa está vacío.

    k. IS TRUE. La cláusula devuelve "true" si el atributo que se evalúa contiene un valor booleano de tipo "true".

    l. NOT EQUALS. La cláusula devuelve "true" si el atributo que se evalúa no coincide con el valor de la cadena de entrada (se distingue entre mayúsculas y minúsculas).

    m. NOT REGEX MATCH. La cláusula devuelve "true" si el atributo que se evalúa no coincide con el patrón de una expresión regular. Devuelve "false" si el atributo es nulo o está vacío.

    n. REGEX MATCH. La cláusula devuelve "true" si el atributo que se evalúa coincide con el patrón de una expresión regular. Por ejemplo: ([1-9][0-9]) coincide con cualquier número entre 10 y 99 (distingue entre mayúsculas y minúsculas).

Importante

  • El filtro IsMemberOf no se admite actualmente.
  • Actualmente, no se admite el atributo members en un grupo.
  • El filtrado no se admite para atributos multivalor.
  • Los filtros de ámbito devolverán "false" si el valor es NULL o está vacío
  1. Si lo desea, repita los pasos 7 y 8 para agregar más cláusulas de ámbito.

  2. En Título del filtro de ámbito, escriba el nombre del filtro de ámbito.

  3. Seleccione Aceptar.

  4. Seleccione Aceptar de nuevo en la pantalla Filtros de ámbito. Si lo desea, repita los pasos del 6 al 11 para agregar otro filtro de ámbito.

  5. Seleccione Guardar en la pantalla Asignación de atributos.

Importante

Si guarda un nuevo filtro de ámbito, se realizará una sincronización completa de la aplicación y todos los usuarios del sistema de origen volverán a ser evaluados mediante el nuevo filtro de ámbito. Si un usuario de la aplicación que estaba en el ámbito de aprovisionamiento se encuentra ahora fuera del mismo, su cuenta se deshabilita o se desaprovisiona de la aplicación. Para invalidar este comportamiento predeterminado, consulte Omisión de la eliminación de usuarios fuera del ámbito.

Filtros de ámbito comunes

Atributo de destino Operator Value Descripción
userPrincipalName REGEX MATCH .*\@domain.com Todos los usuarios con userPrincipal que tienen el dominio @domain.com están en el ámbito de aprovisionamiento.
userPrincipalName NOT REGEX MATCH .*\@domain.com Todos los usuarios con userPrincipal que tienen el dominio @domain.com están fuera del ámbito de aprovisionamiento.
department EQUALS sales Todos los usuarios del departamento de ventas están en el ámbito del aprovisionamiento
WorkerID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) Todos los empleados con workerID entre 1 y 2 millones están en el ámbito del aprovisionamiento.