Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Aprenda a usar filtros de ámbito en el servicio de aprovisionamiento de Microsoft Entra para definir reglas basadas en atributos. Las reglas se usan para determinar qué usuarios o grupos se aprovisionan.
Casos en los que se usan los filtros de ámbito
Se usan filtros de ámbito para evitar el aprovisionamiento de los objetos de las aplicaciones que admiten el aprovisionamiento automático de usuarios, en caso de que un objeto no cumpla los requisitos empresariales. Un filtro de ámbito permite incluir o excluir a cualquier usuario que tenga un atributo que coincida con un valor específico. Por ejemplo, al aprovisionar usuarios de Microsoft Entra ID a una aplicación SaaS que use un equipo de ventas, puede especificar que solo los usuarios que tengan el atributo de "Departamento de ventas" deben estar incluidos en el ámbito de aprovisionamiento.
Puede usar los filtros de ámbito de diversas maneras, según el tipo de conector de aprovisionamiento:
Aprovisionamiento saliente de Microsoft Entra ID a aplicaciones SaaS. Cuando Microsoft Entra ID es el sistema de origen, las asignaciones de usuarios y grupos son el método más común para determinar qué usuarios están en el ámbito del aprovisionamiento. Estas asignaciones también se usan para habilitar el inicio de sesión único y proporcionan un único método para administrar el acceso y el aprovisionamiento. Igualmente, puede usar los filtros de ámbito de forma opcional como complemento a las asignaciones, o simplemente puede filtrar los usuarios según los valores de los atributos.
Sugerencia
Cuantos más usuarios y grupos se encuentren en el ámbito para el aprovisionamiento, más tiempo puede tardar el proceso de sincronización. Establecer el ámbito en sincronizar usuarios y grupos asignados, limitar el número de grupos asignados a la aplicación y limitar el tamaño de los grupos reducirá el tiempo necesario para sincronizar a todos los que están en el ámbito.
Aprovisionamiento entrante de aplicaciones HCM a Microsoft Entra ID y Active Directory. Cuando una aplicación HCM como Workday es el sistema de origen, los filtros de ámbito son el método principal para determinar qué usuarios se deben aprovisionar desde la aplicación HCM a Active Directory o microsoft Entra ID.
De manera predeterminada, los conectores de aprovisionamiento de Microsoft Entra no tienen configurados los filtros de ámbito basados en atributos.
Cuando Microsoft Entra ID es el sistema de origen, las asignaciones de usuarios y grupos son el método más común para determinar qué usuarios están en el ámbito del aprovisionamiento. Reducir el número de usuarios en el ámbito mejora el rendimiento y la sincronización de usuarios y grupos asignados, en lugar de sincronizar todos los usuarios y grupos.
Los filtros de ámbito se pueden usar opcionalmente, además de determinar el ámbito por asignación. Un filtro de ámbito permite que el servicio de aprovisionamiento de Microsoft Entra incluya o excluya a cualquier usuario que tenga un atributo que coincida con un valor específico. Por ejemplo, al aprovisionar usuarios de un equipo de ventas, puede especificar que solo los usuarios que tengan un atributo "departamento" de "ventas" deban estar incluidos en el ámbito de aprovisionamiento.
Estructura de un filtro de ámbito
Un filtro de ámbito consta de una o varias cláusulas. Las cláusulas determinan qué usuarios pueden atravesar el filtro de ámbito mediante la evaluación de los atributos de cada usuario. Por ejemplo, podría tener una cláusula que requiere que el atributo "Estado" del usuario sea igual a "Nueva York", de modo que solo se aprovisionará a los usuarios de Nueva York en la aplicación.
Una sola cláusula define una única condición de un solo valor de atributo. Si se crean varias cláusulas en un filtro de ámbito único, se evalúan juntas mediante la función lógica "AND". La lógica "AND" significa que todas las cláusulas deben evaluarse como "true" para que un usuario pueda ser aprovisionado.
Por último, puede crear varios filtros de ámbito para una sola aplicación. Si hay varios filtros de ámbito, se evalúan juntos mediante la función lógica "OR". La lógica "OR" significa que si todas las cláusulas de cualquiera de los filtros de ámbito configurados resultan ser "true", el usuario será aprovisionado.
Cada usuario o grupo que procesa el servicio de aprovisionamiento de Microsoft Entra se evalúa siempre de forma individual con cada filtro de ámbito.
Por ejemplo, teniendo en cuenta el siguiente filtro de ámbito:
Según este filtro de ámbito, los usuarios deben cumplir los siguientes criterios para ser aprovisionados:
- Deben estar en Nueva York.
- Deben trabajar en el departamento de ingeniería.
- Su identificador de empleado de la empresa debe estar entre 1.000.000 y 2.000.000.
- El puesto no debe estar vacío ni ser un valor nulo.
Creación de filtros de ámbito
Los filtros de ámbito se configuran como parte de las asignaciones de atributos de cada conector de aprovisionamiento de usuarios de Microsoft Entra. En el procedimiento siguiente se da por supuesto que ya ha configurado el aprovisionamiento automático para una de las aplicaciones admitidas y está agregando un filtro de ámbito a ella.
Creación de un filtro de ámbito
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones.
Vaya a Entra ID>Aplicaciones de empresa>Todas las aplicaciones.
Seleccione la aplicación para la que desea configurar el aprovisionamiento automático: por ejemplo, "ServiceNow".
Vaya a Entra ID>Identidades Externas>Sincronización entre inquilinos>Configuraciones
Seleccione la configuración.
- Seleccione la pestaña Aprovisionamiento .
- En la sección Mapeos, seleccione el mapeo en la que desea configurar un filtro de ámbito: por ejemplo, "Sincronizar usuarios de Microsoft Entra con ServiceNow".
- En la sección Asignaciones, seleccione la asignación para el que desea configurar un filtro de alcance: por ejemplo, "Aprovisionar usuarios de Microsoft Entra".
Seleccione el menú Ámbito de objeto de origen .
Seleccione Agregar filtro de ámbito.
Para definir una cláusula, seleccione un nombre de atributo de origen, un operador y un valor de atributo con el que buscar coincidencias. Se admiten los siguientes operadores:
a) & La cláusula devuelve "true" si el atributo evaluado existe en el valor de la cadena de entrada.
b. !&. La cláusula devuelve "true" si el atributo evaluado no existe en el valor de la cadena de entrada.
c. TERMINA_CON. La cláusula devuelve "true" si el atributo evaluado termina con el valor de cadena de entrada.
d. ES IGUAL. La cláusula devuelve "true" si el atributo que se evalúa coincide exactamente con el valor de la cadena de entrada (se distingue entre mayúsculas y minúsculas).
e. Greater_Than. La cláusula devuelve "true" si el atributo evaluado es mayor que el valor. El valor especificado en el filtro de ámbito debe ser un entero y el atributo del usuario debe ser un entero [0, 1, 2,...].
f. Mayor_Que_O_Igual_A. La cláusula devuelve "true" si el atributo evaluado es mayor o igual que el valor. El valor especificado en el filtro de ámbito debe ser un entero y el atributo del usuario debe ser un entero [0, 1, 2,...].
g. Incluye. La cláusula devuelve "true" si el atributo evaluado contiene el valor de cadena (distingue mayúsculas de minúsculas) como se describe aquí.
h. ES FALSE. La cláusula devuelve "true" si el atributo que se evalúa contiene un valor booleano de tipo "false".
Yo. NO ES NULL. La cláusula devuelve "true" si el atributo que se evalúa no está vacío.
j. ES NULL. La cláusula devuelve "true" si el atributo que se evalúa está vacío.
k. ES CIERTO. La cláusula devuelve "true" si el atributo que se evalúa contiene un valor booleano de tipo "true".
l. NO ES IGUAL. La cláusula devuelve "true" si el atributo que se evalúa no coincide con el valor de la cadena de entrada (se distingue entre mayúsculas y minúsculas).
m. NO REGEX MATCH. La cláusula devuelve "true" si el atributo que se evalúa no coincide con el patrón de una expresión regular. Devuelve "false" si el atributo es nulo o está vacío.
n. COINCIDENCIA DE EXPRESIONES REGULARES. La cláusula devuelve "true" si el atributo que se evalúa coincide con el patrón de una expresión regular. Por ejemplo:
([1-9][0-9])coincide con cualquier número entre 10 y 99 (distingue entre mayúsculas y minúsculas).
Importante
- El filtro IsMemberOf no se admite actualmente.
- Actualmente, no se admite el atributo members en un grupo.
- El filtrado no se admite para atributos multivalor.
- Los filtros de ámbito devolverán "false" si el valor es NULL o está vacío
Si lo desea, repita los pasos 7 y 8 para agregar más cláusulas de ámbito.
En Título del filtro de ámbito, agregue un nombre para el filtro de ámbito.
Seleccione Aceptar.
Seleccione de nuevo Aceptar en la pantalla Filtros de ámbito. Si lo desea, repita los pasos del 6 al 11 para agregar otro filtro de ámbito.
Seleccione Guardar en la pantalla Asignación de atributos .
Importante
Si guarda un nuevo filtro de ámbito, se realizará una sincronización completa de la aplicación y todos los usuarios del sistema de origen volverán a ser evaluados mediante el nuevo filtro de ámbito. Si un usuario de la aplicación que estaba en el ámbito de aprovisionamiento se encuentra ahora fuera del mismo, su cuenta se deshabilita o se desaprovisiona de la aplicación. Para invalidar este comportamiento predeterminado, consulte Omitir eliminación de cuentas de usuario que salen del ámbito.
Filtros de ámbito comunes
| Atributo de destino | Operador | Importancia | Descripción |
|---|---|---|---|
| nombre principal de usuario | COINCIDENCIA DE EXPRESIONES REGULARES | .*\@domain.com |
Todos los usuarios con userPrincipal que tienen el dominio @domain.com están en el ámbito de aprovisionamiento. |
| nombre principal de usuario | NO COINCIDENCIA DE REGEX | .*\@domain.com |
Todos los usuarios con userPrincipal que tienen el dominio @domain.com están fuera del ámbito de aprovisionamiento. |
| departamento | IGUALES | sales |
Todos los usuarios del departamento de ventas están en el ámbito del aprovisionamiento |
| WorkerID | COINCIDENCIA DE EXPRESIONES REGULARES | (1[0-9][0-9][0-9][0-9][0-9][0-9]) |
Todos los empleados con workerID entre 1 y 2 millones están en el ámbito del aprovisionamiento. |
Artículos relacionados
- Automatización del aprovisionamiento y desaprovisionamiento de usuarios en aplicaciones SaaS
- Personaliza mapas de atributos para el aprovisionamiento de usuarios
- Escritura de expresiones para asignaciones de atributos
- Notificaciones de aprovisionamiento de cuentas
- Uso de SCIM para habilitar el aprovisionamiento automático de usuarios y grupos de Microsoft Entra ID a aplicaciones
- Lista de tutoriales sobre cómo integrar aplicaciones SaaS