Étendue des utilisateurs ou des groupes à provisionner avec des filtres d’étendue

  • Article
  • 7 minutes de lecture

Important

La synchronisation interlocataire est actuellement en PRÉVERSION. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Cet article explique comment utiliser des filtres d’étendue dans le service de provisionnement Azure Active Directory (Azure AD) pour définir des règles basées sur des attributs qui déterminent quels utilisateurs ou groupes sont provisionnés.

Cas d’utilisation du filtre d’étendue

Vous utilisez des filtres d’étendue pour empêcher des objets dans les applications qui prennent en charge le provisionnement automatisé des utilisateurs d’être provisionnés si l’un d’eux ne répond pas à vos besoins métier. Un filtre d’étendue vous permet d’inclure ou d’exclure tout utilisateur ayant un attribut qui correspond à une valeur spécifique. Par exemple, lors d’un approvisionnement d’utilisateurs depuis Azure AD vers une application SaaS utilisée par une équipe de vente, vous pouvez spécifier que seuls les utilisateurs dont l’attribut « Département » est « Ventes » doivent être sujets à l’approvisionnement.

Les filtres d’étendue peuvent être utilisés différemment en fonction du type du connecteur d’approvisionnement :

  • Approvisionnement sortant d’Azure AD vers des applications SaaS. Quand Azure AD est le système source, les affectations d’utilisateur et de groupe sont les méthodes les plus courantes pour déterminer les utilisateurs sujets à un approvisionnement. Ces affectations sont également utilisées pour activer l’authentification unique et fournissent une méthode unique pour gérer l’accès et l’approvisionnement. Les filtres d’étendue peuvent être utilisés si vous le souhaitez, en plus des affectations ou à leur place, afin de filtrer les utilisateurs selon des valeurs d’attribut.

    Conseil

    Plus il y a d’utilisateurs et de groupes dans l’étendue du provisionnement, plus le processus de synchronisation peut prendre du temps. La définition de l’étendue pour synchroniser les utilisateurs et les groupes affectés, la limitation du nombre de groupes affectés à l’application et la limitation de la taille des groupes réduiront le temps nécessaire pour synchroniser toutes les personnes dans l’étendue.

  • Approvisionnement entrant des applications HCM vers Azure AD et Active Directory. Quand une application HCM telle que Workday est le système source, l’utilisation de filtres d’étendue est la principale méthode pour déterminer les utilisateurs sujets à un approvisionnement de l’application HCM vers Active Directory ou Azure AD.

Par défaut, les connecteurs de provisionnement Azure AD ne disposent pas de filtres d’étendue basés sur les attributs configurés.

Quand Azure AD est le système source, les affectations d’utilisateur et de groupe sont les méthodes les plus courantes pour déterminer les utilisateurs sujets à un approvisionnement. La réduction du nombre d’utilisateurs dans l’étendue améliore les performances et il est recommandé de synchroniser les utilisateurs et les groupes attribués au lieu de synchroniser l’ensemble des utilisateurs et des groupes.

Les filtres d’étendue peuvent être utilisés éventuellement, en plus de l’étendue par affectation. Un filtre d’étendue permet au service d’approvisionnement Azure AD d’inclure ou d’exclure tous les utilisateurs dont un attribut correspond à une valeur spécifique. Par exemple, lors du provisionnement des utilisateurs d’une équipe de vente, vous pouvez spécifier que seuls les utilisateurs dont l’attribut « Département » est « Ventes » doivent faire partie du provisionnement.

Construction d’un filtre d’étendue

Un filtre d’étendue se compose d’une ou plusieurs clauses. Les clauses déterminent quels utilisateurs sont autorisés à traverser le filtre d’étendue en évaluant les attributs de chaque utilisateur. Par exemple, l’une de vos clauses peut exiger que l’attribut « État » d’un utilisateur soit égal à « New York », afin que seuls les utilisateurs de New York soient approvisionnés dans l’application.

Une seule clause définit une condition unique pour une seule valeur d’attribut. Si plusieurs clauses sont créées dans un seul filtre d’étendue, ils sont évalués ensemble en utilisant la logique « ET ». Cela signifie que chacune des clauses doit être considérée « true » pour qu’un utilisateur soit approvisionné.

Enfin, plusieurs filtres d’étendue peuvent être créés pour une seule application. Si plusieurs filtres d’étendue sont présents, ils sont évalués ensemble en utilisant la logique « OU ». Cela signifie que si toutes les clauses présentes dans un seul des filtres d’étendue configurés sont considérées « true », l’utilisateur est approvisionné.

Chaque utilisateur ou groupe traité par le service d’approvisionnement Azure AD est toujours évalué individuellement par rapport à chaque filtre d’étendue.

Par exemple, considérez le filtre d’étendue suivant :

Filtre d’étendue

D’après ce filtre d’étendue, les utilisateurs doivent satisfaire aux critères suivants pour être approvisionnés :

  • Ils doivent être de New York.
  • Ils doivent travailler dans le service Ingénierie.
  • Leur ID d’employé de leur société doit être compris entre 1 000 000 et 2 000 000.
  • Leur poste ne doit être null ou vide.

Créer des filtres d’étendue

Les filtres d’étendue sont configurés comme parties des mappages d’attributs pour chaque connecteur d’approvisionnement d’utilisateur Azure AD. La procédure suivante suppose que l’approvisionnement automatique soit déjà configuré pour l’une des applications prises en chargeet que vous lui ajoutez un filtre d’étendue.

Créer un filtre d’étendue

  1. Connectez-vous au portail Azure.

  1. Accédez à Azure Active Directory>Applications d’entreprise>Toutes les applications.

  2. Sélectionnez l’application pour laquelle vous avez configuré l’approvisionnement automatique. Par exemple, « ServiceNow ».

  1. Accédez à Azure Active Directory>Synchronisation interlocataire>Configurations

  2. Sélectionnez votre configuration.

  1. Sélectionnez l’onglet Approvisionnement.
  1. Dans la section Mappages , sélectionnez le mappage pour lequel vous souhaitez configurer un filtre d’étendue : par exemple, « Synchroniser les utilisateurs Azure Active Directory avec ServiceNow ».
  1. Dans la section Mappages, sélectionnez le mappage pour lequel vous souhaitez configurer un filtre d’étendue : par exemple, « Provisionner les utilisateurs Azure Active Directory ».

  1. Sélectionnez le menu Étendue de l’objet source.

  2. Sélectionnez Ajouter un filtre d’étendue.

  3. Définissez une clause en sélectionnant un nom d’attribut source, un opérateuret une valeur d’attribut pour effectuer la comparaison. Les opérateurs suivants sont pris en charge :

    a. EQUALS. La clause renvoie « true » si l’attribut évalué correspond exactement à la valeur de chaîne d’entrée (respecte la casse).

    b. NOT EQUALS. La clause renvoie « true » si l’attribut évalué ne correspond pas à la valeur de chaîne d’entrée (respecte la casse).

    c. IS TRUE. La clause renvoie « true » si l’attribut évalué contient une valeur booléenne True.

    d. IS FALSE. La clause renvoie « true » si l’attribut évalué contient une valeur booléenne True.

    e. IS NULL. La clause renvoie « true » si l’attribut évalué est vide.

    f. IS NOT NULL. La clause renvoie « true » si l’attribut évalué n’est pas vide.

    g. REGEX MATCH. La clause renvoie « true » si l’attribut évalué correspond à un modèle d’expression régulière. Exemple : ([1-9][0-9]) correspond à tout nombre compris entre 10 et 99 (sensible à la casse).

    h. NOT REGEX MATCH. La clause renvoie « true » si l’attribut évalué ne correspond pas à un modèle d’expression régulière. La valeur « false » est retournée si l’attribut est null/vide.

    i. Greater_Than. La clause renvoie « true » si l’attribut évalué est supérieur à la valeur. La valeur indiquée dans le filtre d’étendue doit être un nombre entier et l’attribut de l’utilisateur doit être un nombre entier [0, 1, 2,...].

    j. Greater_Than_OR_EQUALS. La clause renvoie « true » si l’attribut évalué est supérieur ou égal à la valeur. La valeur indiquée dans le filtre d’étendue doit être un nombre entier et l’attribut de l’utilisateur doit être un nombre entier [0, 1, 2,...].

    k. Includes. La clause renvoie « true » si l’attribut évalué contient la valeur de chaîne (respecte la casse) comme décrit ici.

Important

  • Le filtre IsMemberOf n’est pas pris en charge actuellement.
  • L’attribut members d’un groupe n’est pas pris en charge actuellement.
  • Le filtrage n’est pas pris en charge pour les attributs multi-valeurs.
  • Les filtres de délimitation retournent « false » si la valeur est null/vide.

  1. Si vous le souhaitez, répétez les étapes 7 et 8 pour ajouter d’autres clauses d’étendues.

  2. Dans Titre du filtre d’étendue, saisissez un nom pour votre filtre d’étendue.

  3. Sélectionnez OK.

  4. Sélectionnez OK à nouveau sur l’écran Filtres d’étendue. Si vous le souhaitez, répétez les étapes 6 et 11 pour ajouter d’autres filtres d’étendue.

  5. Sélectionnez Enregistrer sur l’écran de mappage d’attributs.

Important

L’enregistrement d’un nouveau filtre d’étendue déclenche une nouvelle synchronisation complète pour l’application, avec une comparaison de tous les utilisateurs dans le système source par rapport au nouveau filtre d’étendue. Si un utilisateur dans l’application répondait précédemment aux exigences d’un approvisionnement, mais que ce n’est plus le cas maintenant, son compte est désactivé ou déprovisionné dans l’application. Pour remplacer ce comportement par défaut, consultez Ignorer la suppression des comptes d’utilisateurs qui sortent de l’étendue.

Filtres d’étendue communs

Attribut cible Opérateur Valeur Description
userPrincipalName REGEX MATCH .*@domain.com Tous les utilisateurs dont userPrincipal a le domaine @domain.com sont concernés par l’approvisionnement
userPrincipalName NOT REGEX MATCH .*@domain.com Tous les utilisateurs dont userPrincipal a le domaine @domain.com ne sont pas concernés par l’approvisionnement
department EQUALS sales Tous les utilisateurs du service commercial sont concernés par l’approvisionnement
workerID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) Tous les employés dont les workerID sont compris entre 1 000 000 et 2 000 000 sont concernés par l’approvisionnement.