Hatókörkezelési szűrőkkel kiépíteni kívánt felhasználók vagy csoportok hatókörkezelése

  • Cikk

Megtudhatja, hogyan használhat hatókörszűrőket a Microsoft Entra kiépítési szolgáltatásban az attribútumalapú szabályok definiálásához. A szabályok határozzák meg, hogy mely felhasználók vagy csoportok vannak kiépítve.

Hatókörkezelési szűrő használati esetei

Hatókörszűrőkkel megakadályozhatja, hogy az automatikus felhasználói kiépítést támogató alkalmazások objektumai kiépüljenek, ha egy objektum nem felel meg az üzleti követelményeknek. A hatókörszűrő lehetővé teszi az adott értéknek megfelelő attribútummal rendelkező felhasználók hozzáadását vagy kizárását. Ha például felhasználókat épít ki a Microsoft Entra ID-ból egy értékesítési csapat által használt SaaS-alkalmazásba, megadhatja, hogy csak a "Sales" osztály attribútummal rendelkező felhasználók legyenek hatókörben a kiépítéshez.

A hatókörszűrők a kiépítési összekötő típusától függően eltérően használhatók:

  • Kimenő kiépítés a Microsoft Entra ID-ból SaaS-alkalmazásokba. Ha a Microsoft Entra ID a forrásrendszer, a felhasználói és csoporthozzárendelések a leggyakoribb módszer annak meghatározására, hogy mely felhasználók tartoznak a kiépítés hatókörébe. Ezek a hozzárendelések az egyszeri bejelentkezés engedélyezésére is használhatók, és egyetlen módszert biztosítanak a hozzáférés és a kiépítés kezeléséhez. A hatókörszűrők a hozzárendeléseken kívül vagy helyettük is használhatók a felhasználók attribútumértékek alapján történő szűréséhez.

    Tipp.

    Minél több felhasználó és csoport van a kiépítés hatókörében, annál tovább tarthat a szinkronizálási folyamat. Ha úgy állítja be a hatókört, hogy szinkronizálja a hozzárendelt felhasználókat és csoportokat, korlátozza az alkalmazáshoz rendelt csoportok számát, és korlátozza a csoportok méretét, azzal csökkenti a hatókörben lévő összes felhasználó szinkronizálásához szükséges időt.

  • Bejövő kiépítés HCM-alkalmazásokból a Microsoft Entra ID-ba és az Active Directoryba. Ha egy HCM-alkalmazás, például a Workday a forrásrendszer, a hatókörszűrők az elsődleges módszer annak meghatározására, hogy mely felhasználókat kell kiépíteni a HCM-alkalmazásból az Active Directoryba vagy a Microsoft Entra-azonosítóba.

A Microsoft Entra kiépítési összekötői alapértelmezés szerint nincsenek konfigurálva attribútumalapú hatókörszűrőkkel.

Ha a Microsoft Entra ID a forrásrendszer, a felhasználói és csoporthozzárendelések a leggyakoribb módszer annak meghatározására, hogy mely felhasználók tartoznak a kiépítés hatókörébe. A hatókörben lévő felhasználók számának csökkentése javítja a teljesítményt és szinkronizálja a hozzárendelt felhasználókat és csoportokat az összes felhasználó és csoport szinkronizálása helyett.

A hatókörszűrők a hozzárendelés szerinti hatókörkezelés mellett opcionálisan is használhatók. A hatókörszűrő lehetővé teszi, hogy a Microsoft Entra kiépítési szolgáltatás belefoglalja vagy kizárja azokat a felhasználókat, akik egy adott értéknek megfelelő attribútummal rendelkeznek. Ha például egy értékesítési csapatból hoz létre felhasználókat, megadhatja, hogy csak a "Sales" osztály attribútummal rendelkező felhasználók legyenek a kiépítés hatókörében.

Hatókörszűrő felépítése

A hatókörszűrők egy vagy több záradékból állnak. A záradékok az egyes felhasználók attribútumainak kiértékelésével határozzák meg, hogy mely felhasználók léphetnek át a hatókörszűrőn. Előfordulhat például, hogy egy záradék megköveteli, hogy egy felhasználó "State" attribútuma "New York" legyen, ezért csak New York-felhasználók vannak kiépítve az alkalmazásba.

Egyetlen záradék egyetlen feltételt határoz meg egyetlen attribútumértékhez. Ha egyetlen hatókörszűrőben több záradék is létrejön, a rendszer az "AND" logikával együtt értékeli ki őket. Az "AND" logika azt jelenti, hogy az összes záradéknak "igaz" értékre kell kiértékelnie a felhasználó üzembe helyezéséhez.

Végül több hatókörszűrő is létrehozható egyetlen alkalmazáshoz. Ha több hatókörszűrő van jelen, a rendszer az "OR" logikával együtt értékeli ki őket. Az "OR" logika azt jelenti, hogy ha a konfigurált hatókörszűrők bármelyikének összes záradéka "true" (igaz) értéket ad vissza, a felhasználó ki lesz építve.

A Microsoft Entra kiépítési szolgáltatás által feldolgozott összes felhasználót vagy csoportot minden egyes hatókörszűrő külön-külön értékeli ki.

Vegyük például a következő hatókörszűrőt:

Scoping filter

A hatókörkezelési szűrő szerint a felhasználóknak meg kell felelniük a következő kiépítendő feltételeknek:

  • Biztosan New Yorkban vannak.
  • A mérnöki részlegen kell dolgozniuk.
  • A vállalati alkalmazotti azonosítónak 1 000 000 és 2 000 000 közöttinek kell lennie.
  • A feladat címe nem lehet null értékű vagy üres.

Hatókörszűrők létrehozása

A hatókörszűrők az attribútumleképezések részeként vannak konfigurálva az egyes Microsoft Entra felhasználói kiépítési összekötőkhöz. Az alábbi eljárás feltételezi, hogy már beállította az automatikus kiépítést az egyik támogatott alkalmazáshoz, és hozzáad hozzá egy hatókörszűrőt.

Hatókörszűrő létrehozása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásként Rendszergazda istratorként.

  1. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.

  2. Válassza ki azt az alkalmazást, amelyhez az automatikus kiépítést konfigurálta: például "ServiceNow".

  1. Keresse meg az identitás>külső identitásait>bérlők közötti szinkronizálási>konfigurációk között

  2. Válassza ki a konfigurációt.

  1. Válassza a Kiépítés lapot.
  1. A Leképezések szakaszban válassza ki azt a leképezést, amelyhez hatókörszűrőt szeretne konfigurálni: például :"Microsoft Entra-felhasználók szinkronizálása a ServiceNow-ra".
  1. A Leképezések szakaszban válassza ki azt a leképezést, amelyhez hatókörszűrőt szeretne konfigurálni: például :"Microsoft Entra-felhasználók kiépítése".

  1. Válassza a Forrásobjektum hatóköre menüt.

  2. Válassza a Hatókörszűrő hozzáadása lehetőséget.

  3. Adjon meg egy záradékot úgy, hogy kiválaszt egy forrásattribútumnevet, egy operátort és egy attribútumértéket. A következő operátorok támogatottak:

    a. >. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum szerepel a bemeneti sztring értékében.

    b. !>. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nem szerepel a bemeneti sztring értékében.

    c. ENDS_WITH. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum a bemeneti sztring értékével végződik.

    d. EGYENLŐ. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum pontosan megfelel a bemeneti sztring értékének (a kis- és nagybetűk megkülönböztetése).

    e. Greater_Than. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nagyobb, mint az érték. A hatókörszűrőben megadott értéknek egész számnak kell lennie, a felhasználó attribútumának pedig egész számnak kell lennie [0,1,2,...].

    f. Greater_Than_OR_EQUALS. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nagyobb vagy egyenlő az értékkel. A hatókörszűrőben megadott értéknek egész számnak kell lennie, a felhasználó attribútumának pedig egész számnak kell lennie [0,1,2,...].

    : Tartalmazza. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum tartalmazza az itt leírt sztringértéket (kis- és nagybetűk megkülönböztetése).

    h. A FAL Standard kiadás. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum hamis logikai értéket tartalmaz.

    i. NEM NULL ÉRTÉKŰ. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nem üres.

    j. NULL ÉRTÉKŰ. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum üres.

    k. IGAZ. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum igaz logikai értéket tartalmaz.

    l. NEM EGYENLŐ. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nem egyezik a bemeneti sztring értékével (kis- és nagybetűk megkülönböztetése).

    m. NEM REGEX EGYEZÉS. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nem egyezik meg egy reguláris kifejezésmintával. "false" értéket ad vissza, ha az attribútum null / üres.

    n. REGEX EGYEZÉS. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum megegyezik egy reguláris kifejezésmintával. Például: ([1-9][0-9]) egyezik a 10 és 99 közötti számokkal (a kis- és nagybetűk megkülönböztetése).

Fontos

  • Az IsMemberOf szűrő jelenleg nem támogatott.
  • A csoporttagok attribútuma jelenleg nem támogatott.
  • A szűrés nem támogatott a többértékű attribútumok esetében.
  • A hatókörszűrők "false" értéket adnak vissza, ha az érték null / üres.

  1. Ha szeretné, ismételje meg a 7–8. lépést további hatókörkezelési záradékok hozzáadásához.

  2. A hatókörszűrő címében adjon nevet a hatókörszűrőnek.

  3. Kattintson az OK gombra.

  4. Kattintson ismét az OK gombra a Hatókörszűrők képernyőn. Ha szeretné, ismételje meg a 6–11. lépést egy másik hatókörszűrő hozzáadásához.

  5. Válassza a Mentés lehetőséget az Attribútumleképezés képernyőn.

Fontos

Az új hatókörszűrő mentése új teljes szinkronizálást indít el az alkalmazáshoz, ahol a forrásrendszer összes felhasználója újra kiértékelve lesz az új hatókörszűrővel. Ha az alkalmazás egy felhasználója korábban kiépítési hatókörben volt, de kiesik a hatókörből, a fiókja le van tiltva vagy le lett bontva az alkalmazásban. Az alapértelmezett viselkedés felülbírálásához tekintse meg a hatókörön kívül eső felhasználói fiókok törlésének kihagyása című témakört.

Gyakori hatókörszűrők

Célattribútum Operátor Érték Leírás
userPrincipalName REGEX EGYEZÉS .*\@domain.com Minden olyan felhasználó, aki rendelkezik tartománnyal userPrincipal@domain.com , kiépítési hatókörrel rendelkezik.
userPrincipalName NEM REGEX EGYEZÉS .*\@domain.com Az összes olyan felhasználó, akinek userPrincipal van tartománya @domain.com , nincs hatóköre a kiépítésre.
department EGYENLŐ sales Az értékesítési részleg összes felhasználója rendelkezik a kiépítés hatókörével
feldolgozó azonosítója REGEX EGYEZÉS (1[0-9][0-9][0-9][0-9][0-9][0-9]) Minden 10000000 és 20000000 közötti alkalmazott workerID rendelkezik a kiépítés hatókörével.