Cakupan pengguna atau grup yang akan disediakan dengan filter cakupan

Pelajari cara menggunakan filter cakupan di layanan provisi Microsoft Entra untuk menentukan aturan berbasis atribut. Aturan digunakan untuk menentukan pengguna atau grup mana yang disediakan.

Kasus penggunaan filter pencakupan

Anda menggunakan filter cakupan untuk mencegah objek dalam aplikasi yang mendukung provisi pengguna otomatis agar tidak disediakan jika objek tidak memenuhi persyaratan bisnis Anda. Filter cakupan memungkinkan Anda menyertakan atau mengecualikan pengguna yang memiliki atribut yang cocok dengan nilai tertentu. Misalnya, saat memprovisikan pengguna dari ID Microsoft Entra ke aplikasi SaaS yang digunakan oleh tim penjualan, Anda dapat menentukan bahwa hanya pengguna dengan atribut "Departemen" "Penjualan" yang harus berada dalam cakupan provisi.

Filter pencakupan dapat digunakan secara berbeda bergantung pada jenis konektor provisi:

• Provisi keluar dari ID Microsoft Entra ke aplikasi SaaS. Ketika ID Microsoft Entra adalah sistem sumber, penetapan pengguna dan grup adalah metode yang paling umum untuk menentukan pengguna mana yang berada dalam cakupan provisi. Penetapan ini juga digunakan untuk mengaktifkan akses menyeluruh dan menyediakan satu metode untuk mengelola akses dan provisi. Filter pencakupan dapat digunakan secara opsional, selain penetapan atau bukan, untuk memfilter pengguna berdasarkan nilai atribut.

  Tip

  Semakin banyak pengguna dan grup dalam cakupan penyediaan, semakin lama proses sinkronisasi dapat berlangsung. Mengatur cakupan untuk menyinkronkan pengguna dan grup yang ditetapkan, membatasi jumlah grup yang ditetapkan ke aplikasi, dan membatasi ukuran grup akan mengurangi waktu yang diperlukan untuk menyinkronkan semua orang yang berada dalam cakupan.

• Provisi masuk dari aplikasi HCM ke MICROSOFT Entra ID dan Active Directory. Ketika aplikasi HCM seperti Workday adalah sistem sumber, filter cakupan adalah metode utama untuk menentukan pengguna mana yang harus disediakan dari aplikasi HCM ke Direktori Aktif atau ID Microsoft Entra.

Secara default, konektor provisi Microsoft Entra tidak memiliki filter cakupan berbasis atribut yang dikonfigurasi.

Ketika ID Microsoft Entra adalah sistem sumber, penetapan pengguna dan grup adalah metode yang paling umum untuk menentukan pengguna mana yang berada dalam cakupan provisi. Mengurangi jumlah pengguna dalam cakupan meningkatkan performa dan menyinkronkan pengguna dan grup yang ditetapkan alih-alih menyinkronkan semua pengguna dan grup disarankan.

Filter cakupan dapat digunakan secara opsional, selain cakupan berdasarkan penugasan. Filter cakupan memungkinkan layanan provisi Microsoft Entra untuk menyertakan atau mengecualikan setiap pengguna yang memiliki atribut yang cocok dengan nilai tertentu. Misalnya, saat memprovisikan pengguna dari tim penjualan, Anda dapat menentukan bahwa hanya pengguna dengan atribut "Departemen" "Penjualan" yang harus berada dalam cakupan provisi.

Konstruksi filter pencakupan

Filter pencakupan terdiri dari satu atau beberapa klausul. Klausul menentukan pengguna yang diizinkan melewati filter pencakupan dengan mengevaluasi masing-masing atribut pengguna. Misalnya, Anda mungkin memiliki satu klausul yang mengharuskan atribut "Status" pengguna sama dengan "New York", jadi hanya pengguna New York yang diprovisikan ke dalam aplikasi.

Klausul tunggal menentukan satu kondisi untuk satu nilai atribut. Jika beberapa klausa dibuat dalam satu filter cakupan, klausul tersebut dievaluasi bersama-sama menggunakan logika "AND". Logika "AND" berarti semua klausul harus dievaluasi ke "true" agar pengguna dapat diprovisikan.

Akhirnya, beberapa filter pencakupan dapat dibuat untuk satu aplikasi. Jika ada beberapa filter pencakupan, filter tersebut akan dievaluasi bersama dengan menggunakan logika "OR". Logika "OR" berarti bahwa jika semua klausul dalam salah satu filter cakupan yang dikonfigurasi dievaluasi ke "true", pengguna akan disediakan.

Setiap pengguna atau grup yang diproses oleh layanan provisi Microsoft Entra selalu dievaluasi satu per satu terhadap setiap filter cakupan.

Sebagai contoh, pertimbangkan filter pencakupan berikut:

Menurut filter pencakupan ini, pengguna harus memenuhi kriteria berikut agar dapat diprovisikan:

• Mereka harus berada di New York.
• Mereka harus bekerja di departemen Teknik.
• ID karyawan perusahaan mereka harus antara 1.000.000 dan 2.000.000.
• Jabatan pekerjaan tidak boleh null atau kosong.

Membuat filter pencakupan

Filter cakupan dikonfigurasi sebagai bagian dari pemetaan atribut untuk setiap konektor provisi pengguna Microsoft Entra. Prosedur berikut mengasumsikan bahwa Anda sudah menyiapkan provisi otomatis untuk salah satu aplikasi yang didukung dan menambahkan filter pencakupan ke dalamnya.

Membuat filter pencakupan

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi.

2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.

3. Pilih aplikasi yang provisi otomatisnya telah Anda konfigurasi: misalnya, "ServiceNow".

2. Telusuri >Identitas Eksternal Konfigurasi>Sinkronisasi>Lintas Penyewa

3. Pilih konfigurasi Anda.

4. Pilih Provisi tab.

5. Di bagian Pemetaan , pilih pemetaan yang ingin Anda konfigurasikan filter cakupannya untuk: misalnya, "Sinkronkan pengguna Microsoft Entra ke ServiceNow".

5. Di bagian Pemetaan, pilih pemetaan yang ingin Anda konfigurasikan filter cakupannya untuk: misalnya, "Provisikan pengguna Microsoft Entra".

6. Pilih menu Cakupan objek sumber.

7. Pilih Tambahkan filter pencakupan.

8. Tentukan klausul dengan memilih Nama Atribut sumber, Operator, dan Nilai Atribut yang cocok. Operator berikut didukung:

   a. &. Klausul mengembalikan "true" jika atribut yang dievaluasi ada dalam nilai string input.

   b. !&. Klausul mengembalikan "true" jika atribut yang dievaluasi tidak ada dalam nilai string input.

   c. ENDS_WITH. Klausul mengembalikan "true" jika atribut yang dievaluasi diakhiri dengan nilai string input.

   d. EQUALS. Klausul akan menampilkan "true" jika atribut yang dievaluasi sama persis dengan nilai string input (peka huruf besar/kecil).

   e. Greater_Than. Klausul akan menampilkan "true" jika atribut yang dievaluasi lebih besar daripada nilai. Nilai yang ditentukan pada filter pencakupan harus berupa bilangan bulat dan atribut pada pengguna harus berupa bilangan bulat [0,1,2,...].

   f. Greater_Than_OR_EQUALS. Klausul akan menampilkan "true" jika atribut yang dievaluasi lebih besar daripada atau sama dengan nilai. Nilai yang ditentukan pada filter pencakupan harus berupa bilangan bulat dan atribut pada pengguna harus berupa bilangan bulat [0,1,2,...].

   g. Includes. Klausul akan menampilkan "true" jika atribut yang dievaluasi berisi nilai string (peka huruf besar/kecil) seperti yang dijelaskan di sini.

   h. IS FALSE. Klausul akan menampilkan "true" jika atribut yang dievaluasi berisi nilai Boolean false.

   i. IS NOT NULL. Klausul akan menampilkan "true" jika atribut yang dievaluasi tidak kosong.

   j. IS NULL. Klausul akan menampilkan "true" jika atribut yang dievaluasi kosong.

   k. IS TRUE. Klausul akan menampilkan "true" jika atribut yang dievaluasi berisi nilai Boolean true.

   l. NOT EQUALS. Klausul akan menampilkan "true" jika atribut yang dievaluasi tidak cocok dengan nilai string input (peka huruf besar/kecil).

   m. NOT REGEX MATCH. Klausul akan menampilkan "true" jika atribut yang dievaluasi tidak cocok dengan pola regex. Ini mengembalikan "false" jika atribut null / kosong.

   n. REGEX MATCH. Klausul akan menampilkan "true" jika atribut yang dievaluasi cocok dengan regex. Misalnya: ([1-9][0-9]) cocok dengan angka apa pun antara 10 dan 99 (peka huruf besar/kecil).

Penting

• Filter IsMemberOf saat ini tidak didukung.
• Atribut anggota pada grup tidak didukung saat ini.
• Pemfilteran tidak didukung bagi atribut multinilai.
• Filter cakupan akan menampilkan "false" jika nilainya null/kosong.

9. Sebagai alternatif, ulangi langkah 7-8 untuk menambahkan klausul pencakupan lainnya.

10. Di Judul Filter Pencakupan, tambahkan nama untuk filter pencakupan Anda.

11. Pilih OK.

12. Pilih OK lagi pada layar Filter Pencakupan. Sebagai alternatif, ulangi langkah 6-11 untuk menambahkan filter pencakupan lainnya.

13. Pilih Simpan di layar Pemetaan Atribut.

Penting

Menyimpan filter pencakupan baru akan memicu sinkronisasi penuh aplikasi, di mana semua pengguna dalam sistem sumber akan dievaluasi lagi terhadap filter pencakupan baru. Jika pengguna dalam aplikasi sebelumnya dimasukkan dalam pencakupan provisi, tetapi di luar dari cakupan, akunnya akan dinonaktifkan atau dicabut aksesnya dalam aplikasi. Untuk mengganti perilaku default ini, lihat Melewati penghapusan untuk akun pengguna yang berada di luar cakupan.

Filter pencakupan umum

Atribut Target	Operator	Nilai	Deskripsi
userPrincipalName	REGEX MATCH	.*\@domain.com	Semua pengguna dengan userPrincipal yang memiliki domain @domain.com berada dalam cakupan untuk provisi.
userPrincipalName	NOT REGEX MATCH	.*\@domain.com	Semua pengguna dengan userPrincipal yang memiliki domain @domain.com berada di luar cakupan untuk provisi.
departemen	EQUALS	sales	Semua pengguna dari departemen penjualan berada dalam cakupan provisi
workerID	REGEX MATCH	(1[0-9][0-9][0-9][0-9][0-9][0-9])	Semua karyawan dengan workerID antara 1000000 dan 2000000 berada dalam cakupan provisi.

Artikel terkait

• Mengotomatiskan provisi dan pencabutan akses pengguna ke aplikasi SaaS
• Menyesuaikan pemetaan atribut untuk provisi pengguna
• Menulis ekspresi untuk pemetaan atribut
• Pemberitahuan provisi akun
• Menggunakan SCIM untuk mengaktifkan provisi otomatis pengguna dan grup dari ID Microsoft Entra ke aplikasi
• Daftar tutorial tentang cara mengintegrasikan aplikasi SaaS