Definizione dell'ambito di utenti o gruppi di cui eseguire il provisioning con filtri di ambito

  • Articolo

Informazioni su come usare i filtri di ambito nel servizio di provisioning di Microsoft Entra per definire regole basate su attributi. Le regole vengono usate per determinare gli utenti o i gruppi di cui viene effettuato il provisioning.

Casi d'uso dei filtri di ambito

I filtri di ambito vengono usati per impedire il provisioning degli oggetti nelle applicazioni che supportano il provisioning utenti automatizzato se un oggetto non soddisfa i requisiti aziendali. Un filtro di ambito consente di includere o escludere tutti gli utenti che dispongono di un attributo che corrisponde a un valore specifico. Ad esempio, quando si effettua il provisioning di utenti da Microsoft Entra ID a un'applicazione SaaS usata da un team di vendita, è possibile specificare che solo gli utenti con un attributo "Department" di "Sales" devono essere inclusi nell'ambito del provisioning.

I filtri di ambito possono essere usati in modo diverso a seconda del tipo di connettore di provisioning:

  • Provisioning in uscita da Microsoft Entra ID alle applicazioni SaaS. Quando Microsoft Entra ID è il sistema di origine, le assegnazioni di utenti e gruppi sono il metodo più comune per determinare quali utenti sono nell'ambito del provisioning. Queste assegnazioni vengono usate anche per l'abilitazione dell'accesso Single Sign-On e offrono un unico metodo per gestire l'accesso e il provisioning. I filtri di ambito possono essere usati facoltativamente, oltre o in sostituzione delle assegnazioni, per filtrare gli utenti in base ai valori di attributo.

    Suggerimento

    Più utenti e gruppi nell'ambito del provisioning possono richiedere più tempo per il processo di sincronizzazione. L'impostazione dell'ambito per la sincronizzazione di utenti e gruppi assegnati, la limitazione del numero di gruppi assegnati all'app e la limitazione delle dimensioni dei gruppi ridurrà il tempo necessario per sincronizzare tutti gli utenti inclusi nell'ambito.

  • Provisioning in ingresso da applicazioni HCM a Microsoft Entra ID e Active Directory. Quando un'applicazione HCM, ad esempio Workday , è il sistema di origine, i filtri di ambito sono il metodo principale per determinare quali utenti devono essere sottoposte a provisioning dall'applicazione HCM ad Active Directory o microsoft Entra ID.

Per impostazione predefinita, i connettori di provisioning di Microsoft Entra non dispongono di filtri di ambito basati su attributi configurati.

Quando Microsoft Entra ID è il sistema di origine, le assegnazioni di utenti e gruppi sono il metodo più comune per determinare quali utenti sono nell'ambito del provisioning. È consigliabile ridurre il numero di utenti nell'ambito per migliorare le prestazioni e la sincronizzazione di utenti e gruppi assegnati anziché sincronizzare tutti gli utenti e i gruppi.

I filtri di ambito possono essere usati facoltativamente, oltre alla definizione dell'ambito in base all'assegnazione. Un filtro di ambito consente al servizio di provisioning Di Microsoft Entra di includere o escludere tutti gli utenti che dispongono di un attributo corrispondente a un valore specifico. Ad esempio, quando si effettua il provisioning di utenti da un team di vendita, è possibile specificare che solo gli utenti con un attributo "Department" di "Sales" devono essere inclusi nell'ambito del provisioning.

Creazione di un filtro di ambito

Un filtro di ambito è costituito da una o più clausole. Le clausole determinano gli utenti che verranno restituiti dal filtro di ambito valutando gli attributi di ogni utente. Ad esempio, se una clausola richiede che l'attributo "Stato" di un utente sia uguale a "Italia", nell'applicazione viene eseguito il provisioning solo degli utenti italiani.

Una sola clausola definisce una sola condizione per un singolo valore dell'attributo. Se in un singolo filtro di ambito vengono create più clausole, vengono valutate insieme usando la logica "AND". La logica "AND" indica che tutte le clausole devono restituire "true" affinché venga effettuato il provisioning di un utente.

Infine, è possibile creare più filtri di ambito per una singola applicazione. Se sono presenti più filtri di ambito, questi vengono valutati insieme con la logica "OR". La logica "OR" indica che, se tutte le clausole in uno dei filtri di ambito configurati restituiscono "true", viene effettuato il provisioning dell'utente.

Ogni utente o gruppo elaborato dal servizio di provisioning di Microsoft Entra viene sempre valutato singolarmente in base a ogni filtro di ambito.

Vedere ad esempio il filtro di ambito seguente:

Scoping filter

In base a questo filtro di ambito, gli utenti devono soddisfare i criteri seguenti per poterne effettuare il provisioning:

  • Devono trovarsi a New York.
  • Devono lavorare nel reparto Engineering.
  • L'ID del dipendente aziendale deve essere compreso tra 1.000.000 e 2.000.000.
  • La posizione non deve essere null o vuota.

Creare filtri di ambito

I filtri di ambito vengono configurati come parte dei mapping degli attributi per ogni connettore di provisioning utenti di Microsoft Entra. La procedura seguente presuppone che sia già stato configurato il provisioning automatico per una delle applicazioni supportate e che si aggiunga un filtro di ambito per tale applicazione.

Creare un filtro di ambito

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.

  1. Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.

  2. Selezionare l'applicazione per cui è stato configurato il provisioning automatico, ad esempio "ServiceNow".

  1. Passare a Identità>identità esterne - Configurazioni>di sincronizzazione>tra tenant

  2. Selezionare la configurazione.

  1. Selezionare la scheda Provisioning.
  1. Nella sezione Mapping selezionare il mapping per cui si vuole configurare un filtro di ambito, ad esempio "Synchronize Microsoft Entra users to ServiceNow".
  1. Nella sezione Mapping selezionare il mapping per cui si vuole configurare un filtro di ambito, ad esempio "Effettuare il provisioning degli utenti di Microsoft Entra".

  1. Selezionare il menu Ambito dell'oggetto di origine.

  2. Selezionare Aggiungi filtro di ambito.

  3. Definire una clausola selezionando un'origine Nome attributo, un Operatore e un Valore dell'attributo da confrontare. Sono supportati gli operatori seguenti:

    a. EQUALS (È UGUALE A). La clausola restituisce "true" se l'attributo valutato corrisponde esattamente al valore della stringa di input (con distinzione tra maiuscole e minuscole).

    b. NOT EQUALS (DIVERSO DA). La clausola restituisce "true" se l'attributo valutato non corrisponde al valore della stringa di input (con distinzione tra maiuscole e minuscole).

    c. IS TRUE (È VERO). La clausola restituisce "true" se l'attributo valutato contiene un valore booleano true.

    d. IS FALSE (È FALSO). La clausola restituisce "true" se l'attributo valutato contiene un valore booleano false.

    e. IS NULL (È NULL). La clausola restituisce "true" se l'attributo valutato è vuoto.

    f. IS NOT NULL (NON È NULL). La clausola restituisce "true" se l'attributo valutato non è vuoto.

    g. REGEX MATCH (CORRISPONDENZA REGEX). La clausola restituisce "true" se l'attributo valutato corrisponde a un modello di espressione regolare. Ad esempio: ([1-9][0-9]) corrisponde a qualsiasi numero compreso tra 10 e 99 (distinzione tra maiuscole e minuscole).

    h. NOT REGEX MATCH (NESSUNA CORRISPONDENZA REGEX). La clausola restituisce "true" se l'attributo valutato non corrisponde a un modello di espressione regolare. Restituisce "false" se l'attributo è null/empty.

    i. Greater_Than. La clausola restituisce "true" se l'attributo valutato è maggiore del valore . Il valore specificato nel filtro di ambito deve essere un numero intero e l'attributo dell'utente deve essere un numero intero [0,1,2,...].

    j. Greater_Than_OR_EQUALS. La clausola restituisce "true" se l'attributo valutato è maggiore o uguale al valore . Il valore specificato nel filtro di ambito deve essere un numero intero e l'attributo dell'utente deve essere un numero intero [0,1,2,...].

    k. Include. La clausola restituisce "true" se l'attributo valutato contiene il valore stringa (con distinzione tra maiuscole e minuscole), come descritto qui.

Importante

  • Il filtro IsMemberOf non è attualmente supportato.
  • L'attributo members in un gruppo non è attualmente supportato.
  • Il filtro non è supportato per gli attributi multivalore.
  • I filtri di ambito restituiranno "false" se il valore è null/vuoto.

  1. Facoltativamente, ripetere i passaggi 7 e 8 per aggiungere altre clausole di ambito.

  2. In Titolo filtro di ambito aggiungere un nome per il filtro di ambito.

  3. Seleziona OK.

  4. Selezionare di nuovo OK nella schermata Filtri di ambito. Facoltativamente, ripetere i passaggi da 6 a 11 per aggiungere un altro filtro di ambito.

  5. Selezionare Salva nella schermata Mapping attributi.

Importante

Il salvataggio di un nuovo filtro di ambito attiva una nuova sincronizzazione completa per l'applicazione, in cui tutti gli utenti del sistema di origine vengono nuovamente valutati rispetto al nuovo filtro di ambito. Se un utente nell'applicazione era precedentemente incluso nell'ambito per il provisioning, ma non rientra più nell'ambito, l'account verrà disabilitato o ne verrà eseguito il deprovisioning nell'applicazione. Per eseguire l'override di questo comportamento predefinito, vedere Ignorare l'eliminazione per gli account utente che escono dall'ambito.

Filtri di ambito comuni

Target Attribute Operatore Valore Descrizione
userPrincipalName REGEX MATCH .*\@domain.com Tutti gli utenti con il userPrincipal dominio @domain.com rientrano nell'ambito del provisioning.
userPrincipalName NOT REGEX MATCH .*\@domain.com Tutti gli utenti con userPrincipal il dominio @domain.com non rientrano nell'ambito del provisioning.
department EQUALS sales Tutti gli utenti del reparto vendite rientrano nell'ambito del provisioning
workerID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) Tutti i dipendenti con workerID un valore compreso tra 1000000 e 200000 sono inclusi nell'ambito del provisioning.