Op kenmerken gebaseerde toepassingsinrichting met bereikfilters

Het doel van dit artikel is om uit te leggen hoe u bereikfilters gebruikt om regels op basis van kenmerken te definiëren die bepalen welke gebruikers zijn ingericht voor een toepassing.

Bereik van gebruiksvoorbeelden voor filters

Met een bereikfilter kan de Azure Active Directory (Azure AD) inrichtingsservice gebruikers opnemen of uitsluiten die een kenmerk hebben dat overeenkomt met een specifieke waarde. Wanneer u bijvoorbeeld gebruikers van Azure AD inricht in een SaaS-toepassing die wordt gebruikt door een verkoopteam, kunt u opgeven dat alleen gebruikers met het kenmerk Afdeling van Verkoop binnen het bereik voor inrichting moeten vallen.

Bereikfilters kunnen verschillend worden gebruikt, afhankelijk van het type inrichtingsconnector:

  • Uitgaande inrichting van Azure AD naar SaaS-toepassingen. Wanneer Azure AD het bronsysteem is, zijn gebruikers- en groepstoewijzingen de meest voorkomende methode om te bepalen welke gebruikers binnen het bereik van inrichting vallen. Deze toewijzingen worden ook gebruikt voor het inschakelen van eenmalige aanmelding en bieden één methode voor het beheren van toegang en inrichting. Bereikfilters kunnen optioneel worden gebruikt, naast toewijzingen of in plaats daarvan, om gebruikers te filteren op basis van kenmerkwaarden.

    Tip

    Hoe meer gebruikers en groepen binnen het bereik van inrichting vallen, hoe langer het synchronisatieproces kan duren. Als u het bereik instelt om toegewezen gebruikers en groepen te synchroniseren, het aantal groepen dat aan de app is toegewezen te beperken en de grootte van de groepen te beperken, wordt de tijd die nodig is om iedereen binnen het bereik te synchroniseren, verkort.

  • Binnenkomende inrichting van HCM-toepassingen naar Azure AD en Active Directory. Wanneer een HCM-toepassing zoals Workday het bronsysteem is, zijn bereikfilters de primaire methode om te bepalen welke gebruikers van de HCM-toepassing moeten worden ingericht voor Active Directory of Azure AD.

Standaard zijn Azure AD inrichtingsconnectors geen bereikfilters op basis van kenmerken geconfigureerd.

Bereikfilterconstructie

Een bereikfilter bestaat uit een of meer componenten. Met componenten wordt bepaald welke gebruikers het bereikfilter mogen passeren door de kenmerken van elke gebruiker te evalueren. U kunt bijvoorbeeld een component hebben die vereist dat het kenmerk Staat van een gebruiker gelijk is aan 'New York', zodat alleen Gebruikers van New York in de toepassing worden ingericht.

Eén component definieert één voorwaarde voor één kenmerkwaarde. Als er meerdere componenten worden gemaakt in één bereikfilter, worden ze samen geëvalueerd met behulp van 'AND'-logica. Dit betekent dat alle componenten waar moeten worden geëvalueerd om een gebruiker in te richten.

Ten slotte kunnen er meerdere bereikfilters worden gemaakt voor één toepassing. Als er meerdere bereikfilters aanwezig zijn, worden ze samen geëvalueerd met behulp van OR-logica. Dit betekent dat als alle componenten in een van de geconfigureerde bereikfilters 'true' oplevert, de gebruiker wordt ingericht.

Elke gebruiker of groep die door de Azure AD inrichtingsservice wordt verwerkt, wordt altijd afzonderlijk geëvalueerd op basis van elk bereikfilter.

Bekijk als voorbeeld het volgende bereikfilter:

Scoping filter

Volgens dit bereikfilter moeten gebruikers voldoen aan de volgende criteria die moeten worden ingericht:

  • Ze moeten in New York zijn.
  • Ze moeten op de afdeling Engineering werken.
  • De werknemers-id van het bedrijf moet tussen 1.000.000 en 2.000.000 zijn.
  • De functie mag niet null of leeg zijn.

Bereikfilters maken

Bereikfilters worden geconfigureerd als onderdeel van de kenmerktoewijzingen voor elke Azure AD connector voor gebruikersinrichting. In de volgende procedure wordt ervan uitgegaan dat u automatische inrichting al hebt ingesteld voor een van de ondersteunde toepassingen en dat u er een bereikfilter aan toevoegt.

Een bereikfilter maken

  1. Ga in de Azure Portal naar de sectie Azure Active Directory>Alle toepassingen Voor alle toepassingen.>

  2. Selecteer de toepassing waarvoor u automatische inrichting hebt geconfigureerd, bijvoorbeeld 'ServiceNow'.

  3. Selecteer het tabblad Inrichten.

  4. Selecteer in de sectie Toewijzingen de toewijzing waarvoor u een bereikfilter wilt configureren: bijvoorbeeld 'Synchroniseren Azure Active Directory Gebruikers met ServiceNow'.

  5. Selecteer het menu Bereik van bronobject .

  6. Selecteer Bereikfilter toevoegen.

  7. Definieer een component door een bronkenmerknaam, een operator en een kenmerkwaarde te selecteren waarmee moet worden vergeleken. De volgende operators worden ondersteund:

    a. IS GELIJK AAN. Component retourneert 'true' als het geëvalueerde kenmerk exact overeenkomt met de waarde van de invoertekenreeks (hoofdlettergevoelig).

    b. NIET GELIJK AAN. Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met de invoertekenreekswaarde (hoofdlettergevoelig).

    c. IS WAAR. Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van true bevat.

    d. IS ONWAAR. Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van onwaar bevat.

    e. IS NULL. Component retourneert 'true' als het geëvalueerde kenmerk leeg is.

    f. IS NIET NULL. Component retourneert 'true' als het geëvalueerde kenmerk niet leeg is.

    g. REGEX MATCH. Component retourneert 'true' als het geëvalueerde kenmerk overeenkomt met een reguliere expressiepatroon. Bijvoorbeeld: ([1-9][0-9]) komt overeen met een getal tussen 10 en 99 (hoofdlettergevoelig).

    h. NIET REGEX MATCH. Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met een reguliere expressiepatroon. Het retourneert 'false' als het kenmerk null/leeg is.

    i. Greater_Than. Component retourneert 'true' als het geëvalueerde kenmerk groter is dan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk voor de gebruiker moet een geheel getal zijn [0,1,2,...].

    j. Greater_Than_OR_EQUALS. Component retourneert 'true' als het geëvalueerde kenmerk groter is dan of gelijk is aan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk voor de gebruiker moet een geheel getal zijn [0,1,2,...].

    k. Bevat. Component retourneert 'true' als het geëvalueerde kenmerk de tekenreekswaarde (hoofdlettergevoelig) bevat, zoals hier wordt beschreven.

Belangrijk

  • Het IsMemberOf-filter wordt momenteel niet ondersteund.
  • Het ledenkenmerk voor een groep wordt momenteel niet ondersteund.
  • Filteren wordt niet ondersteund voor kenmerken met meerdere waarden.
  • Bereikfilters retourneren 'false' als de waarde null/leeg is.
  1. Herhaal eventueel stap 7-8 om meer bereikclausules toe te voegen.

  2. Voeg in Bereikfiltertitel een naam toe voor het bereikfilter.

  3. Selecteer OK.

  4. Selecteer NOGmaals OK in het scherm Bereikfilters . Herhaal eventueel stap 6-11 om nog een bereikfilter toe te voegen.

  5. Selecteer Opslaan in het scherm Kenmerktoewijzing .

Belangrijk

Als u een nieuw bereikfilter opslaat, wordt een nieuwe volledige synchronisatie voor de toepassing geactiveerd, waarbij alle gebruikers in het bronsysteem opnieuw worden geëvalueerd op basis van het nieuwe bereikfilter. Als een gebruiker in de toepassing zich eerder in het bereik voor inrichting bevond, maar buiten het bereik valt, wordt het account uitgeschakeld of de inrichting ervan ongedaan gemaakt in de toepassing. Als u dit standaardgedrag wilt overschrijven, raadpleegt u Verwijderen overslaan voor gebruikersaccounts die buiten het bereik vallen.

Algemene bereikfilters

Doelkenmerk Operator Waarde Beschrijving
userPrincipalName REGEX-OVEREENKOMST .*@domain.com Alle gebruikers met userPrincipal met het domein @domain.com vallen binnen het bereik voor inrichting
userPrincipalName NIET REGEX MATCH .*@domain.com Alle gebruikers met userPrincipal met het domein @domain.com vallen buiten het bereik voor inrichting
department IS GELIJK AAN Verkoop Alle gebruikers van de verkoopafdeling vallen binnen het bereik voor inrichting
workerID REGEX-OVEREENKOMST (1[0-9][0-9][0-9][0-9][0-9][0-9]) Alle werknemers met werk-ID's tussen 1000000 en 2000000 vallen binnen het bereik voor inrichting.