Określanie zakresu użytkowników lub grup do aprowizacji przy użyciu filtrów określania zakresu

  • Artykuł
  • Czas czytania: 6 min

Ważne

Synchronizacja między dzierżawami jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

W tym artykule opisano sposób używania filtrów określania zakresu w usłudze aprowizacji usługi Azure Active Directory (Azure AD) w celu zdefiniowania reguł opartych na atrybutach, które określają, którzy użytkownicy lub grupy są aprowizowani.

Przypadki użycia filtru określającego zakres

Filtry określania zakresu służą do zapobiegania aprowizowaniu obiektów w aplikacjach obsługujących automatyczną aprowizację użytkowników, jeśli obiekt nie spełnia wymagań biznesowych. Filtr określania zakresu umożliwia dołączanie lub wykluczanie wszystkich użytkowników, którzy mają atrybut zgodny z określoną wartością. Na przykład podczas aprowizowania użytkowników z Azure AD do aplikacji SaaS używanej przez zespół sprzedaży można określić, że tylko użytkownicy z atrybutem "Dział" "Sales" powinny znajdować się w zakresie aprowizacji.

Filtry określania zakresu mogą być używane inaczej w zależności od typu łącznika aprowizacji:

  • Aprowizowanie ruchu wychodzącego z Azure AD do aplikacji SaaS. Gdy Azure AD jest systemem źródłowym, przypisania użytkowników i grup są najczęstszą metodą określania, którzy użytkownicy znajdują się w zakresie aprowizacji. Te przypisania są również używane do włączania logowania jednokrotnego i zapewniają jedną metodę zarządzania dostępem i aprowizowaniem. Filtry określania zakresu mogą być używane opcjonalnie, oprócz przypisań lub zamiast nich, do filtrowania użytkowników na podstawie wartości atrybutów.

    Porada

    Tym więcej użytkowników i grup w zakresie aprowizacji, tym dłużej proces synchronizacji może potrwać. Ustawienie zakresu synchronizacji przypisanych użytkowników i grup, ograniczenie liczby grup przypisanych do aplikacji i ograniczenie rozmiaru grup skróci czas potrzebny na synchronizację wszystkich użytkowników, którzy znajdują się w zakresie.

  • Inicjowanie obsługi administracyjnej ruchu przychodzącego z aplikacji HCM do Azure AD i usługi Active Directory. Gdy aplikacja HCM, taka jak Workday, jest systemem źródłowym, filtry określania zakresu są podstawową metodą określania, którzy użytkownicy powinni być aprowizowani z aplikacji HCM do usługi Active Directory lub Azure AD.

Domyślnie Azure AD łączniki aprowizacji nie mają skonfigurowanych filtrów określania zakresu opartych na atrybutach.

Gdy Azure AD jest systemem źródłowym, przypisania użytkowników i grup są najczęstszą metodą określania, którzy użytkownicy znajdują się w zakresie aprowizacji. Zaleca się zmniejszenie liczby użytkowników w zakresie, co zwiększa wydajność i synchronizowanie przypisanych użytkowników i grup zamiast synchronizowania wszystkich użytkowników i grup.

Filtry określania zakresu mogą być używane opcjonalnie, oprócz określania zakresu według przypisania. Filtr określania zakresu umożliwia usłudze aprowizacji Azure AD dołączanie lub wykluczanie wszystkich użytkowników, którzy mają atrybut zgodny z określoną wartością. Na przykład podczas aprowizowania użytkowników z zespołu sprzedaży można określić, że tylko użytkownicy z atrybutem "Dział" "Sales" powinny znajdować się w zakresie aprowizacji.

Konstruowanie filtru określającego zakres

Filtr określania zakresu składa się z co najmniej jednej klauzuli. Klauzule określają, którzy użytkownicy mogą przechodzić przez filtr określania zakresu, oceniając atrybuty każdego użytkownika. Na przykład może istnieć jedna klauzula, która wymaga, aby atrybut "State" użytkownika był równy "Nowy Jork", więc tylko użytkownicy z Nowego Jorku są aprowizowani w aplikacji.

Pojedyncza klauzula definiuje pojedynczy warunek dla pojedynczej wartości atrybutu. Jeśli wiele klauzul jest tworzonych w jednym filtrze określania zakresu, są oceniane razem przy użyciu logiki "AND". Oznacza to, że wszystkie klauzule muszą mieć wartość "true", aby aprowizować użytkownika.

Na koniec można utworzyć wiele filtrów określania zakresu dla jednej aplikacji. Jeśli istnieje wiele filtrów określania zakresu, są one oceniane razem przy użyciu logiki "OR". Oznacza to, że jeśli wszystkie klauzule w dowolnej ze skonfigurowanych filtrów określania zakresu mają wartość "true", użytkownik jest aprowizacji.

Każdy użytkownik lub grupa przetwarzana przez usługę aprowizacji Azure AD jest zawsze oceniana indywidualnie dla każdego filtru określania zakresu.

Rozważmy na przykład następujący filtr określania zakresu:

Filtr określania zakresu

Zgodnie z tym filtrem określania zakresu użytkownicy muszą spełnić następujące kryteria, które należy aprowizować:

  • Muszą być w Nowym Jorku.
  • Muszą pracować w dziale inżynierii.
  • Identyfikator pracownika firmy musi zawierać się w zakresie od 1 000 000 do 2000 000.
  • Jego stanowisko nie może mieć wartości null ani być puste.

Tworzenie filtrów określania zakresu

Filtry określania zakresu są konfigurowane jako część mapowań atrybutów dla każdego łącznika aprowizacji użytkowników Azure AD. W poniższej procedurze przyjęto założenie, że automatyczna aprowizacja jest już skonfigurowana dla jednej z obsługiwanych aplikacji i dodaje do niej filtr określania zakresu.

Tworzenie filtru określania zakresu

  1. Zaloguj się do Azure portal.

  1. Przejdź dopozycji Aplikacje dla przedsiębiorstw>usługi Azure Active Directory>Wszystkie aplikacje.

  2. Wybierz aplikację, dla której skonfigurowano automatyczną aprowizację: na przykład "ServiceNow".

  1. Przejdź dopozycji Azure Active Directory Cross-tenant Synchronization Configurations (Konfiguracje synchronizacji >między dzierżawami w usłudzeAzure Active Directory>)

  2. Wybierz konfigurację.

  1. Wybierz kartę Aprowizacja.
  1. W sekcji Mapowania wybierz mapowanie , dla którego chcesz skonfigurować filtr określania zakresu: na przykład "Synchronizuj użytkowników usługi Azure Active Directory z usługą ServiceNow".
  1. W sekcji Mapowania wybierz mapowanie , dla którego chcesz skonfigurować filtr określania zakresu: na przykład "Aprowizuj użytkowników usługi Azure Active Directory".

  1. Wybierz menu Zakres obiektu źródłowego .

  2. Wybierz pozycję Dodaj filtr określania zakresu.

  3. Zdefiniuj klauzulę, wybierając źródłową nazwę atrybutu, operator i wartość atrybutu do dopasowania. Obsługiwane są następujące operatory:

    a. RÓWNA SIĘ. Klauzula zwraca wartość "true", jeśli obliczony atrybut jest zgodny z wartością ciągu wejściowego dokładnie (uwzględniana jest wielkość liter).

    b. NIE RÓWNA SIĘ. Klauzula zwraca wartość "true", jeśli obliczony atrybut nie jest zgodny z wartością ciągu wejściowego (uwzględniana jest wielkość liter).

    c. JEST PRAWDZIWE. Klauzula zwraca wartość "true", jeśli obliczony atrybut zawiera wartość logiczną true.

    d. TO FAŁSZ. Klauzula zwraca wartość "true", jeśli obliczony atrybut zawiera wartość logiczną false.

    e. MA WARTOŚĆ NULL. Klauzula zwraca wartość "true", jeśli obliczony atrybut jest pusty.

    f. NIE MA WARTOŚCI NULL. Klauzula zwraca wartość "true", jeśli atrybut oceniany nie jest pusty.

    g. DOPASOWANIE WYRAŻENIA REGULARNEGO. Klauzula zwraca wartość "true", jeśli obliczony atrybut jest zgodny ze wzorcem wyrażenia regularnego. Na przykład: ([1–9][0–9]) pasuje do dowolnej liczby z zakresu od 10 do 99 (z uwzględnieniem wielkości liter).

    h. NIE PASUJE DO WYRAŻENIA REGULARNEGO. Klauzula zwraca wartość "true", jeśli atrybut oceniany nie jest zgodny ze wzorcem wyrażenia regularnego. Zwraca wartość "false", jeśli atrybut ma wartość null/pustą.

    i. Greater_Than. Klauzula zwraca wartość "true", jeśli obliczony atrybut jest większy niż wartość. Wartość określona w filtrze określania zakresu musi być liczbą całkowitą, a atrybut w użytkowniku musi być liczbą całkowitą [0,1,2,...].

    j. Greater_Than_OR_EQUALS. Klauzula zwraca wartość "true", jeśli obliczony atrybut jest większy lub równy wartości. Wartość określona w filtrze określania zakresu musi być liczbą całkowitą, a atrybut w użytkowniku musi być liczbą całkowitą [0,1,2,...].

    k. Zawiera. Klauzula zwraca wartość "true", jeśli obliczony atrybut zawiera wartość ciągu (uwzględniana wielkość liter), zgodnie z opisem w tym miejscu.

Ważne

  • Filtr IsMemberOf nie jest obecnie obsługiwany.
  • Atrybut członków grupy nie jest obecnie obsługiwany.
  • Filtrowanie nie jest obsługiwane w przypadku atrybutów wielowartych.
  • Filtry określające zakres będą zwracać wartość "false", jeśli wartość ma wartość null/jest pusta.

  1. Opcjonalnie powtórz kroki 7–8, aby dodać więcej klauzul zakresu.

  2. W obszarze Tytuł filtru określania zakresu dodaj nazwę filtru określania zakresu.

  3. Wybierz przycisk OK.

  4. Ponownie wybierz przycisk OK na ekranie Filtry określania zakresu . Opcjonalnie powtórz kroki 6–11, aby dodać kolejny filtr określania zakresu.

  5. Wybierz pozycję Zapisz na ekranie Mapowanie atrybutów .

Ważne

Zapisanie nowego filtru określania zakresu wyzwala nową pełną synchronizację aplikacji, gdzie wszyscy użytkownicy w systemie źródłowym są ponownie oceniani względem nowego filtru określania zakresu. Jeśli użytkownik w aplikacji był wcześniej w zakresie aprowizacji, ale nie mieści się w zakresie, jego konto jest wyłączone lub anulowane aprowizację w aplikacji. Aby zastąpić to domyślne zachowanie, zapoznaj się z tematem Pomiń usuwanie kont użytkowników, które wykraczają poza zakres.

Typowe filtry określania zakresu

Atrybut docelowy Operator Wartość Opis
userPrincipalName DOPASOWANIE REGEX .*@domain.com Wszyscy użytkownicy z użytkownikiemPrincipal, którzy mają domenę @domain.com , będą w zakresie aprowizacji
userPrincipalName NIE PASUJE DO REGEX .*@domain.com Wszyscy użytkownicy z użytkownikiemPrincipal, którzy mają domenę @domain.com , będą poza zakresem aprowizacji
działu, RÓWNA Sprzedaży Wszyscy użytkownicy z działu sprzedaży mają zakres aprowizacji
identyfikator procesu roboczego DOPASOWANIE REGEX (1[0-9][0-9][0-9][0-9][0-9][0-9]) Wszyscy pracownicy z identyfikatorami roboczymi z zakresu od 1000000 do 2000000 mają zakres aprowizacji.