Udostępnij za pośrednictwem


Określanie zakresu użytkowników lub grup do aprowizacji przy użyciu filtrów określania zakresu

Dowiedz się, jak używać filtrów określania zakresu w usłudze aprowizacji firmy Microsoft do definiowania reguł opartych na atrybutach. Reguły służą do określania, którzy użytkownicy lub grupy są aprowizowani.

Przypadki użycia filtru określającego zakres

Filtry określania zakresu umożliwiają zapobieganie aprowizacji obiektów w aplikacjach obsługujących automatyczną aprowizację użytkowników, jeśli obiekt nie spełnia wymagań biznesowych. Filtr określania zakresu umożliwia dołączenie lub wykluczenie wszystkich użytkowników, którzy mają atrybut zgodny z określoną wartością. Na przykład podczas aprowizowania użytkowników z identyfikatora Entra firmy Microsoft do aplikacji SaaS używanej przez zespół sprzedaży można określić, że tylko użytkownicy z atrybutem "Dział" "Sales" powinny znajdować się w zakresie aprowizacji.

Filtry określania zakresu mogą być używane inaczej w zależności od typu łącznika aprowizacji:

  • Aprowizowanie ruchu wychodzącego z identyfikatora Entra firmy Microsoft do aplikacji SaaS. Gdy microsoft Entra ID jest systemem źródłowym, przypisania użytkowników i grup są najbardziej typową metodą określania, którzy użytkownicy znajdują się w zakresie aprowizacji. Te przypisania są również używane do włączania logowania jednokrotnego i zapewniają jedną metodę zarządzania dostępem i aprowizowaniem. Filtry określania zakresu mogą być używane opcjonalnie, oprócz przypisań lub zamiast nich, do filtrowania użytkowników na podstawie wartości atrybutów.

    Napiwek

    Tym więcej użytkowników i grup w zakresie aprowizacji, tym dłużej proces synchronizacji może potrwać. Ustawienie zakresu synchronizacji przypisanych użytkowników i grup, ograniczenie liczby grup przypisanych do aplikacji i ograniczenie rozmiaru grup skróci czas potrzebny na synchronizowanie wszystkich osób w zakresie.

  • Inicjowanie obsługi administracyjnej ruchu przychodzącego z aplikacji HCM do usługi Microsoft Entra ID i Active Directory. Gdy aplikacja HCM, taka jak Workday, jest systemem źródłowym, filtry określania zakresu są podstawową metodą określania, którzy użytkownicy powinni być aprowizowani z aplikacji HCM do usługi Active Directory lub Microsoft Entra ID.

Domyślnie łączniki aprowizacji firmy Microsoft nie mają skonfigurowanych filtrów określania zakresu opartych na atrybutach.

Gdy microsoft Entra ID jest systemem źródłowym, przypisania użytkowników i grup są najbardziej typową metodą określania, którzy użytkownicy znajdują się w zakresie aprowizacji. Zmniejszenie liczby użytkowników w zakresie zwiększa wydajność i synchronizowanie przypisanych użytkowników i grup zamiast synchronizowania wszystkich użytkowników i grup jest zalecane.

Filtry określania zakresu można używać opcjonalnie, oprócz określania zakresu według przypisania. Filtr określania zakresu umożliwia usłudze aprowizacji firmy Microsoft dołączanie lub wykluczanie wszystkich użytkowników, którzy mają atrybut zgodny z określoną wartością. Na przykład podczas aprowizowania użytkowników z zespołu sprzedaży można określić, że tylko użytkownicy z atrybutem "Dział" "Sales" powinny znajdować się w zakresie aprowizacji.

Konstruowanie filtru określającego zakres

Filtr określania zakresu składa się z co najmniej jednej klauzuli. Klauzule określają, którzy użytkownicy mogą przechodzić przez filtr określania zakresu, oceniając atrybuty każdego użytkownika. Na przykład może istnieć jedna klauzula, która wymaga, aby atrybut "State" użytkownika był równy "Nowy Jork", więc tylko nowi użytkownicy są aprowizowani w aplikacji.

Pojedyncza klauzula definiuje pojedynczy warunek dla pojedynczej wartości atrybutu. Jeśli w jednym filtrze określania zakresu jest tworzonych wiele klauzul, są one oceniane razem przy użyciu logiki "AND". Logika "AND" oznacza, że wszystkie klauzule muszą mieć wartość "true" w celu aprowizacji użytkownika.

Na koniec można utworzyć wiele filtrów określania zakresu dla jednej aplikacji. Jeśli istnieje wiele filtrów określania zakresu, są one oceniane razem przy użyciu logiki "OR". Logika "OR" oznacza, że jeśli wszystkie klauzule w dowolnym ze skonfigurowanych filtrów określania zakresu mają wartość "true", użytkownik jest aprowizowany.

Każdy użytkownik lub grupa przetworzona przez usługę aprowizacji firmy Microsoft jest zawsze oceniana indywidualnie dla każdego filtru określania zakresu.

Rozważmy na przykład następujący filtr określania zakresu:

Filtr określania zakresu

Zgodnie z tym filtrem określania zakresu użytkownicy muszą spełnić następujące kryteria, które należy aprowizować:

  • Muszą być w Nowym Jorku.
  • Muszą pracować w dziale inżynierii.
  • Identyfikator pracownika firmy musi należeć do zakresu od 1 000 000 do 2000 000.
  • Jego stanowisko nie może mieć wartości null ani być puste.

Tworzenie filtrów określania zakresu

Filtry określania zakresu są konfigurowane jako część mapowań atrybutów dla każdego łącznika aprowizacji użytkowników firmy Microsoft Entra. Poniższa procedura zakłada, że skonfigurowaliśmy już automatyczną aprowizację dla jednej z obsługiwanych aplikacji i dodasz do niej filtr określania zakresu.

Tworzenie filtru określania zakresu

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
  1. Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>

  2. Wybierz aplikację, dla której skonfigurowano automatyczną aprowizację: na przykład "ServiceNow".

  1. Przejdź do sekcji Identity External Identities Cross-tenant Synchronization Configurations (Tożsamości zewnętrzne tożsamości>między dzierżawami>) — Konfiguracje synchronizacji>między dzierżawami

  2. Wybierz konfigurację.

  1. Wybierz kartę Aprowizacja.
  1. W sekcji Mapowania wybierz mapowanie, dla którego chcesz skonfigurować filtr określania zakresu: na przykład "Synchronizuj użytkowników usługi Microsoft Entra z usługą ServiceNow".
  1. W sekcji Mapowania wybierz mapowanie, dla którego chcesz skonfigurować filtr określania zakresu: na przykład "Aprowizuj użytkowników usługi Microsoft Entra".
  1. Wybierz menu Zakres obiektu źródłowego.

  2. Wybierz pozycję Dodaj filtr określania zakresu.

  3. Zdefiniuj klauzulę, wybierając źródłową nazwę atrybutu, operator i wartość atrybutu do dopasowania. Obsługiwane są następujące operatory:

    a. &. Klauzula zwraca wartość "true", jeśli obliczony atrybut istnieje w wartości ciągu wejściowego.

    b. !&. Klauzula zwraca wartość "true", jeśli obliczony atrybut nie istnieje w wartości ciągu wejściowego.

    c. ENDS_WITH. Klauzula zwraca wartość "true", jeśli obliczony atrybut kończy się wartością ciągu wejściowego.

    d. RÓWNA SIĘ. Klauzula zwraca wartość "true", jeśli obliczony atrybut odpowiada dokładnie wartości ciągu wejściowego (uwzględniana wielkość liter).

    e. Greater_Than. Klauzula zwraca wartość "true", jeśli obliczony atrybut jest większy niż wartość. Wartość określona w filtrze określania zakresu musi być liczbą całkowitą, a atrybut użytkownika musi być liczbą całkowitą [0,1,2,...].

    f. Greater_Than_OR_EQUALS. Klauzula zwraca wartość "true", jeśli obliczony atrybut jest większy lub równy wartości. Wartość określona w filtrze określania zakresu musi być liczbą całkowitą, a atrybut użytkownika musi być liczbą całkowitą [0,1,2,...].

    g. Zawiera. Klauzula zwraca wartość "true", jeśli obliczony atrybut zawiera wartość ciągu (uwzględniana wielkość liter), zgodnie z opisem w tym miejscu.

    h. TO FAŁSZ. Klauzula zwraca wartość "true", jeśli obliczony atrybut zawiera wartość logiczną false.

    i. NIE MA WARTOŚCI NULL. Klauzula zwraca wartość "true", jeśli obliczony atrybut nie jest pusty.

    j. MA WARTOŚĆ NULL. Klauzula zwraca wartość "true", jeśli obliczony atrybut jest pusty.

    k. TO PRAWDA. Klauzula zwraca wartość "true", jeśli obliczony atrybut zawiera wartość logiczną true.

    l. NIE RÓWNA SIĘ. Klauzula zwraca wartość "true", jeśli obliczony atrybut nie jest zgodny z wartością ciągu wejściowego (uwzględniana wielkość liter).

    m. NIE PASUJE DO WYRAŻENIA REGULARNEGO. Klauzula zwraca wartość "true", jeśli obliczony atrybut nie jest zgodny ze wzorcem wyrażenia regularnego. Zwraca wartość "false", jeśli atrybut ma wartość null/pustą.

    n. DOPASOWANIE WYRAŻENIA REGULARNEGO. Klauzula zwraca wartość "true", jeśli obliczony atrybut pasuje do wzorca wyrażenia regularnego. Na przykład: ([1-9][0-9]) pasuje do dowolnej liczby z zakresu od 10 do 99 (z uwzględnieniem wielkości liter).

Ważne

  • Filtr IsMemberOf nie jest obecnie obsługiwany.
  • Atrybut członków w grupie nie jest obecnie obsługiwany.
  • Filtrowanie nie jest obsługiwane w przypadku atrybutów wielowartych.
  • Filtry określające zakres będą zwracać wartość "false", jeśli wartość ma wartość null/pustą.
  1. Opcjonalnie powtórz kroki 7–8, aby dodać więcej klauzul określania zakresu.

  2. W obszarze Tytuł filtru określania zakresu dodaj nazwę filtru określania zakresu.

  3. Wybierz przycisk OK.

  4. Ponownie wybierz przycisk OK na ekranie Filtry określania zakresu. Opcjonalnie powtórz kroki 6–11, aby dodać kolejny filtr określania zakresu.

  5. Wybierz pozycję Zapisz na ekranie Mapowanie atrybutów.

Ważne

Zapisanie nowego filtru określania zakresu wyzwala nową pełną synchronizację aplikacji, gdzie wszyscy użytkownicy w systemie źródłowym są ponownie oceniani względem nowego filtru określania zakresu. Jeśli użytkownik w aplikacji był wcześniej w zakresie aprowizacji, ale wykracza poza zakres, jego konto jest wyłączone lub anulowane aprowizację w aplikacji. Aby zastąpić to domyślne zachowanie, zapoznaj się z tematem Pomiń usuwanie kont użytkowników, które wykraczają poza zakres.

Typowe filtry określania zakresu

Atrybut docelowy Operator Wartość Opis
userPrincipalName DOPASOWANIE WYRAŻENIA REGULARNEGO .*\@domain.com Wszyscy użytkownicy z domeną userPrincipal @domain.com mają zakres aprowizacji.
userPrincipalName NIE PASUJE DO WYRAŻENIA REGULARNEGO .*\@domain.com Wszyscy użytkownicy, którzy mają userPrincipal domenę @domain.com , są poza zakresem aprowizacji.
department EQUALS sales Wszyscy użytkownicy z działu sprzedaży mają zakres aprowizacji
identyfikator procesu roboczego DOPASOWANIE WYRAŻENIA REGULARNEGO (1[0-9][0-9][0-9][0-9][0-9][0-9]) Wszyscy pracownicy z workerID zakresu od 10000000 do 2000000 są w zakresie aprowizacji.