Provisionamento de aplicações baseados em atributos com filtros de escotagem

O objetivo deste artigo é explicar como usar filtros de digitalização para definir regras baseadas em atributos que determinam quais os utilizadores que estão a forcê-lo a uma aplicação.

Escoar os casos de utilização do filtro

Um filtro de deteção permite que o serviço de prestação do Azure Ative Directory (Azure AD) inclua ou exclua qualquer utilizadores que tenham um atributo que corresponda a um valor específico. Por exemplo, ao a provisionar utilizadores de Azure AD a uma aplicação SaaS utilizada por uma equipa de vendas, pode especificar que apenas os utilizadores com um atributo "Department" de "Vendas" devem estar em campo para o provisionamento.

Os filtros de escoamento podem ser utilizados de forma diferente, dependendo do tipo de conector de provisionamento:

  • Fornecimento de saída de Azure AD para aplicações SaaS. Quando Azure AD é o sistema de origem, as atribuições de utilizador e grupo são o método mais comum para determinar quais os utilizadores que estão em possibilidade de provisão. Estas atribuições também são utilizadas para permitir uma única sessão de acesso e fornecer um único método para gerir o acesso e o provisionamento. Os filtros de deteção podem ser utilizados opcionalmente, para além de atribuições ou em vez deles, para filtrar os utilizadores com base nos valores de atributos.

    Dica

    Quanto mais utilizadores e grupos de âmbito de provisão, mais tempo o processo de sincronização pode demorar. Definir o âmbito para sincronizar utilizadores e grupos atribuídos, limitar o número de grupos atribuídos à app, e limitar o tamanho dos grupos reduzirá o tempo necessário para sincronizar todos os que estão no âmbito.

  • Fornecimento de entrada de aplicações HCM para Azure AD e Diretório Ativo. Quando uma aplicação HCM como o Workday é o sistema de origem, os filtros de deteção são o método principal para determinar quais os utilizadores que devem ser a provisionados a partir da aplicação HCM para Ative Directy ou Azure AD.

Por predefinição, Azure AD conectores de provisionamento não têm nenhum filtro de scoping baseado em atributos configurados.

Construção de filtro de escotagem

Um filtro de deteção consiste numa ou mais cláusulas. As cláusulas determinam quais os utilizadores que podem passar através do filtro de deteção, avaliando os atributos de cada utilizador. Por exemplo, pode ter uma cláusula que requer que o atributo "Estado" de um utilizador seja igual a "Nova Iorque", pelo que apenas os utilizadores de Nova Iorque estão a ser adustados para a aplicação.

Uma única cláusula define uma única condição para um único valor de atributo. Se várias cláusulas forem criadas num único filtro de deteção, são avaliadas em conjunto utilizando a lógica "E". Isto significa que todas as cláusulas devem avaliar "verdadeiramente" para que um utilizador seja provisionado.

Finalmente, podem ser criados vários filtros de deteção para uma única aplicação. Se estiverem presentes vários filtros de deteção, são avaliados em conjunto utilizando a lógica "OR". Isto significa que se todas as cláusulas em qualquer um dos filtros de digitalização configurados avaliarem "verdadeiro", o utilizador é a provisionado.

Cada utilizador ou grupo processado pelo serviço de prestação de Azure AD é sempre avaliado individualmente em cada filtro de escoamento.

Como exemplo, considere o seguinte filtro de deteção:

Filtro de escotagem

De acordo com este filtro de escoamento, os utilizadores devem satisfazer os seguintes critérios a prever:

  • Devem estar em Nova Iorque.
  • Devem trabalhar no departamento de Engenharia.
  • A identificação dos empregados da empresa deve estar entre 1.000.000 e 2.000.000.
  • O seu cargo não deve ser nulo ou vazio.

Criar filtros de deteção

Os filtros de deteção são configurados como parte dos mapeamentos de atributos para cada Azure AD conector de fornecimento do utilizador. O procedimento a seguir pressupõe que já criou o provisionamento automático para uma das aplicações apoiadas e está a adicionar-lhe um filtro de escoamento.

Criar um filtro de escotagem

  1. Na portal do Azure, aceda à secção Azure Ative Directory>Enterprise Applications>All applications.

  2. Selecione a aplicação para a qual configurar o fornecimento automático: por exemplo, "ServiceNow".

  3. Selecione o separador Aprovisionamento.

  4. Na secção Mappings , selecione o mapeamento que pretende configurar um filtro de deteção para: por exemplo, "Sincronizar Utilizadores do Diretório Ativo Azure para o ServiceNow".

  5. Selecione o menu de âmbito do objeto Fonte .

  6. Selecione Adicionar filtro de escotagem.

  7. Defina uma cláusula selecionando um Nome de Atributo de Origem, um Operador e um Valor De Atributo para corresponder. São apoiados os seguintes operadores:

    a. É IGUAL. A cláusula devolve "verdadeiro" se o atributo avaliado corresponder exatamente ao valor da cadeia de entrada (sensível à caixa).

    b. NÃO É IGUAL. A cláusula devolve "verdadeiro" se o atributo avaliado não corresponder ao valor da cadeia de entrada (sensível à caixa).

    c. É VERDADE. A cláusula devolve "verdadeiro" se o atributo avaliado contiver um valor booleano de verdade.

    d. É FALSO. A cláusula devolve "verdadeiro" se o atributo avaliado contiver um valor Booleano de falso.

    e. É NULO. A cláusula devolve "verdadeiro" se o atributo avaliado estiver vazio.

    f. NÃO É NULO. A cláusula devolve "verdadeiro" se o atributo avaliado não estiver vazio.

    exemplo, REGEX MATCH. A cláusula devolve "verdadeiro" se o atributo avaliado corresponder a um padrão de expressão regular. Por exemplo: ([1-9][0-9]) corresponde a qualquer número entre 10 e 99 (caso sensível).

    h. NÃO É O JOGO REGEX. A cláusula devolve "verdadeiro" se o atributo avaliado não corresponder a um padrão de expressão regular. Devolverá "falso" se o atributo for nulo/vazio.

    i. Greater_Than. A cláusula devolve "verdadeiro" se o atributo avaliado for maior do que o valor. O valor especificado no filtro de escoamento deve ser um número inteiro e o atributo no utilizador deve ser um número inteiro [0,1,2,...].

    j. Greater_Than_OR_EQUALS. A cláusula devolve "verdadeiro" se o atributo avaliado for maior ou igual ao valor. O valor especificado no filtro de escoamento deve ser um número inteiro e o atributo no utilizador deve ser um número inteiro [0,1,2,...].

    k. Inclui. A cláusula devolve "verdadeiro" se o atributo avaliado contiver o valor de cadeia (sensível à caixa) como descrito aqui.

Importante

  • O filtro IsMemberOf não é suportado atualmente.
  • Os membros atribuídos num grupo não são apoiados atualmente.
  • A filtragem não é suportada para atributos multi-valorizados.
  • Os filtros de escoamento devolverão "falso" se o valor for nulo/vazio.
  1. Opcionalmente, repita os passos 7-8 para adicionar mais cláusulas de deteção.

  2. No Título de Filtro de Scoping, adicione um nome para o seu filtro de escotagem.

  3. Selecione OK.

  4. Selecione OK novamente no ecrã 'Filtrar filtros '. Opcionalmente, repita os passos 6-11 para adicionar outro filtro de escotagem.

  5. Selecione Guardar no ecrã de mapeamento de atributos.

Importante

A poupança de um novo filtro de deteção desencadeia uma nova sincronização completa para a aplicação, onde todos os utilizadores do sistema de origem são novamente avaliados contra o novo filtro de deteção. Se um utilizador na aplicação estivesse anteriormente em possibilidade de provisão, mas se desprovativo, a sua conta é desativada ou desprovisionada na aplicação. Para anular este comportamento predefinido, consulte a eliminação de Skip para contas de utilizador que ficam fora de alcance.

Filtros de escotagem comuns

Atributo alvo Operador Valor Descrição
userPrincipalName REGEX MATCH .*@domain.com Todos os utilizadores com utilizadorPrincipal que tenha o domínio @domain.com estarão em campo para o provisionamento
userPrincipalName NÃO REGEX MATCH .*@domain.com Todos os utilizadores com userPrincipal que tenha o domínio @domain.com estarão fora de alcance para o provisionamento
departamento É IGUAL vendas Todos os utilizadores do departamento de vendas estão em campo para o provisionamento
trabalhadorID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) Todos os trabalhadores com 100000000 e 2000000 estão em possibilidade de provisão.