Escopo de usuários ou grupos a serem provisionados com filtros de escopo

Saiba como usar filtros de escopo no serviço de provisionamento do Microsoft Entra para definir regras baseadas em atributos. As regras são usadas para determinar quais usuários ou grupos são provisionados.

Casos de uso do filtro de escopo

Você usa filtros de escopo para impedir que objetos em aplicativos que oferecem suporte ao provisionamento automatizado de usuários sejam provisionados se um objeto não atender aos seus requisitos de negócios. Um filtro de escopo permite incluir ou excluir quaisquer usuários que tenham um atributo que corresponda a um valor específico. Por exemplo, ao provisionar usuários do Microsoft Entra ID para um aplicativo SaaS usado por uma equipe de vendas, você pode especificar que apenas usuários com um atributo "Departamento" de "Vendas" devem estar no escopo para provisionamento.

Os filtros de escopo podem ser usados de forma diferente, dependendo do tipo de conector de provisionamento:

  • Provisionamento de saída do Microsoft Entra ID para aplicativos SaaS. Quando o Microsoft Entra ID é o sistema de origem, as atribuições de usuário e grupo são o método mais comum para determinar quais usuários estão no escopo para provisionamento. Essas atribuições também são usadas para habilitar o logon único e fornecer um único método para gerenciar o acesso e o provisionamento. Os filtros de escopo podem ser usados opcionalmente, além das atribuições ou, em vez delas, para filtrar usuários com base em valores de atributos.

    Gorjeta

    Quanto mais usuários e grupos tiverem escopo para provisionamento, mais longo será o processo de sincronização. Definir o escopo para sincronizar usuários e grupos atribuídos, limitar o número de grupos atribuídos ao aplicativo e limitar o tamanho dos grupos reduzirá o tempo necessário para sincronizar todos os que estão no escopo.

  • Provisionamento de entrada de aplicativos HCM para Microsoft Entra ID e Ative Directory. Quando um aplicativo HCM, como o Workday , é o sistema de origem, os filtros de escopo são o principal método para determinar quais usuários devem ser provisionados do aplicativo HCM para o Ative Directory ou Microsoft Entra ID.

Por padrão, os conectores de provisionamento do Microsoft Entra não têm filtros de escopo baseados em atributos configurados.

Quando o Microsoft Entra ID é o sistema de origem, as atribuições de usuário e grupo são o método mais comum para determinar quais usuários estão no escopo para provisionamento. Reduzir o número de usuários no escopo melhora o desempenho e é recomendável sincronizar usuários e grupos atribuídos em vez de sincronizar todos os usuários e grupos.

Os filtros de escopo podem ser usados opcionalmente, além do escopo por atribuição. Um filtro de escopo permite que o serviço de provisionamento do Microsoft Entra inclua ou exclua quaisquer usuários que tenham um atributo que corresponda a um valor específico. Por exemplo, ao provisionar usuários de uma equipe de vendas, você pode especificar que apenas os usuários com um atributo "Departamento" de "Vendas" devem estar no escopo para provisionamento.

Construção do filtro de escopo

Um filtro de escopo consiste em uma ou mais cláusulas. As cláusulas determinam quais usuários têm permissão para passar pelo filtro de escopo avaliando os atributos de cada usuário. Por exemplo, você pode ter uma cláusula que exija que o atributo "State" de um usuário seja igual a "New York", para que apenas os usuários de Nova York sejam provisionados no aplicativo.

Uma única cláusula define uma única condição para um único valor de atributo. Se várias cláusulas forem criadas em um único filtro de escopo, elas serão avaliadas em conjunto usando a lógica "E". A lógica "E" significa que todas as cláusulas devem ser avaliadas como "verdadeiras" para que um usuário seja provisionado.

Finalmente, vários filtros de escopo podem ser criados para um único aplicativo. Se vários filtros de escopo estiverem presentes, eles serão avaliados juntos usando a lógica "OR". A lógica "OR" significa que, se todas as cláusulas em qualquer um dos filtros de escopo configurados avaliarem como "true", o usuário será provisionado.

Cada usuário ou grupo processado pelo serviço de provisionamento do Microsoft Entra é sempre avaliado individualmente em relação a cada filtro de escopo.

Como exemplo, considere o seguinte filtro de escopo:

Scoping filter

De acordo com este filtro de escopo, os usuários devem satisfazer os seguintes critérios a serem provisionados:

  • Têm de estar em Nova Iorque.
  • Eles devem trabalhar no departamento de Engenharia.
  • A identificação do funcionário da empresa deve estar entre 1.000.000 e 2.000.000.
  • O seu cargo não deve ser nulo ou vazio.

Criar filtros de escopo

Os filtros de escopo são configurados como parte dos mapeamentos de atributos para cada conector de provisionamento de usuário do Microsoft Entra. O procedimento a seguir pressupõe que você já configurou o provisionamento automático para um dos aplicativos suportados e está adicionando um filtro de escopo a ele.

Criar um filtro de escopo

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
  1. Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.

  2. Selecione o aplicativo para o qual você configurou o provisionamento automático: por exemplo, "ServiceNow".

  1. Navegue até Configurações>de sincronização>entre locatários de identidades externas>de identidades

  2. Selecione a sua configuração.

  1. Selecione o separador Aprovisionamento.
  1. Na seção Mapeamentos, selecione o mapeamento para o qual você deseja configurar um filtro de escopo: por exemplo, "Sincronizar usuários do Microsoft Entra com ServiceNow".
  1. Na seção Mapeamentos, selecione o mapeamento para o qual você deseja configurar um filtro de escopo: por exemplo, "Provisionar usuários do Microsoft Entra".
  1. Selecione o menu Escopo do objeto de origem.

  2. Selecione Adicionar filtro de escopo.

  3. Defina uma cláusula selecionando um Nome do Atributo de origem, um Operador e um Valor do Atributo para corresponder. Os seguintes operadores são suportados:

    a. &. A cláusula retornará "true" se o atributo avaliado existir no valor da cadeia de caracteres de entrada.

    b. !&. A cláusula retornará "true" se o atributo avaliado não existir no valor da cadeia de caracteres de entrada.

    c. ENDS_WITH. A cláusula retornará "true" se o atributo avaliado terminar com o valor da cadeia de caracteres de entrada.

    d. IGUAIS. A cláusula retornará "true" se o atributo avaliado corresponder exatamente ao valor da cadeia de caracteres de entrada (diferencia maiúsculas de minúsculas).

    e. Greater_Than. A cláusula retorna "true" se o atributo avaliado for maior que o valor. O valor especificado no filtro de escopo deve ser um inteiro e o atributo no usuário deve ser um inteiro [0,1,2,...].

    f. Greater_Than_OR_EQUALS. A cláusula retornará "true" se o atributo avaliado for maior ou igual ao valor. O valor especificado no filtro de escopo deve ser um inteiro e o atributo no usuário deve ser um inteiro [0,1,2,...].

    g. Inclui. A cláusula retornará "true" se o atributo avaliado contiver o valor da cadeia de caracteres (diferencia maiúsculas de minúsculas) conforme descrito aqui.

    h. É FALSO. A cláusula retorna "true" se o atributo avaliado contiver um valor booleano de false.

    i. NÃO É NULA. A cláusula retornará "true" se o atributo avaliado não estiver vazio.

    j. É NULA. A cláusula retorna "true" se o atributo avaliado estiver vazio.

    k. É VERDADE. A cláusula retornará "true" se o atributo avaliado contiver um valor booleano de true.

    l. NÃO IGUAL. A cláusula retornará "true" se o atributo avaliado não corresponder ao valor da cadeia de caracteres de entrada (diferencia maiúsculas de minúsculas).

    m. NÃO REGEX MATCH. A cláusula retornará "true" se o atributo avaliado não corresponder a um padrão de expressão regular. Ele retorna "false" se o atributo for null / empty.

    n. REGEX MATCH. A cláusula retornará "true" se o atributo avaliado corresponder a um padrão de expressão regular. Por exemplo: ([1-9][0-9]) corresponde a qualquer número entre 10 e 99 (sensível a maiúsculas e minúsculas).

Importante

  • O filtro IsMemberOf não é suportado atualmente.
  • O atributo members em um grupo não é suportado atualmente.
  • Não há suporte para filtragem para atributos de vários valores.
  • Os filtros de escopo retornarão "false" se o valor for null / empty.
  1. Opcionalmente, repita as etapas 7 a 8 para adicionar mais cláusulas de escopo.

  2. Em Título do Filtro de Escopo, adicione um nome para o filtro de escopo.

  3. Selecione OK.

  4. Selecione OK novamente na tela Filtros de escopo. Opcionalmente, repita as etapas 6 a 11 para adicionar outro filtro de escopo.

  5. Selecione Salvar na tela Mapeamento de atributos.

Importante

Salvar um novo filtro de escopo aciona uma nova sincronização completa para o aplicativo, onde todos os usuários no sistema de origem são avaliados novamente em relação ao novo filtro de escopo. Se um usuário no aplicativo estava anteriormente no escopo para provisionamento, mas está fora do escopo, sua conta é desabilitada ou desprovisionada no aplicativo. Para substituir esse comportamento padrão, consulte Ignorar exclusão para contas de usuário que saem do escopo.

Filtros de escopo comuns

Atributo de destino Operador valor Description
userPrincipalName JOGO DE REGEX .*\@domain.com Todos os usuários com userPrincipal o domínio @domain.com estão no escopo para provisionamento.
userPrincipalName NÃO REGEX MATCH .*\@domain.com Todos os usuários com userPrincipal esse domínio @domain.com estão fora do escopo de provisionamento.
departamento IGUAL sales Todos os usuários do departamento de vendas estão no escopo para provisionamento
ID do trabalhador JOGO DE REGEX (1[0-9][0-9][0-9][0-9][0-9][0-9]) Todos os funcionários com workerID entre 1000000 e 2000000 estão em campo para provisionamento.