Подготовка пользователей или групп с помощью фильтров области

  • Статья

Узнайте, как использовать фильтры области в службе подготовки Microsoft Entra для определения правил на основе атрибутов. Правила используются для определения подготовленных пользователей или групп.

Варианты использования фильтра области

Фильтры области используются для предотвращения подготовки объектов в приложениях, поддерживающих автоматическую подготовку пользователей, если объект не соответствует вашим бизнес-требованиям. Фильтр области позволяет включать или исключать всех пользователей, у которых есть атрибут, соответствующий определенному значению. Например, при подготовке пользователей из идентификатора Microsoft Entra в приложение SaaS, используемое командой продаж, можно указать, что только пользователи с атрибутом "Отдел" "Продажи" должны находиться в область для подготовки.

Фильтры области можно использовать по-разному в зависимости от типа соединителя подготовки.

  • Исходящая подготовка из идентификатора Microsoft Entra в приложения SaaS. Если идентификатор Microsoft Entra является исходной системой, назначения пользователей и групп являются наиболее распространенным способом определения пользователей, которые находятся в область для подготовки. Эти назначения также используются для включения единого входа и обеспечивают единый метод для управления доступом и подготовкой. Фильтры области можно использовать наряду с назначениями или же вместо них, чтобы фильтровать пользователей на основе значений атрибутов.

    Совет

    Чем больше пользователей и групп в области подготовки, тем более долгий процесс синхронизации может потребоваться. Установка области для синхронизации назначенных пользователей и групп, ограничение количества групп, назначенных приложению, и ограничение размера групп позволит сократить время, необходимое для синхронизации всех объектов в данной области.

  • Входящий трафик подготовки из приложений HCM в идентификатор Microsoft Entra ID и Active Directory. Если приложение HCM, например Workday, является исходной системой, фильтры области являются основным методом для определения того, какие пользователи должны быть подготовлены из приложения HCM в Active Directory или Идентификатор Microsoft Entra.

По умолчанию соединители подготовки Microsoft Entra не имеют фильтров области на основе атрибутов.

Если идентификатор Microsoft Entra является исходной системой, назначения пользователей и групп являются наиболее распространенным способом определения пользователей, которые находятся в область для подготовки. Сокращение числа пользователей в область повышает производительность и синхронизацию назначенных пользователей и групп вместо синхронизации всех пользователей и групп рекомендуется.

Фильтры области можно использовать при необходимости в дополнение к области по назначению. Фильтр области позволяет службе подготовки Microsoft Entra включать или исключать всех пользователей, у которых есть атрибут, соответствующий определенному значению. Например, при подготовке пользователей из группы продаж можно указать, что только пользователи с атрибутом "Отдел" "Продажи" должны находиться в область для подготовки.

Создание фильтра области

Фильтр области состоит из одного или нескольких предложений. Предложения оценивают атрибуты каждого пользователя и определяют, какие пользователи могут проходить через фильтр области. Например, вы можете создать предложение, требующее, чтобы атрибут пользователя "Штат" имел значение "Нью-Йорк". Тогда только пользователи из штата Нью-Йорк будут подготовлены для работы с приложением.

Отдельное предложение определяет одно условие для одного значения атрибута. Если в одном фильтре области создается несколько предложений, они вычисляются вместе с помощью логики AND. Логика "AND" означает, что все предложения должны оцениваться как true, чтобы пользователь был подготовлен.

Наконец, для одного приложения можно создать несколько фильтров области. При наличии нескольких фильтров области они вычисляются вместе с применением логического оператора "ИЛИ". Логика "OR" означает, что если все предложения в любом из настроенных фильтров области оцениваются как true, пользователь подготавливается.

Каждый пользователь или группа, обрабатываемые службой подготовки Microsoft Entra, всегда оценивается по отдельности по каждому фильтру области.

Рассмотрим пример фильтра области.

Scoping filter

Этот фильтр области определяет, что подготовке подлежат только пользователи, которые отвечают следующим условиям:

  • они должны находиться в Нью-Йорке;
  • они должны работать в отделе разработки;
  • идентификатор сотрудника компании должен быть в диапазоне от 1 000 000 до 2 000 000;
  • название должности не должно быть пустым или иметь значение NULL.

Создание фильтров области

Фильтры области настраиваются как часть сопоставлений атрибутов для каждого соединителя подготовки пользователей Microsoft Entra. В приведенной ниже процедуре предполагается, что вы уже настроили автоматическую подготовку для одного из поддерживаемых приложений и добавляете для нее фильтр области.

Создание фильтра области

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум приложение Администратор istrator.

  1. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>

  2. Выберите приложение, для которого настроена автоматическая подготовка, например ServiceNow.

  1. Перейдите к конфигурациям синхронизации>внешних>удостоверений>между клиентами

  2. Выберите конфигурацию.

  1. Выберите вкладку Подготовка.
  1. В разделе "Сопоставления" выберите сопоставление, для которого нужно настроить фильтр области, например "Синхронизация пользователей Microsoft Entra с ServiceNow".
  1. В разделе "Сопоставления" выберите сопоставление, для которого нужно настроить фильтр области, например "Подготовка пользователей Microsoft Entra".

  1. Выберите меню Область исходного объекта.

  2. Выберите Добавить фильтр области.

  3. Определите предложение, выбрав исходные параметры Имя атрибута, Оператор и Значение атрибута для сопоставления. Поддерживаются следующие операторы:

    a. &. Предложение возвращает значение true, если вычисляемое атрибут существует в входном строковом значении.

    b. !&&. Предложение возвращает значение true, если вычисляемое атрибут не существует в входном строковом значении.

    c. ENDS_WITH. Предложение возвращает значение true, если вычисляемое атрибут заканчивается входным строковым значением.

    d. EQUALS. Предложение возвращает значение true, если оцениваемый атрибут точно совпадает со значением входной строки (с учетом регистра).

    д) Greater_Than. Предложение возвращает true, если вычисленный атрибут больше этого значения. Значение, указанное в фильтре области, должно быть целым числом, и атрибут пользователя должен быть целым числом [0, 1, 2,...].

    f. Greater_Than_OR_EQUALS. Предложение возвращает true, если вычисленный атрибут больше этого значения или равен ему. Значение, указанное в фильтре области, должно быть целым числом, и атрибут пользователя должен быть целым числом [0, 1, 2,...].

    ж. Includes. Предложение возвращает true, если оцениваемый атрибут содержит строковое значение (с учетом регистра), как описано здесь.

    h. IS FALSE. Предложение возвращает значение true, если вычисленный атрибут содержит логическое значение false.

    i. IS NOT NULL. Предложение возвращает значение true, если вычисленный атрибут имеет не пустое значение.

    j. IS NULL. Предложение возвращает значение true, если вычисленный атрибут имеет пустое значение.

    k. IS TRUE. Предложение возвращает значение true, если вычисленный атрибут содержит логическое значение true.

    l. NOT EQUALS. Предложение возвращает значение true, если оцениваемый атрибут не совпадает со значением входной строки (с учетом регистра).

    m. NOT REGEX MATCH. Предложение возвращает значение true, если вычисленный атрибут не соответствует шаблону регулярного выражения. Возвращает значение false, если атрибут имеет значение NULL или пусто.

    о. REGEX MATCH. Предложение возвращает значение true, если вычисленный атрибут соответствует шаблону регулярного выражения. Например: ([1-9][0-9]) соответствует любому числу от 10 до 99 (учитывается регистр).

Важно!

  • Фильтр IsMemberOf в настоящее время не поддерживается.
  • Атрибут members в группе в настоящее время не поддерживается.
  • Фильтрация не поддерживается для атрибутов с несколькими значениями.
  • Фильтры области возвращают false, если значение равно NULL или не указано.

  1. При необходимости повторите шаги 7–8, чтобы добавить дополнительные предложения для ограничения области.

  2. В поле Название фильтра области введите имя фильтра области.

  3. Нажмите ОК.

  4. Нажмите кнопку ОК еще раз на экране Фильтры области. При необходимости повторите шаги 6–11, чтобы добавить еще один фильтр области.

  5. Нажмите кнопку Сохранить на странице Сопоставление атрибутов.

Важно!

Сохранение нового фильтра области активирует полную синхронизацию для приложения. Все пользователи в исходной системе будут повторно оценены с применением нового фильтра области. Если ранее пользователь приложения сначала соответствовал области для подготовки, а затем перестал соответствовать, его учетная запись в приложении будет отключена или отозвана. О том, как переопределить такое поведение по умолчанию, см. в статье Пропуск удаления учетных записей пользователей, не входящих в область.

Распространенные фильтры областей

Целевой атрибут Оператор значение Описание
userPrincipalName REGEX MATCH .*\@domain.com Все пользователи с userPrincipal доменом @domain.com находятся в область для подготовки.
userPrincipalName NOT REGEX MATCH .*\@domain.com Все пользователи с userPrincipal доменом @domain.com не область для подготовки.
department EQUALS sales Все пользователи из отдела продаж находятся в области подготовки
workerID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) Все сотрудники с workerID 10000000 по 2000000 находятся в область для подготовки.