Attributbaserad programetablering med omfångsfilter

Syftet med den här artikeln är att förklara hur du använder omfångsfilter för att definiera attributbaserade regler som avgör vilka användare som etableras i ett program.

Användningsfall för omfångsfilter

Med ett omfångsfilter kan Azure Active Directory -etableringstjänsten (Azure AD) inkludera eller exkludera användare som har ett attribut som matchar ett visst värde. När du till exempel etablerar användare från Azure AD till ett SaaS-program som används av ett säljteam kan du ange att endast användare med attributet "Avdelning" som "Försäljning" ska vara i omfånget för etablering.

Omfångsfilter kan användas på olika sätt beroende på typen av etableringsanslutning:

  • Utgående etablering från Azure AD till SaaS-program. När Azure AD är källsystemet är användar- och grupptilldelningar den vanligaste metoden för att avgöra vilka användare som är i omfånget för etablering. Dessa tilldelningar används också för att aktivera enkel inloggning och tillhandahålla en enda metod för att hantera åtkomst och etablering. Omfångsfilter kan användas om du vill, förutom tilldelningar eller i stället för dem, för att filtrera användare baserat på attributvärden.

    Tips

    Ju fler användare och grupper i omfånget för etablering, desto längre tid kan synkroniseringsprocessen ta. Om du ställer in omfånget för att synkronisera tilldelade användare och grupper, begränsa antalet grupper som har tilldelats till appen och begränsa storleken på grupperna minskar tiden det tar att synkronisera alla som ingår i omfånget.

  • Inkommande etablering från HCM-program till Azure AD och Active Directory. När ett HCM-program som Workday är källsystemet är omfångsfilter den primära metoden för att avgöra vilka användare som ska etableras från HCM-programmet till Active Directory eller Azure AD.

Som standard har Azure AD etableringsanslutningsprogram inga attributbaserade omfångsfilter konfigurerade.

Omfångsfilterkonstruktion

Ett omfångsfilter består av en eller flera satser. Satser avgör vilka användare som får passera genom omfångsfiltret genom att utvärdera varje användares attribut. Du kan till exempel ha en sats som kräver att en användares "State"-attribut är lika med "New York", så att endast New York-användare etableras i programmet.

En enda sats definierar ett enda villkor för ett enda attributvärde. Om flera satser skapas i ett enda omfångsfilter utvärderas de tillsammans med hjälp av "AND"-logik. Det innebär att alla satser måste utvärderas till "true" för att en användare ska kunna etableras.

Slutligen kan flera omfångsfilter skapas för ett enda program. Om det finns flera omfångsfilter utvärderas de tillsammans med hjälp av "OR"-logik. Det innebär att om alla satser i något av de konfigurerade omfångsfiltren utvärderas till "true" etableras användaren.

Varje användare eller grupp som bearbetas av Azure AD etableringstjänsten utvärderas alltid individuellt mot varje omfångsfilter.

Tänk till exempel på följande omfångsfilter:

Scoping filter

Enligt det här omfångsfiltret måste användarna uppfylla följande kriterier för att etableras:

  • De måste vara i New York.
  • De måste arbeta på teknikavdelningen.
  • Företagets anställnings-ID måste vara mellan 1 000 000 och 2 000 000.
  • Deras jobbrubrik får inte vara null eller tom.

Skapa omfångsfilter

Omfångsfilter konfigureras som en del av attributmappningarna för varje Azure AD anslutningsapp för användaretablering. Följande procedur förutsätter att du redan har konfigurerat automatisk etablering för ett av de program som stöds och lägger till ett omfångsfilter i det.

Skapa ett omfångsfilter

  1. I Azure Portal går du till avsnittet Azure Active Directory>Enterprise-program>alla program.

  2. Välj det program som du har konfigurerat automatisk etablering för: till exempel "ServiceNow".

  3. Välj fliken Etablering.

  4. I avsnittet Mappningar väljer du den mappning som du vill konfigurera ett omfångsfilter för: till exempel Synkronisera Azure Active Directory användare till ServiceNow.

  5. Välj menyn Källobjektomfång .

  6. Välj Lägg till omfångsfilter.

  7. Definiera en sats genom att välja ett källattributnamn, en operator och ett attributvärde som ska matchas mot. Följande operatorer stöds:

    a. LIKA MED. Satsen returnerar "true" om det utvärderade attributet matchar indatasträngvärdet exakt (skiftlägeskänsligt).

    b. ÄR INTE LIKA MED. -satsen returnerar "true" om det utvärderade attributet inte matchar indatasträngvärdet (skiftlägeskänsligt).

    c. ÄR SANT. -satsen returnerar "true" om det utvärderade attributet innehåller ett booleskt värde av true.

    d. ÄR FALSKT. -satsen returnerar "true" om det utvärderade attributet innehåller ett booleskt värde av false.

    e. ÄR NULL. -satsen returnerar "true" om det utvärderade attributet är tomt.

    f. ÄR INTE NULL. Satsen returnerar "true" om det utvärderade attributet inte är tomt.

    ex. REGEX MATCH. Satsen returnerar "true" om det utvärderade attributet matchar ett mönster för reguljära uttryck. Exempel: ([1-9][0-9]) matchar ett tal mellan 10 och 99 (skiftlägeskänsligt).

    h. INTE REGEX MATCH. -satsen returnerar "true" om det utvärderade attributet inte matchar ett mönster för reguljära uttryck. Det returnerar "false" om attributet är null/tomt.

    i. Greater_Than. Satsen returnerar "true" om det utvärderade attributet är större än värdet. Värdet som anges i omfångsfiltret måste vara ett heltal och attributet för användaren måste vara ett heltal [0,1,2,...].

    j. Greater_Than_OR_EQUALS. Satsen returnerar "true" om det utvärderade attributet är större än eller lika med värdet. Värdet som anges i omfångsfiltret måste vara ett heltal och attributet för användaren måste vara ett heltal [0,1,2,...].

    k. Innehåller. -satsen returnerar "true" om det utvärderade attributet innehåller strängvärdet (skiftlägeskänsligt) enligt beskrivningen här.

Viktigt

  • IsMemberOf-filtret stöds inte för närvarande.
  • Medlemsattributet för en grupp stöds inte för närvarande.
  • Filtrering stöds inte för flervärdesattribut.
  • Omfångsfilter returnerar "false" om värdet är null/tomt.
  1. Du kan också upprepa steg 7–8 för att lägga till fler omfångssatser.

  2. I Omfångsfilterrubrik lägger du till ett namn för omfångsfiltret.

  3. Välj OK.

  4. Välj OK igen på skärmen Omfångsfilter . Du kan också upprepa steg 6–11 för att lägga till ytterligare ett omfångsfilter.

  5. Välj Spara på skärmen Attributmappning .

Viktigt

Om du sparar ett nytt omfångsfilter utlöses en ny fullständig synkronisering för programmet, där alla användare i källsystemet utvärderas igen mot det nya omfångsfiltret. Om en användare i programmet tidigare var i omfånget för etablering, men faller utanför omfånget, inaktiveras eller avetableras deras konto i programmet. Om du vill åsidosätta det här standardbeteendet läser du Hoppa över borttagning för användarkonton som inte omfattas.

Vanliga omfångsfilter

Målattribut Operator Värde Beskrivning
userPrincipalName REGEX MATCH .*@domain.com Alla användare med userPrincipal som har domänen @domain.com kommer att finnas i omfånget för etablering
userPrincipalName INTE REGEX MATCH .*@domain.com Alla användare med userPrincipal som har domänen @domain.com kommer att vara utanför omfånget för etablering
avdelning MOTSVARAR Försäljning Alla användare från försäljningsavdelningen är i omfånget för etablering
workerID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) Alla anställda med arbets-ID:t mellan 10000000 och 2000000 finns i omfånget för etablering.