Zřizování aplikací na základě atributů s využitím filtrů oborů

Cílem tohoto článku je vysvětlit, jak pomocí filtrů oborů definovat pravidla založená na atributech, která určují, kteří uživatelé jsou zřízeni pro aplikaci.

Rozsah případů použití filtru

Filtr oborů umožňuje službě zřizování Azure Active Directory (Azure AD) zahrnout nebo vyloučit všechny uživatele, kteří mají atribut, který odpovídá určité hodnotě. Například při zřizování uživatelů z Azure AD do aplikace SaaS používané prodejním týmem můžete určit, že pro zřizování by měl být v oboru pouze uživatelé s atributem Oddělení "Prodej".

Filtry oborů se dají použít odlišně v závislosti na typu zřizovacího konektoru:

  • Odchozí zřizování z Azure AD do aplikací SaaS Při Azure AD je zdrojový systém, přiřazení uživatelů a skupin jsou nejběžnější metodou určení, kteří uživatelé mají obor zřizování. Tato přiřazení se také používají k povolení jednotného přihlašování a poskytují jednu metodu pro správu přístupu a zřizování. Filtry oborů se dají použít kromě přiřazení nebo místo nich k filtrování uživatelů na základě hodnot atributů.

    Tip

    Čím více uživatelů a skupin v oboru zřizování, tím déle může proces synchronizace trvat. Nastavení rozsahu pro synchronizaci přiřazených uživatelů a skupin, omezení počtu skupin přiřazených k aplikaci a omezení velikosti skupin sníží dobu potřebnou k synchronizaci všech, kteří jsou v oboru.

  • Příchozí zřizování z aplikací HCM pro Azure AD a Active Directory Pokud je aplikace HCM, jako je Workday, zdrojovým systémem, jsou filtry oborů primární metodou pro určení, kteří uživatelé by měli být z aplikace HCM zřízeni ve službě Active Directory nebo Azure AD.

Ve výchozím nastavení Azure AD konektory zřizování nemají nakonfigurované žádné filtry oborů založené na atributech.

Konstrukce filtru oborů

Filtr oborů se skládá z jedné nebo více klauzulí. Klauzule určují, kteří uživatelé mohou předávat filtr oborů vyhodnocením atributů jednotlivých uživatelů. Můžete mít například jednu klauzuli, která vyžaduje, aby se atribut State uživatele rovná New Yorku, takže do aplikace se zřídí jenom uživatelé New Yorku.

Jedna klauzule definuje jednu podmínku pro jednu hodnotu atributu. Pokud se v jednom filtru oborů vytvoří více klauzulí, vyhodnotí se společně pomocí logiky AND. To znamená, že všechny klauzule musí být vyhodnoceny jako true, aby bylo možné zřídit uživatele.

Nakonec lze pro jednu aplikaci vytvořit několik filtrů oborů. Pokud je k dispozici více filtrů oborů, vyhodnotí se společně pomocí logiky OR. To znamená, že pokud se všechny klauzule v některém z nakonfigurovaných filtrů oborů vyhodnotí jako true, uživatel se zřídí.

Každý uživatel nebo skupina zpracovávaná službou Azure AD zřizování se vždy vyhodnocuje jednotlivě pro každý filtr oborů.

Podívejte se například na následující filtr oborů:

Scoping filter

Podle tohoto filtru oborů musí uživatelé splňovat následující kritéria, která se mají zřídit:

  • Musí být v New Yorku.
  • Musí pracovat v technickém oddělení.
  • ID zaměstnance společnosti musí být v rozmezí od 1 000 000 do 2 000 000.
  • Jejich pracovní pozice nesmí být null ani prázdná.

Vytváření filtrů oborů

Filtry oborů se konfigurují jako součást mapování atributů pro každý konektor zřizování uživatelů Azure AD. Následující postup předpokládá, že jste už nastavili automatické zřizování pro jednu z podporovaných aplikací a přidáváte do ní filtr oborů.

Vytvoření filtru oborů

  1. V Azure Portal přejděte do části Azure Active Directory>Enterprise Aplikace Všechny>aplikace.

  2. Vyberte aplikaci, pro kterou jste nakonfigurovali automatické zřizování: například ServiceNow.

  3. Vyberte kartu Zřizování.

  4. V části Mapování vyberte mapování, pro které chcete nakonfigurovat filtr oborů, například Synchronizovat Azure Active Directory Uživatelé do ServiceNow.

  5. Vyberte nabídku Rozsah zdrojového objektu .

  6. Vyberte Přidat filtr oborů.

  7. Definujte klauzuli výběrem názvu zdrojového atributu, operátoru a hodnoty atributu , která se má shodovat. Podporují se následující operátory:

    a. ROVNÁ SE. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut přesně odpovídá hodnotě vstupního řetězce (rozlišují se malá a velká písmena).

    b. NEROVNÁ SE. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut neodpovídá hodnotě vstupního řetězce (rozlišují se malá a velká písmena).

    c. JE PRAVDA. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut obsahuje logickou hodnotu true.

    d. JE NEPRAVDA. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut obsahuje logickou hodnotu false.

    e. JE NULL. Klauzule vrátí hodnotu true, pokud je vyhodnocený atribut prázdný.

    f. NENÍ NULL. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut není prázdný.

    například REGEX MATCH. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut odpovídá vzoru regulárního výrazu. Například: ([1-9][0-9]) odpovídá libovolnému číslu mezi 10 a 99 (rozlišují se malá a velká písmena).

    h. NEODPOVÍDÁ REGULÁRNÍMU VÝRAZU. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut neodpovídá vzoru regulárního výrazu. Vrátí hodnotu false, pokud je atribut null nebo prázdný.

    i. Greater_Than. Klauzule vrátí hodnotu true, pokud je vyhodnocený atribut větší než hodnota. Hodnota zadaná pro filtr oborů musí být celé číslo a atribut uživatele musí být celé číslo [0,1,2,...].

    j. Greater_Than_OR_EQUALS. Klauzule vrátí hodnotu true, pokud je vyhodnocený atribut větší nebo roven hodnotě. Hodnota zadaná pro filtr oborů musí být celé číslo a atribut uživatele musí být celé číslo [0,1,2,...].

    k. Zahrnuje. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut obsahuje řetězcovou hodnotu (rozlišují se malá a velká písmena), jak je popsáno zde.

Důležité

  • Filtr IsMemberOf se v současné době nepodporuje.
  • Atribut členů ve skupině se v současné době nepodporuje.
  • Filtrování není podporováno pro atributy s více hodnotami.
  • Filtry oborů vrátí hodnotu false, pokud je hodnota null nebo prázdná.
  1. Volitelně opakujte kroky 7–8 a přidejte další klauzule oborů.

  2. V části Název filtru oborů přidejte název filtru oborů.

  3. Vyberte OK.

  4. Na obrazovce Filtry oborů znovu vyberte OK. Pokud chcete přidat další filtr oborů, opakujte kroky 6 až 11.

  5. Na obrazovce Mapování atributů vyberte Uložit.

Důležité

Když uložíte nový filtr oborů, aktivuje se nová úplná synchronizace aplikace, kde se všichni uživatelé ve zdrojovém systému vyhodnocují znovu podle nového filtru oborů. Pokud byl uživatel v aplikaci dříve v oboru zřizování, ale nevypadá z rozsahu, je jeho účet v aplikaci zakázaný nebo zrušený. Pokud chcete toto výchozí chování přepsat, přečtěte si článek Přeskočit odstranění uživatelských účtů, které vyjdou mimo rozsah.

Běžné filtry oborů

Cílový atribut Operátor Hodnota Popis
userPrincipalName (Hlavní název uživatele) REGEX MATCH .*@domain.com Všichni uživatelé s uživatelemPrincipal, kteří mají doménu @domain.com , budou mít obor pro zřizování.
userPrincipalName (Hlavní název uživatele) NE REGEX MATCH .*@domain.com Všichni uživatelé s uživatelemPrincipal, kteří mají doménu @domain.com , budou mimo rozsah zřizování.
Oddělení ROVNÁ Prodejní Všichni uživatelé z prodejního oddělení jsou v rozsahu pro zřizování
workerID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) V rozsahu zřizování jsou všichni zaměstnanci s identifikátory 1 0000000 a 200000.