Nastavení rozsahu uživatelů nebo skupin, které se mají zřídit pomocí filtrů oborů

Naučte se používat filtry oborů ve službě Zřizování Microsoft Entra k definování pravidel založených na atributech. Pravidla slouží k určení, kteří uživatelé nebo skupiny jsou zřízeni.

Otázky týkající se případů použití filtru

Filtry oborů slouží k zabránění objektům v aplikacích, které podporují automatické zřizování uživatelů, aby se zřídily, pokud objekt nevyhovuje vašim obchodním požadavkům. Filtr oborů umožňuje zahrnout nebo vyloučit všechny uživatele, kteří mají atribut, který odpovídá určité hodnotě. Když například zřídíte uživatele z Microsoft Entra ID pro aplikaci SaaS používanou prodejním týmem, můžete určit, že rozsah zřizování by měl být jenom uživatelům s atributem Oddělení prodeje.

Filtry oborů se dají použít jinak v závislosti na typu konektoru zřizování:

• Odchozí zřizování z Microsoft Entra ID pro aplikace SaaS Pokud je ID Microsoft Entra zdrojovým systémem, přiřazení uživatelů a skupin jsou nejběžnější metodou pro určení uživatelů, kteří jsou v oboru zřizování. Tato přiřazení se také používají k povolení jednotného přihlašování a poskytují jedinou metodu pro správu přístupu a zřizování. Filtry oborů je možné volitelně použít kromě přiřazení nebo místo nich k filtrování uživatelů na základě hodnot atributů.

  Tip

  Čím více uživatelů a skupin v rozsahu zřizování, tím déle může proces synchronizace trvat. Nastavení rozsahu pro synchronizaci přiřazených uživatelů a skupin, omezení počtu skupin přiřazených k aplikaci a omezení velikosti skupin sníží dobu potřebnou k synchronizaci všech uživatelů v oboru.

• Příchozí zřizování z aplikací HCM do Microsoft Entra ID a Active Directory Pokud je aplikace HCM, jako je Workday, zdrojovým systémem, jsou filtry oborů primární metodou pro určení, kteří uživatelé by měli být z aplikace HCM zřízeni pro Active Directory nebo Microsoft Entra ID.

Ve výchozím nastavení konektory microsoft Entra provisioning nemají nakonfigurované žádné filtry oborů založené na atributech.

Pokud je ID Microsoft Entra zdrojovým systémem, přiřazení uživatelů a skupin jsou nejběžnější metodou pro určení uživatelů, kteří jsou v oboru zřizování. Snížení počtu uživatelů v oboru zlepšuje výkon a synchronizaci přiřazených uživatelů a skupin místo synchronizace všech uživatelůach

Filtry oborů se dají použít volitelně, kromě určení rozsahu podle přiřazení. Filtr oborů umožňuje službě Microsoft Entra provisioning zahrnout nebo vyloučit všechny uživatele, kteří mají atribut, který odpovídá určité hodnotě. Například při zřizování uživatelů z prodejního týmu můžete určit, že v oboru zřizování by měl být pouze uživatel s atributem Oddělení prodeje.

Konstrukce filtru oborů

Filtr oborů se skládá z jedné nebo více klauzulí. Klauzule určují, kteří uživatelé mají povoleno předávat filtr oborů vyhodnocením atributů jednotlivých uživatelů. Můžete mít například jednu klauzuli, která vyžaduje, aby se atribut State uživatele rovnal New Yorku, takže do aplikace se zřídí jenom uživatelé New Yorku.

Jedna klauzule definuje jednu podmínku pro jednu hodnotu atributu. Pokud se v jednom filtru oborů vytvoří více klauzulí, vyhodnotí se společně pomocí logiky AND. Logika AND znamená, že všechny klauzule musí být vyhodnoceny jako true, aby se uživatel zřídil.

Nakonec lze pro jednu aplikaci vytvořit více filtrů oborů. Pokud existuje více filtrů oborů, vyhodnotí se společně pomocí logiky OR. Logika OR znamená, že pokud se všechny klauzule v některém z nakonfigurovaných filtrů oborů vyhodnotí jako true, uživatel se zřídí.

Každý uživatel nebo skupina zpracovávaná službou zřizování Microsoft Entra se vždy vyhodnocuje jednotlivě proti každému filtru oborů.

Podívejte se například na následující filtr oborů:

Podle tohoto filtru oborů musí uživatelé splňovat následující kritéria, která mají být zřízena:

• Musí být v New Yorku.
• Musí pracovat v technickém oddělení.
• ID zaměstnance společnosti musí být mezi 1 000 000 a 2 000 000.
• Jejich pracovní pozice nesmí být null ani prázdná.

Vytvoření filtrů oborů

Filtry oborů se konfigurují jako součást mapování atributů pro každý konektor zřizování uživatelů Microsoft Entra. Následující postup předpokládá, že jste už nastavili automatické zřizování pro jednu z podporovaných aplikací a přidáváte do ní filtr oborů.

Vytvoření filtru oborů

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator aplikace.

2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.

3. Vyberte aplikaci, pro kterou jste nakonfigurovali automatické zřizování: například ServiceNow.

2. Přejděte k >konfiguracím synchronizace>externích>identit identit mezi tenanty.

3. Vyberte konfiguraci.

4. Vyberte kartu Zřizování.

5. V části Mapování vyberte mapování, pro které chcete nakonfigurovat filtr oborů, například "Synchronizovat uživatele Microsoft Entra do ServiceNow".

5. V části Mapování vyberte mapování, pro které chcete nakonfigurovat filtr oborů, například "Zřídit uživatele Microsoft Entra".

6. Vyberte nabídku Rozsah zdrojového objektu.

7. Vyberte Přidat filtr oborů.

8. Definujte klauzuli výběrem názvu zdrojového atributu, operátoru a hodnoty atributu, která se má shodovat. Podporují se následující operátory:

   a. &. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut existuje ve vstupní řetězcové hodnotě.

   b. !&. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut v hodnotě vstupního řetězce neexistuje.

   c. ENDS_WITH. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut končí hodnotou vstupního řetězce.

   d. ROVNÁ SE. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut přesně odpovídá hodnotě vstupního řetězce (rozlišují se malá a velká písmena).

   e. Greater_Than. Klauzule vrátí hodnotu true, pokud je vyhodnocený atribut větší než hodnota. Hodnota zadaná ve filtru oborů musí být celé číslo a atribut uživatele musí být celé číslo [0,1,2,...].

   f. Greater_Than_OR_EQUALS. Klauzule vrátí hodnotu true, pokud je vyhodnocený atribut větší nebo roven hodnotě. Hodnota zadaná ve filtru oborů musí být celé číslo a atribut uživatele musí být celé číslo [0,1,2,...].

   g. Zahrnuje. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut obsahuje řetězcovou hodnotu (rozlišují se malá a velká písmena), jak je popsáno zde.

   h. JE NEPRAVDA. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut obsahuje logickou hodnotu false.

   i. NENÍ NULL. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut není prázdný.

   j. JE NULL. Klauzule vrátí hodnotu true, pokud je vyhodnocený atribut prázdný.

   k. JE PRAVDA. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut obsahuje logickou hodnotu true.

   l. NEROVNÁ SE. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut neodpovídá hodnotě vstupního řetězce (rozlišují se malá a velká písmena).

   m. NEODPOVÍDÁ REGULÁRNÍMU VÝRAZU. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut neodpovídá vzoru regulárního výrazu. Vrátí hodnotu false, pokud je atribut null / prázdný.

   n. SHODA REGULÁRNÍCH VÝRAZŮ. Klauzule vrátí hodnotu true, pokud vyhodnocený atribut odpovídá vzoru regulárního výrazu. Příklad: ([1-9][0-9]) Odpovídá libovolnému číslu v rozsahu 10 až 99 (rozlišují se malá a velká písmena).

Důležité

• Filtr IsMemberOf se v současné době nepodporuje.
• Atribut člena ve skupině se v současné době nepodporuje.
• Filtrování není podporováno pro atributy s více hodnotami.
• Filtry oborů vrátí hodnotu false, pokud je hodnota null / prázdná.

9. Volitelně můžete zopakováním kroků 7 až 8 přidat další klauzule oborů.

10. Do pole Název filtru oborů přidejte název filtru oborů.

11. Vyberte OK.

12. Znovu vyberte OK na obrazovce Filtry oborů. Volitelně můžete zopakovat kroky 6 až 11 a přidat další filtr oborů.

13. Na obrazovce Mapování atributů vyberte Uložit.

Důležité

Uložení nového filtru oborů aktivuje novou úplnou synchronizaci aplikace, kde se všichni uživatelé ve zdrojovém systému vyhodnotí znovu proti novému filtru oborů. Pokud byl uživatel v aplikaci dříve v oboru zřizování, ale vypadnul z rozsahu, jeho účet je v aplikaci zakázaný nebo zrušený. Pokud chcete toto výchozí chování přepsat, přečtěte si informace o vynechání odstranění uživatelských účtů, které vyjdou mimo rozsah.

Běžné filtry oborů

Cílový atribut	Operátor	Hodnota	Popis
userPrincipalName (Hlavní název uživatele)	SHODA REGULÁRNÍCH VÝRAZŮ	.*\@domain.com	Všichni uživatelé s userPrincipal doménou @domain.com mají obor pro zřizování.
userPrincipalName (Hlavní název uživatele)	NEODPOVÍDÁ REGULÁRNÍMU VÝRAZU	.*\@domain.com	Všichni uživatelé s userPrincipal doménou, kteří mají doménu @domain.com , jsou mimo rozsah zřizování.
department	ROVNÁ	sales	Všichni uživatelé z prodejního oddělení jsou v oboru zřizování.
workerID	SHODA REGULÁRNÍCH VÝRAZŮ	(1[0-9][0-9][0-9][0-9][0-9][0-9])	Všichni zaměstnanci, kteří mají workerID 10 000000 až 2000000, jsou v rozsahu zřizování.

Související články

• Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS
• Přizpůsobení mapování atributů pro zřizování uživatelů
• Zápis výrazů pro mapování atributů
• Oznámení o zřizování účtů
• Použití SCIM k povolení automatického zřizování uživatelů a skupin z Microsoft Entra ID pro aplikace
• Seznam kurzů o tom, jak integrovat aplikace SaaS