Aprovisionamiento de aplicaciones basado en atributos con filtros de ámbito

El objetivo de este artículo es explicar cómo usar filtros de ámbito para definir reglas basadas en atributos que determinarán qué usuarios se aprovisionarán en una aplicación.

Casos en los que se usan los filtros de ámbito

Un filtro de ámbito permite que el servicio de aprovisionamiento de Azure Active Directory (Azure AD) incluya o excluya a cualquier usuario que tenga un atributo que coincida con un valor específico. Por ejemplo, al aprovisionar los usuarios de Azure AD a una aplicación de SaaS que use un equipo de ventas, puede especificar que solo los usuarios que tengan un atributo de "departamento de ventas" deben estar incluidos en el proceso de aprovisionamiento.

Puede usar los filtros de ámbito de diversas maneras, según el tipo de conector de aprovisionamiento:

  • Aprovisionamiento de salida desde Azure AD a aplicaciones SaaS. Cuando Azure AD es el sistema de origen, las asignaciones de usuarios y grupos son el método más común para determinar qué usuarios deben incluirse en el ámbito de aprovisionamiento. Estas asignaciones también se usan para habilitar el inicio de sesión único y proporcionan un único método para administrar el acceso y el aprovisionamiento. Igualmente, puede usar los filtros de ámbito de forma opcional como complemento a las asignaciones, o simplemente puede filtrar los usuarios según los valores de los atributos.

    Sugerencia

    Cuantos más usuarios y grupos se encuentren en el ámbito para el aprovisionamiento, más tiempo puede tardar el proceso de sincronización. Establecer el ámbito en sincronizar usuarios y grupos asignados, limitar el número de grupos asignados a la aplicación y limitar el tamaño de los grupos reducirá el tiempo necesario para sincronizar a todos los que están en el ámbito.

  • Aprovisionamiento de entrada desde aplicaciones HCM a Azure AD y Active Directory. Cuando una aplicación HCM como Workday es el sistema de origen, los filtros de ámbito son el método principal para determinar qué usuarios deben ser aprovisionados desde la aplicación HCM en Active Directory o Azure AD.

De forma predeterminada, los conectores de aprovisionamiento de Azure AD no tienen configurados los filtros de ámbito basados en atributos.

Estructura de un filtro de ámbito

Un filtro de ámbito consta de una o más cláusulas. Las cláusulas determinan qué usuarios pueden atravesar el filtro de ámbito mediante la evaluación de los atributos de cada usuario. Por ejemplo, podría tener una cláusula que requiere que el atributo "Estado" del usuario sea igual a "Nueva York", de modo que solo se aprovisionará a los usuarios de Nueva York en la aplicación.

Una sola cláusula define una única condición de un solo valor de atributo. Si se crean varias cláusulas en un filtro de ámbito único, se evalúan juntas mediante la función lógica "AND". Esto significa que todas las cláusulas deben evaluarse como "true" para que un usuario pueda ser aprovisionado.

Por último, puede crear varios filtros de ámbito para una sola aplicación. Si hay varios filtros de ámbito, se evalúan juntos mediante la función lógica "OR". Esto significa que si todas las cláusulas de cualquiera de los filtros de ámbito configurados resultan ser "true", el usuario será aprovisionado.

Cada usuario o grupo que procesa el servicio de aprovisionamiento de Azure AD se evalúa siempre de forma individual con cada filtro de ámbito.

Por ejemplo, teniendo en cuenta el siguiente filtro de ámbito:

Scoping filter

Según este filtro de ámbito, los usuarios deben cumplir los siguientes criterios para ser aprovisionados:

  • Deben estar en Nueva York.
  • Deben trabajar en el departamento de ingeniería.
  • Su identificador de empleado de la empresa debe estar entre 1.000.000 y 2.000.000.
  • El puesto no debe estar vacío ni ser un valor nulo.

Creación de filtros de ámbito

Los filtros de ámbito se configuran como parte de las asignaciones de atributos de cada conector de aprovisionamiento de usuarios de Azure AD. En el siguiente procedimiento se da por supuesto que ya ha configurado el aprovisionamiento automático de una de las aplicaciones compatibles, para el que agregaremos un filtro de ámbito.

Creación de un filtro de ámbito

  1. En Azure Portal, vaya a la sección Azure Active Directory>Aplicaciones empresariales>Todas las aplicaciones.

  2. Seleccione la aplicación para la que desea configurar el aprovisionamiento automático: por ejemplo, "ServiceNow".

  3. Seleccione la pestaña Aprovisionamiento.

  4. En la sección Asignaciones, seleccione la asignación para la que desea configurar un filtro de ámbito: por ejemplo, "Sincronizar usuarios de Azure Active Directory con ServiceNow".

  5. Seleccione el menú Ámbito del objeto de origen.

  6. Seleccione Agregar filtro de ámbito.

  7. Defina una cláusula seleccionando un nombre de atributo de origen, un operador y un valor del atributo para comparar. Se admiten los siguientes operadores:

    a. EQUALS. La cláusula devuelve "true" si el atributo que se evalúa coincide exactamente con el valor de la cadena de entrada (se distingue entre mayúsculas y minúsculas).

    b. NOT EQUALS. La cláusula devuelve "true" si el atributo que se evalúa no coincide con el valor de la cadena de entrada (se distingue entre mayúsculas y minúsculas).

    c. IS TRUE. La cláusula devuelve "true" si el atributo que se evalúa contiene un valor booleano de tipo "true".

    d. IS FALSE. La cláusula devuelve "true" si el atributo que se evalúa contiene un valor booleano de tipo "false".

    e. IS NULL. La cláusula devuelve "true" si el atributo que se evalúa está vacío.

    f. IS NOT NULL. La cláusula devuelve "true" si el atributo que se evalúa no está vacío.

    g. REGEX MATCH. La cláusula devuelve "true" si el atributo que se evalúa coincide con el patrón de una expresión regular. Por ejemplo: ([1-9][0-9]) coincide con cualquier número entre 10 y 99 (distingue entre mayúsculas y minúsculas).

    h. NOT REGEX MATCH. La cláusula devuelve "true" si el atributo que se evalúa no coincide con el patrón de una expresión regular. Devolverá "false" si el atributo es NULL o está vacío.

    i. Greater_Than. La cláusula devuelve "true" si el atributo evaluado es mayor que el valor. El valor especificado en el filtro de ámbito debe ser un entero y el atributo del usuario debe ser un entero [0, 1, 2,...].

    j. Greater_Than_OR_EQUALS. La cláusula devuelve "true" si el atributo evaluado es mayor o igual que el valor. El valor especificado en el filtro de ámbito debe ser un entero y el atributo del usuario debe ser un entero [0, 1, 2,...].

    k. Includes. La cláusula devuelve "true" si el atributo que se evalúa contiene el valor de la cadena (distingue entre mayúsculas y minúsculas) como se describe aquí.

Importante

  • El filtro IsMemberOf no se admite actualmente.
  • Actualmente, no se admite el atributo members en un grupo.
  • Los operadores ES IGUAL A y NO ES IGUAL A no pueden utilizarse en los atributos con varios valores
  • Los filtros de ámbito devolverán "false" si el valor es NULL o está vacío
  1. Si lo desea, repita los pasos 7 y 8 para agregar más cláusulas de ámbito.

  2. En Título del filtro de ámbito, escriba el nombre del filtro de ámbito.

  3. Seleccione Aceptar.

  4. Seleccione Aceptar de nuevo en la pantalla Filtros de ámbito. Si lo desea, repita los pasos del 6 al 11 para agregar otro filtro de ámbito.

  5. Seleccione Guardar en la pantalla Asignación de atributos.

Importante

Si guarda un nuevo filtro de ámbito, se realizará una sincronización completa de la aplicación y todos los usuarios del sistema de origen volverán a ser evaluados mediante el nuevo filtro de ámbito. Si un usuario de la aplicación que estaba en el ámbito de aprovisionamiento se encuentra ahora fuera del mismo, su cuenta se deshabilita o se desaprovisiona de la aplicación. Para invalidar este comportamiento predeterminado, consulte Omisión de la eliminación de usuarios fuera del ámbito.

Filtros de ámbito comunes

Atributo de destino Operator Valor Descripción
userPrincipalName REGEX MATCH .*@domain.com Todos los usuarios con un elemento userPrincipal con el dominio @domain.com estarán en el ámbito del aprovisionamiento.
userPrincipalName NOT REGEX MATCH .*@domain.com Todos los usuarios con un elemento userPrincipal con el dominio @domain.com estarán fuera del ámbito del aprovisionamiento.
department EQUALS sales (ventas) Todos los usuarios del departamento de ventas están en el ámbito del aprovisionamiento
WorkerID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) Todos los empleados con el elemento workerID entre 1 millón y 2 millones están en el ámbito del aprovisionamiento.