Attribútum-alapú alkalmazás-kiépítés hatóköri szűrőkkelAttribute-based application provisioning with scoping filters

Ennek a cikknek a célja annak ismertetése, hogyan használhatók a hatóköri szűrők olyan attribútum-alapú szabályok definiálásához, amelyek meghatározzák, hogy mely felhasználók legyenek kiépítve egy alkalmazáshoz.The objective of this article is to explain how to use scoping filters to define attribute-based rules that determine which users are provisioned to an application.

Hatókör-szűrő használati eseteiScoping filter use cases

A hatóköri szűrők lehetővé teszik, hogy az Azure Active Directory (Azure AD) kiépítési szolgáltatás belefoglaljon vagy kizárjon egy adott értékkel egyező attribútummal rendelkező felhasználókat.A scoping filter allows the Azure Active Directory (Azure AD) provisioning service to include or exclude any users who have an attribute that matches a specific value. Ha például a felhasználók az Azure AD-ből egy értékesítési csapat által használt SaaS-alkalmazásba vannak kiépítve, akkor megadhatja, hogy csak a "Sales" osztály "részleg" attribútummal rendelkező felhasználók legyenek kiépítve.For example, when provisioning users from Azure AD to a SaaS application used by a sales team, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning.

A hatóköri szűrők a kiépítési összekötő típusától függően eltérő módon is használhatók:Scoping filters can be used differently depending on the type of provisioning connector:

  • Kimenő kiépítés az Azure ad-ből az SaaS-alkalmazásokba.Outbound provisioning from Azure AD to SaaS applications. Ha az Azure AD a forrásoldali rendszer, a felhasználók és csoportok hozzárendelései a leggyakoribb módszer annak meghatározására, hogy mely felhasználók tartoznak a kiépítés hatóköréhez.When Azure AD is the source system, user and group assignments are the most common method for determining which users are in scope for provisioning. Ezek a hozzárendelések az egyszeri bejelentkezés engedélyezésére is használhatók, és egyetlen módszert biztosítanak a hozzáférés és a kiépítés kezeléséhez.These assignments also are used for enabling single sign-on and provide a single method to manage access and provisioning. A hatókörhöz tartozó szűrők opcionálisan, a hozzárendelések mellett vagy ahelyett is használhatók, hogy az attribútumok alapján szűrhetik a felhasználókat.Scoping filters can be used optionally, in addition to assignments or instead of them, to filter users based on attribute values.

    Tipp

    Egy vállalati alkalmazás hozzárendelései alapján letilthatja az üzembe helyezést, ha a hatókör menü Beállítások elemére módosítja a kiépítési beállítások lehetőséget az összes felhasználó és csoport szinkronizálásához.You can disable provisioning based on assignments for an enterprise application by changing settings in the Scope menu under the provisioning settings to Sync all users and groups.

  • Bejövő kiépítés a HCM-alkalmazásokból az Azure ad-be és a Active Directoryba.Inbound provisioning from HCM applications to Azure AD and Active Directory. Ha egy HCM-alkalmazás, például a munkanap a forrásrendszer, a hatóköri szűrők az elsődleges módszer annak meghatározására, hogy mely felhasználókat kell kiépíteni a HCM-alkalmazásból Active Directory vagy az Azure ad-be.When an HCM application such as Workday is the source system, scoping filters are the primary method for determining which users should be provisioned from the HCM application to Active Directory or Azure AD.

Alapértelmezés szerint az Azure AD kiépítési összekötői nem rendelkeznek konfigurált attribútum-alapú hatóköri szűrőkkel.By default, Azure AD provisioning connectors do not have any attribute-based scoping filters configured.

Hatókör-szűrő kialakításaScoping filter construction

Egy hatóköri szűrő egy vagy több záradékbóláll.A scoping filter consists of one or more clauses. A záradékok határozzák meg, hogy mely felhasználók számára engedélyezett a hatókör-szűrő átadása az egyes felhasználók attribútumainak kiértékelésével.Clauses determine which users are allowed to pass through the scoping filter by evaluating each user's attributes. Előfordulhat például, hogy egy olyan záradékkal rendelkezik, amely megköveteli, hogy a felhasználó "State" attribútuma "New York" legyen, így csak a New York-i felhasználók lettek kiépítve az alkalmazásba.For example, you might have one clause that requires that a user's "State" attribute equals "New York", so only New York users are provisioned into the application.

Egyetlen záradék egyetlen feltételt határoz meg egyetlen attribútum értékének megadásához.A single clause defines a single condition for a single attribute value. Ha egy hatókör-szűrőben több záradék jön létre, a rendszer a "és a" logikával együtt értékeli ki őket.If multiple clauses are created in a single scoping filter, they're evaluated together by using "AND" logic. Ez azt jelenti, hogy az összes záradéknak az "igaz" értéket kell kiértékelnie ahhoz, hogy egy felhasználó kiépíthető legyen.This means all clauses must evaluate to "true" in order for a user to be provisioned.

Végül több hatókör-szűrő is létrehozható egyetlen alkalmazáshoz.Finally, multiple scoping filters can be created for a single application. Ha több hatóköri szűrő van jelen, a rendszer a "vagy" logikával együtt értékeli ki őket.If multiple scoping filters are present, they're evaluated together by using "OR" logic. Ez azt jelenti, hogy ha a beállított hatóköri szűrők bármelyikének összes záradéka "true" értékre van kiértékelve, a felhasználó kiépítve.This means that if all the clauses in any of the configured scoping filters evaluate to "true", the user is provisioned.

Az Azure AD-létesítési szolgáltatás által feldolgozott minden egyes felhasználót vagy csoportot a rendszer minden egyes hatóköri szűrőnél egyedileg értékel ki.Each user or group processed by the Azure AD provisioning service is always evaluated individually against each scoping filter.

Példaként vegye figyelembe a következő hatókör-szűrőt:As an example, consider the following scoping filter:

Hatókör-szűrő

A hatókör-szűrőnek megfelelően a felhasználóknak meg kell felelniük a következő feltételeknek:According to this scoping filter, users must satisfy the following criteria to be provisioned:

  • A szolgáltatásnak New Yorkban kell lennie.They must be in New York.
  • A mérnöki részlegnek kell dolgozniuk.They must work in the Engineering department.
  • A vállalat alkalmazotti AZONOSÍTÓjának 1 000 000 és 2 000 000 között kell lennie.Their company employee ID must be between 1,000,000 and 2,000,000.
  • A beosztás értéke nem lehet null vagy üres.Their job title must not be null or empty.

Hatóköri szűrők létrehozásaCreate scoping filters

A hatóköri szűrők az egyes Azure AD-beli felhasználói létesítési összekötők attribútum-hozzárendeléseinek részeként vannak konfigurálva.Scoping filters are configured as part of the attribute mappings for each Azure AD user provisioning connector. Az alábbi eljárás azt feltételezi, hogy már beállította az automatikus kiépítési műveletet az egyik támogatott alkalmazáshoz , és egy hatókör-szűrőt ad hozzá.The following procedure assumes that you already set up automatic provisioning for one of the supported applications and are adding a scoping filter to it.

Hatókör-szűrő létrehozásaCreate a scoping filter

  1. A Azure Portalnyissa meg a Azure Active Directory > vállalati alkalmazások > minden alkalmazás szakaszt.In the Azure portal, go to the Azure Active Directory > Enterprise Applications > All applications section.

  2. Válassza ki azt az alkalmazást, amelyhez az automatikus kiépítés konfigurálva van: például "ServiceNow".Select the application for which you have configured automatic provisioning: for example, "ServiceNow".

  3. Válassza a Kiépítés lapot.Select the Provisioning tab.

  4. A leképezések szakaszban válassza ki azt a leképezést, amelyhez hatókör-szűrőt szeretne konfigurálni: például "Azure Active Directory felhasználók szinkronizálása a ServiceNow".In the Mappings section, select the mapping that you want to configure a scoping filter for: for example, "Synchronize Azure Active Directory Users to ServiceNow".

  5. Válassza ki a forrás objektum hatóköre menüt.Select the Source object scope menu.

  6. Válassza a hatókör hozzáadása szűrőelemet.Select Add scoping filter.

  7. Definiáljon egy záradékot úgy, hogy kiválasztja a forrás attribútum nevét, egy operátortés egy attribútum-értéket , amely megfelel a következőnek:.Define a clause by selecting a source Attribute Name, an Operator, and an Attribute Value to match against. A következő operátorok támogatottak:The following operators are supported:

    a.a. Egyenlő.EQUALS. A záradék "igaz" értéket ad vissza, ha a kiértékelt attribútum pontosan egyezik a bemeneti karakterlánc értékével (kis-és nagybetűk megkülönböztetése).Clause returns "true" if the evaluated attribute matches the input string value exactly (case sensitive).

    b.b. nem egyenlő.NOT EQUALS. A záradék "igaz" értéket ad vissza, ha a kiértékelt attribútum nem egyezik a bemeneti karakterlánc értékével (kis-és nagybetűk megkülönböztetése).Clause returns "true" if the evaluated attribute doesn't match the input string value (case sensitive).

    c.c. igaz.IS TRUE. A záradék "igaz" értéket ad vissza, ha a kiértékelt attribútum értéke TRUE (igaz) logikai érték.Clause returns "true" if the evaluated attribute contains a Boolean value of true.

    d.d. hamis.IS FALSE. A záradék "igaz" értéket ad vissza, ha a kiértékelt attribútum a hamis logikai értéket tartalmazza.Clause returns "true" if the evaluated attribute contains a Boolean value of false.

    e.e. NULL értékű.IS NULL. A záradék "igaz" értéket ad vissza, ha a kiértékelt attribútum üres.Clause returns "true" if the evaluated attribute is empty.

    f.f. nem null.IS NOT NULL. A záradék "igaz" értéket ad vissza, ha a kiértékelt attribútum nem üres.Clause returns "true" if the evaluated attribute isn't empty.

    :g. REGEX egyezés.REGEX MATCH. A záradék "igaz" értéket ad vissza, ha a kiértékelt attribútum megfelel egy reguláris kifejezési mintának.Clause returns "true" if the evaluated attribute matches a regular expression pattern. Például: ([1-9] [0-9]) a 10 és 99 közötti számra illeszkedik.For example: ([1-9][0-9]) matches any number between 10 and 99.

    h.h. nem a REGEX egyezése.NOT REGEX MATCH. A záradék "igaz" értéket ad vissza, ha a kiértékelt attribútum nem felel meg a reguláris kifejezési mintának.Clause returns "true" if the evaluated attribute doesn't match a regular expression pattern.

    i.i. Greater_Than.Greater_Than. A záradék "igaz" értéket ad vissza, ha a kiértékelt attribútum nagyobb az értéknél.Clause returns "true" if the evaluated attribute is greater than the value. A hatóköri szűrőben megadott értéknek egész számnak kell lennie, és a felhasználó attribútumának egész számnak ([0, 1, 2,...]) kell lennie.The value specified on the scoping filter must be an integer and the attribute on the user must be an integer [0,1,2,...].

    j.j. Greater_Than_OR_EQUALS.Greater_Than_OR_EQUALS. A záradék "igaz" értéket ad vissza, ha a kiértékelt attribútum értéke nagyobb vagy egyenlő, mint az érték.Clause returns "true" if the evaluated attribute is greater than or equal to the value. A hatóköri szűrőben megadott értéknek egész számnak kell lennie, és a felhasználó attribútumának egész számnak ([0, 1, 2,...]) kell lennie.The value specified on the scoping filter must be an integer and the attribute on the user must be an integer [0,1,2,...].

    k.k. Tartalmazza.Includes. A záradék "igaz" értéket ad vissza, ha a kiértékelt attribútum tartalmazza a sztringet (kis-és nagybetűk megkülönböztetése) az ittleírt módonClause returns "true" if the evaluated attribute contains the string value (case sensitive) as described here.

Fontos

  • A IsMemberOf szűrő jelenleg nem támogatott.The IsMemberOf filter is not supported currently.
  • A többértékű attribútumok esetében nem támogatott egyenlő és nem egyenlő.EQUALS and NOT EQUALS are not supported for multi-valued attributes
  1. Szükség esetén ismételje meg a 7-8. lépést további hatókör-záradékok hozzáadásához.Optionally, repeat steps 7-8 to add more scoping clauses.

  2. A hatóköri szűrő címeterületen adja meg a hatókör-szűrő nevét.In Scoping Filter Title, add a name for your scoping filter.

  3. Kattintson az OK gombra.Select OK.

  4. Kattintson ismét az OK gombra a hatókör szűrők képernyőjén.Select OK again on the Scoping Filters screen. Szükség esetén ismételje meg a 6-11-es lépést egy másik hatókör-szűrő hozzáadásához.Optionally, repeat steps 6-11 to add another scoping filter.

  5. Válassza a Mentés lehetőséget az attribútum-leképezési képernyőn.Select Save on the Attribute Mapping screen.

Fontos

Egy új hatókör-szűrő mentése új teljes szinkronizálást indít az alkalmazáshoz, ahol a rendszer az új hatókör-szűrővel újra kiértékeli a forrásrendszer összes felhasználóját.Saving a new scoping filter triggers a new full sync for the application, where all users in the source system are evaluated again against the new scoping filter. Ha az alkalmazás egyik felhasználója korábban a kiépítés hatókörében volt, de a hatókörön kívül esik, a fiókja le van tiltva, vagy az alkalmazás nem lesz kiépítve.If a user in the application was previously in scope for provisioning, but falls out of scope, their account is disabled or deprovisioned in the application. Az alapértelmezett viselkedés felülbírálásához tekintse meg a Hatókörön kívüli felhasználói fiókok törlésének kihagyásátismertető témakört.To override this default behavior, refer to Skip deletion for user accounts that go out of scope.

Gyakori hatókörű szűrőkCommon scoping filters

Cél attribútumTarget Attribute OperátorOperator ÉrtékValue LeírásDescription
userPrincipalNameuserPrincipalName REGEX EGYEZÉSREGEX MATCH .*@domain.com.*@domain.com Minden olyan felhasználó, aki rendelkezik a tartománnyal rendelkező userPrincipal, a @domain.com kiépítés hatóköre leszAll users with userPrincipal that has the domain @domain.com will be in scope for provisioning
userPrincipalNameuserPrincipalName NEM REGEX EGYEZÉSNOT REGEX MATCH .*@domain.com.*@domain.com Minden olyan felhasználó, aki rendelkezik a tartománnyal rendelkező userPrincipal, ki lesz a @domain.com kiépítés hatóköreAll users with userPrincipal that has the domain @domain.com will be out of scope for provisioning
Részlegdepartment EGYENLŐEQUALS értékesítésisales Az értékesítési részleg összes felhasználója a kiépítés hatókörében vanAll users from the sales department are in scope for provisioning
workerIDworkerID REGEX EGYEZÉSREGEX MATCH (1 [0-9] [0-9] [0-9] [0-9] [0-9] [0-9])(1[0-9][0-9][0-9][0-9][0-9][0-9]) A 1000000 és 2000000 közötti workerIDs rendelkező alkalmazottak a kiépítés hatókörébe tartoznak.All employees with workerIDs between 1000000 and 2000000 are in scope for provisioning.