Attribútumalapú alkalmazáskiépítés hatókörszűrőkkel

A cikk célja annak ismertetése, hogyan használhatók hatókörszűrők az olyan attribútumalapú szabályok meghatározásához, amelyek meghatározzák, hogy mely felhasználók vannak kiépítve egy alkalmazáshoz.

Hatókörkezelési szűrőhasználati esetek

A hatókörszűrő lehetővé teszi, hogy a Azure Active Directory (Azure AD) kiépítési szolgáltatás belefoglaljon vagy kizárjon minden olyan felhasználót, aki egy adott értéknek megfelelő attribútummal rendelkezik. Ha például felhasználókat épít ki Azure AD egy értékesítési csapat által használt SaaS-alkalmazásba, megadhatja, hogy csak a "Sales" osztály attribútummal rendelkező felhasználók tartoznak a kiépítés hatókörébe.

A hatókörszűrők a kiépítési összekötő típusától függően eltérően használhatók:

  • Kimenő kiépítés az Azure AD-ból SaaS-alkalmazásokba. Ha Azure AD a forrásrendszer, a felhasználók és csoportok hozzárendelése a leggyakoribb módszer annak meghatározására, hogy mely felhasználók tartoznak a kiépítés hatókörébe. Ezek a hozzárendelések az egyszeri bejelentkezés engedélyezésére is használhatók, és egyetlen módszert biztosítanak a hozzáférés és a kiépítés kezeléséhez. A hatókörszűrők a hozzárendeléseken kívül vagy helyettük is használhatók a felhasználók attribútumértékek alapján történő szűréséhez.

    Tipp

    Minél több felhasználó és csoport van a kiépítés hatókörében, annál tovább tarthat a szinkronizálási folyamat. Ha a hatókört a hozzárendelt felhasználók és csoportok szinkronizálására, az alkalmazáshoz rendelt csoportok számának korlátozására és a csoportok méretének korlátozására állítja be, azzal csökkenti a hatókörben lévő összes felhasználó szinkronizálásához szükséges időt.

  • Bejövő kiépítés hibridkapcsolat-kezelő alkalmazásokból a Azure AD és az Active Directoryba. Ha egy hibridkapcsolat-kezelő alkalmazás, például a Workday a forrásrendszer, a hatókörszűrők az elsődleges módszer annak meghatározására, hogy mely felhasználókat kell kiépíteni az hibridkapcsolat-kezelő alkalmazásból az Active Directoryba vagy Azure AD.

Alapértelmezés szerint Azure AD kiépítési összekötők nincsenek konfigurálva attribútumalapú hatókörszűrőkkel.

Hatókörszűrő felépítése

A hatókörszűrő egy vagy több záradékból áll. A záradékok az egyes felhasználók attribútumainak kiértékelésével határozzák meg, hogy mely felhasználók léphetnek át a hatókörszűrőn. Előfordulhat például, hogy egy záradék megköveteli, hogy a felhasználó "State" attribútuma "New York" legyen, így csak a New York-i felhasználók lesznek kiépítve az alkalmazásban.

Egyetlen záradék egyetlen feltételt határoz meg egyetlen attribútumértékhez. Ha több záradékot hoz létre egyetlen hatókörszűrőben, a rendszer együtt értékeli ki őket az "AND" logika használatával. Ez azt jelenti, hogy a felhasználó kiépítéséhez minden záradéknak "true" (igaz) értéket kell adnia.

Végül több hatókörszűrőt is létrehozhat egyetlen alkalmazáshoz. Ha több hatókörszűrő is jelen van, a rendszer együtt értékeli ki őket az "OR" logikával. Ez azt jelenti, hogy ha a konfigurált hatókörszűrők bármelyikének összes záradéka "igaz" értéket ad vissza, a felhasználó ki lesz építve.

A Azure AD kiépítési szolgáltatás által feldolgozott összes felhasználót vagy csoportot mindig egyenként értékeli ki a rendszer az egyes hatókörszűrők alapján.

Vegyük példaként a következő hatókörszűrőt:

Scoping filter

A hatókörszűrőnek megfelelően a felhasználóknak meg kell felelniük a következő feltételeknek:

  • Biztosan New Yorkban vannak.
  • A mérnöki részlegen kell dolgozniuk.
  • A vállalat alkalmazotti azonosítója 1 000 000 és 2 000 000 között lehet.
  • A beosztásuk nem lehet null értékű vagy üres.

Hatókörszűrők létrehozása

A hatókörszűrők az egyes Azure AD felhasználóátadási összekötők attribútumleképezéseinek részeként vannak konfigurálva. Az alábbi eljárás feltételezi, hogy már beállította az automatikus kiépítést az egyik támogatott alkalmazáshoz , és hatókörszűrőt ad hozzá.

Hatókörszűrő létrehozása

  1. A Azure Portal lépjen a Azure Active Directory>Alkalmazások>minden alkalmazás szakaszára.

  2. Válassza ki azt az alkalmazást, amelyhez az automatikus kiépítést konfigurálta: például "ServiceNow".

  3. Válassza a Kiépítés lapot.

  4. A Leképezések szakaszban válassza ki azt a leképezést, amelyhez hatókörszűrőt szeretne konfigurálni: például"Azure Active Directory felhasználók szinkronizálása a ServiceNow szolgáltatással".

  5. Válassza a Forrásobjektum hatóköre menüt.

  6. Válassza a Hatókörszűrő hozzáadása lehetőséget.

  7. Adjon meg egy záradékot egy forrásattribútum nevének, egy operátornak és egy attribútumértéknek az egyező kiválasztásával. A következő operátorok támogatottak:

    a. EGYENLŐ. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum pontosan megfelel a bemeneti sztring értékének (a kis- és nagybetűk megkülönböztetése).

    b. NEM EGYENLŐ. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nem egyezik a bemeneti sztring értékével (a kis- és nagybetűk megkülönböztetése).

    c. IGAZ. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum igaz logikai értéket tartalmaz.

    d. HAMIS. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum hamis logikai értéket tartalmaz.

    e. NULL ÉRTÉKŰ. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum üres.

    f. NEM NULL ÉRTÉKŰ. A záradék "true" (igaz) értéket ad vissza, ha a kiértékelt attribútum nem üres.

    : REGEX MATCH. A záradék "true" (igaz) értéket ad vissza, ha a kiértékelt attribútum megfelel egy reguláris kifejezésmintának. Például: ([1-9][0-9]) bármely 10 és 99 közötti számmal megegyezik (megkülönbözteti a kis- és nagybetűt).

    h. NEM REGEX-EGYEZÉS. A záradék "true" (igaz) értéket ad vissza, ha a kiértékelt attribútum nem egyezik egy reguláris kifejezésmintával. A függvény "false" (hamis) értéket ad vissza, ha az attribútum null /üres.

    i. Greater_Than. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nagyobb, mint az érték. A hatókörszűrőben megadott értéknek egész számnak kell lennie, a felhasználó attribútumának pedig egész számnak kell lennie [0,1,2,...].

    j. Greater_Than_OR_EQUALS. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nagyobb vagy egyenlő az értékkel. A hatókörszűrőben megadott értéknek egész számnak kell lennie, a felhasználó attribútumának pedig egész számnak kell lennie [0,1,2,...].

    k. Tartalmazza. A záradék "true" értéket ad vissza, ha a kiértékelt attribútum tartalmazza a sztring értékét (megkülönbözteti a kis- és nagybetűket) az itt leírtak szerint.

Fontos

  • Az IsMemberOf szűrő jelenleg nem támogatott.
  • A csoport tagattribútumai jelenleg nem támogatottak.
  • A szűrés nem támogatott a többértékű attribútumok esetében.
  • A hatókörszűrők "false" értéket adnak vissza, ha az érték null /üres.
  1. Szükség esetén ismételje meg a 7–8. lépést további hatókörkezelési záradékok hozzáadásához.

  2. A hatókörszűrő címében adjon nevet a hatókörszűrőnek.

  3. Válassza az OK lehetőséget.

  4. Válassza ismét az OK gombot a Hatókörszűrők képernyőn. Másik hatókörszűrő hozzáadásához ismételje meg a 6–11. lépést.

  5. Válassza a Mentés lehetőséget az Attribútumleképezés képernyőn.

Fontos

Az új hatókörszűrő mentése új teljes szinkronizálást aktivál az alkalmazáshoz, ahol a forrásrendszer összes felhasználója újra kiértékelve lesz az új hatókörszűrő alapján. Ha az alkalmazás egy felhasználója korábban kiépítési hatókörben volt, de kiesik a hatókörből, a fiókja le van tiltva vagy megszüntetve lesz az alkalmazásban. Az alapértelmezett viselkedés felülbírálásához tekintse meg a hatókörön kívül eső felhasználói fiókok törlésének kihagyásával kapcsolatos cikket.

Gyakori hatókörszűrők

Célattribútum Operátor Érték Leírás
userPrincipalName REGEX EGYEZÉS .*@domain.com A tartományt @domain.com tartalmazó userPrincipal összes felhasználója kiépítési hatókörben lesz
userPrincipalName NEM REGEX EGYEZÉS .*@domain.com A tartománnyal @domain.com rendelkező összes userPrincipal felhasználó kiépítési hatókörén kívül esik
Részleg EGYENLŐ Értékesítési Az értékesítési részleg minden felhasználója rendelkezik kiépítési hatókörrel
workerID REGEX EGYEZÉS (1[0-9][0-9][0-9][0-9][0-9][0-9]) Minden 10000000 és 20000000 közötti feldolgozóazonosítóval rendelkező alkalmazott rendelkezik a kiépítés hatókörében.