Provisi aplikasi berbasis atribut dengan filter pencakupan

Tujuan artikel ini adalah untuk menjelaskan cara menggunakan filter pencakupan untuk menentukan aturan berbasis atribut yang menentukan pengguna yang diprovisikan untuk aplikasi.

Kasus penggunaan filter pencakupan

Filter pencakupan memungkinkan layanan provisi Azure Active Directory (Azure Active Directory) untuk menyertakan atau mengecualikan setiap pengguna yang memiliki atribut yang cocok dengan nilai tertentu. Misalnya, saat memprovisikan pengguna dari Azure Active Directory ke aplikasi SaaS yang digunakan oleh tim penjualan, Anda dapat menentukan bahwa hanya pengguna dengan atribut "Departemen" "Penjualan" yang akan dimasukkan dalam cakupan provisi.

Filter pencakupan dapat digunakan secara berbeda bergantung pada jenis konektor provisi:

  • Provisi keluar dari aplikasi Azure Active Directory ke SaaS. Jika Azure Active Directory adalah sistem sumber, penetapan pengguna dan grup adalah metode yang paling umum untuk menentukan pengguna yang berada dalam cakupan provisi. Penetapan ini juga digunakan untuk mengaktifkan akses menyeluruh dan menyediakan satu metode untuk mengelola akses dan provisi. Filter pencakupan dapat digunakan secara opsional, selain penetapan atau bukan, untuk memfilter pengguna berdasarkan nilai atribut.

    Tip

    Anda dapat menonaktifkan provisi berdasarkan penetapan untuk aplikasi perusahaan dengan mengubah pengaturan di menu Cakupan di bagian pengaturan provisi untuk Menyinkronkan semua pengguna dan grup.

  • Provisi masuk dari aplikasi HCM ke Azure Active Directory dan Active Directory. Jika aplikasi HCM seperti Workday adalah sistem sumber, filter pencakupan adalah metode utama untuk menentukan pengguna yang harus diprovisikan dari aplikasi HCM ke Active Directory atau Azure Active Directory.

Secara default, konektor provisi Azure Active Directory tidak memiliki filter pencakupan berbasis atribut yang dikonfigurasi.

Konstruksi filter pencakupan

Filter pencakupan terdiri dari satu atau beberapa klausul. Klausul menentukan pengguna yang diizinkan melewati filter pencakupan dengan mengevaluasi masing-masing atribut pengguna. Misalnya, Anda mungkin memiliki satu klausul yang mengharuskan atribut "Status" pengguna sama dengan "New York", jadi hanya pengguna New York yang diprovisikan ke dalam aplikasi.

Klausul tunggal menentukan satu kondisi untuk satu nilai atribut. Jika beberapa klausul dibuat dalam satu filter pecakupan, klausul tersebut dievaluasi bersama dengan menggunakan logika "AND". Hal ini berarti semua klausul harus mengevaluasi ke "true" agar pengguna dapat diprovisikan.

Akhirnya, beberapa filter pencakupan dapat dibuat untuk satu aplikasi. Jika ada beberapa filter pencakupan, filter tersebut akan dievaluasi bersama dengan menggunakan logika "OR". Hal ini berarti bahwa jika semua klausul dalam salah satu filter pencakupan yang dikonfigurasi mengevaluasi ke "true", pengguna akan diprovisikan.

Setiap pengguna atau grup yang diproses oleh layanan provisi Azure Active Directory selalu dievaluasi satu-persatu terhadap setiap filter pencakupan.

Sebagai contoh, pertimbangkan filter pencakupan berikut:

Filter pencakupan

Menurut filter pencakupan ini, pengguna harus memenuhi kriteria berikut agar dapat diprovisikan:

  • Mereka harus berada di New York.
  • Mereka harus bekerja di departemen Teknik.
  • ID karyawan perusahaan mereka harus antara 1.000.000 dan 2.000.000.
  • Jabatan pekerjaan tidak boleh null atau kosong.

Membuat filter pencakupan

Filter pencakupan dikonfigurasi sebagai bagian dari pemetaan atribut untuk setiap konektor provisi pengguna Azure Active Directory. Prosedur berikut mengasumsikan bahwa Anda sudah menyiapkan provisi otomatis untuk salah satu aplikasi yang didukung dan menambahkan filter pencakupan ke dalamnya.

Membuat filter pencakupan

  1. Di portal Microsoft Azure, buka bagian Azure Active DirectoryEnterprise ApplicationsSemua aplikasi.

  2. Pilih aplikasi yang provisi otomatisnya telah Anda konfigurasi: misalnya, "ServiceNow".

  3. Pilih tab Provisi.

  4. Di bagian Pemetaan, pilih pemetaan yang filter pencakupannya ingin dikonfigurasi: misalnya, "Sinkronkan Pengguna Azure Active Directory ke ServiceNow".

  5. Pilih menu Cakupan objek sumber.

  6. Pilih Tambahkan filter pencakupan.

  7. Tentukan klausul dengan memilih Nama Atribut sumber, Operator, dan Nilai Atribut yang cocok. Operator berikut didukung:

    a. EQUALS. Klausul akan menampilkan "true" jika atribut yang dievaluasi sama persis dengan nilai string input (peka huruf besar/kecil).

    b. NOT EQUALS. Klausul akan menampilkan "true" jika atribut yang dievaluasi tidak cocok dengan nilai string input (peka huruf besar/kecil).

    c. IS TRUE. Klausul akan menampilkan "true" jika atribut yang dievaluasi berisi nilai Boolean true.

    d. IS FALSE. Klausul akan menampilkan "true" jika atribut yang dievaluasi berisi nilai Boolean false.

    e. IS NULL. Klausul akan menampilkan "true" jika atribut yang dievaluasi kosong.

    f. IS NOT NULL. Klausul akan menampilkan "true" jika atribut yang dievaluasi tidak kosong.

    g. REGEX MATCH. Klausul akan menampilkan "true" jika atribut yang dievaluasi cocok dengan regex. Misalnya: ([1-9][0-9]) cocok dengan nomor apa pun antara 10 dan 99.

    h. NOT REGEX MATCH. Klausul akan menampilkan "true" jika atribut yang dievaluasi tidak cocok dengan pola regex.

    i. Greater_Than. Klausul akan menampilkan "true" jika atribut yang dievaluasi lebih besar daripada nilai. Nilai yang ditentukan pada filter pencakupan harus berupa bilangan bulat dan atribut pada pengguna harus berupa bilangan bulat [0,1,2,...].

    j. Greater_Than_OR_EQUALS. Klausul akan menampilkan "true" jika atribut yang dievaluasi lebih besar daripada atau sama dengan nilai. Nilai yang ditentukan pada filter pencakupan harus berupa bilangan bulat dan atribut pada pengguna harus berupa bilangan bulat [0,1,2,...].

    k. Includes. Klausul akan menampilkan "true" jika atribut yang dievaluasi berisi nilai string (peka huruf besar/kecil) seperti yang dijelaskan di sini.

Penting

  • Filter IsMemberOf saat ini tidak didukung.
  • EQUALS dan NOT EQUALS tidak didukung untuk atribut multi-nilai
  1. Sebagai alternatif, ulangi langkah 7-8 untuk menambahkan klausul pencakupan lainnya.

  2. Di Judul Filter Pencakupan, tambahkan nama untuk filter pencakupan Anda.

  3. PilihOK.

  4. Pilih OK lagi pada layar Filter Pencakupan. Sebagai alternatif, ulangi langkah 6-11 untuk menambahkan filter pencakupan lainnya.

  5. Pilih Simpan di layar Pemetaan Atribut.

Penting

Menyimpan filter pencakupan baru akan memicu sinkronisasi penuh aplikasi, di mana semua pengguna dalam sistem sumber akan dievaluasi lagi terhadap filter pencakupan baru. Jika pengguna dalam aplikasi sebelumnya dimasukkan dalam pencakupan provisi, tetapi di luar dari cakupan, akunnya akan dinonaktifkan atau dicabut aksesnya dalam aplikasi. Untuk mengganti perilaku default ini, lihat Melewati penghapusan untuk akun pengguna yang berada di luar cakupan.

Filter pencakupan umum

Atribut Target Operator Nilai Deskripsi
userPrincipalName REGEX MATCH .*@domain.com Semua pengguna dengan userPrincipal yang memiliki domain @domain.com akan berada dalam cakupan untuk provisi
userPrincipalName NOT REGEX MATCH .*@domain.com Semua pengguna dengan userPrincipal yang memiliki domain @domain.com akan berada di luar cakupan provisi
departemen EQUALS penjualan Semua pengguna dari departemen penjualan berada dalam cakupan provisi
workerID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) Semua karyawan dengan pekerja antara 1000000 dan 2000000 berada dalam cakupan provisi.