Toewijzing van toepassingen op basis van kenmerken met bereik filtersAttribute-based application provisioning with scoping filters

In dit artikel wordt uitgelegd hoe u bereik filters gebruikt voor het definiëren van op kenmerken gebaseerde regels die bepalen welke gebruikers worden ingericht voor een toepassing.The objective of this article is to explain how to use scoping filters to define attribute-based rules that determine which users are provisioned to an application.

Filter-use cases in bereikScoping filter use cases

Met een bereik filter kan de inrichtings service van Azure Active Directory (Azure AD) alle gebruikers opnemen of uitsluiten die een kenmerk hebben dat overeenkomt met een specifieke waarde.A scoping filter allows the Azure Active Directory (Azure AD) provisioning service to include or exclude any users who have an attribute that matches a specific value. Als u bijvoorbeeld gebruikers van Azure AD inricht in een SaaS-toepassing die door een verkoop team wordt gebruikt, kunt u opgeven dat alleen gebruikers met het kenmerk ' afdeling ' van ' verkoop ' binnen bereik moeten zijn voor inrichting.For example, when provisioning users from Azure AD to a SaaS application used by a sales team, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning.

Bereik filters kunnen anders worden gebruikt, afhankelijk van het type inrichtings connector:Scoping filters can be used differently depending on the type of provisioning connector:

  • Uitgaande inrichting van Azure AD naar SaaS-toepassingen.Outbound provisioning from Azure AD to SaaS applications. Wanneer Azure AD het bron systeem is, zijn gebruikers-en groeps toewijzingen de meest voorkomende methode om te bepalen welke gebruikers binnen het bereik van het inrichten vallen.When Azure AD is the source system, user and group assignments are the most common method for determining which users are in scope for provisioning. Deze toewijzingen worden ook gebruikt om eenmalige aanmelding in te scha kelen en één methode te bieden voor het beheren van toegang en inrichting.These assignments also are used for enabling single sign-on and provide a single method to manage access and provisioning. U kunt ook de bereik filters gebruiken, naast toewijzingen of in plaats daarvan, om gebruikers te filteren op basis van kenmerk waarden.Scoping filters can be used optionally, in addition to assignments or instead of them, to filter users based on attribute values.

    Tip

    U kunt het inrichten uitschakelen op basis van toewijzingen voor een bedrijfs toepassing door de instellingen in het menu bereik onder de inrichtings instellingen te wijzigen om alle gebruikers en groepen te synchroniseren.You can disable provisioning based on assignments for an enterprise application by changing settings in the Scope menu under the provisioning settings to Sync all users and groups.

  • Inkomende Provisioning van HCM-toepassingen naar Azure AD en Active Directory.Inbound provisioning from HCM applications to Azure AD and Active Directory. Wanneer een HCM-toepassing, zoals workday , het bron systeem is, zijn bereik filters de primaire methode om te bepalen welke gebruikers moeten worden ingericht van de HCM-toepassing naar Active Directory of Azure AD.When an HCM application such as Workday is the source system, scoping filters are the primary method for determining which users should be provisioned from the HCM application to Active Directory or Azure AD.

Standaard hebben Azure AD-inrichtings connectors geen bereik filters geconfigureerd op basis van kenmerken.By default, Azure AD provisioning connectors do not have any attribute-based scoping filters configured.

Bereik van filter constructieScoping filter construction

Een bereik filter bestaat uit een of meer componenten.A scoping filter consists of one or more clauses. -Componenten bepalen welke gebruikers de bereik filter mogen door geven door de kenmerken van elke gebruiker te evalueren.Clauses determine which users are allowed to pass through the scoping filter by evaluating each user's attributes. U kunt bijvoorbeeld een-component hebben waarvoor het kenmerk ' state ' van een gebruiker is ingesteld op ' New York ', zodat alleen New York-gebruikers in de toepassing worden ingericht.For example, you might have one clause that requires that a user's "State" attribute equals "New York", so only New York users are provisioned into the application.

Een enkele component definieert één voor waarde voor één kenmerk waarde.A single clause defines a single condition for a single attribute value. Als er meerdere componenten worden gemaakt in één bereik filter, worden ze samen met de logica geëvalueerd.If multiple clauses are created in a single scoping filter, they're evaluated together by using "AND" logic. Dit betekent dat alle-componenten moeten worden geëvalueerd als ' True ' zodat een gebruiker kan worden ingericht.This means all clauses must evaluate to "true" in order for a user to be provisioned.

Ten slotte kunnen meerdere bereik filters worden gemaakt voor één toepassing.Finally, multiple scoping filters can be created for a single application. Als er meerdere bereik filters aanwezig zijn, worden ze samen met de logica geëvalueerd.If multiple scoping filters are present, they're evaluated together by using "OR" logic. Dit betekent dat als alle componenten in een van de geconfigureerde bereik filters op ' True ' worden geëvalueerd, de gebruiker is ingericht.This means that if all the clauses in any of the configured scoping filters evaluate to "true", the user is provisioned.

Elke gebruiker of groep die door de Azure AD Provisioning-Service is verwerkt, wordt altijd afzonderlijk geëvalueerd op basis van elk filter bereik.Each user or group processed by the Azure AD provisioning service is always evaluated individually against each scoping filter.

Bekijk bijvoorbeeld het volgende bereik filter:As an example, consider the following scoping filter:

Bereik filter

Op basis van dit bereik filter moeten gebruikers voldoen aan de volgende criteria die moeten worden ingericht:According to this scoping filter, users must satisfy the following criteria to be provisioned:

  • Ze moeten zich in New York bevinden.They must be in New York.
  • Ze moeten werken in de technische afdeling.They must work in the Engineering department.
  • De werk nemer-ID van het bedrijf moet tussen 1.000.000 en 2.000.000.Their company employee ID must be between 1,000,000 and 2,000,000.
  • De functie mag niet null of leeg zijn.Their job title must not be null or empty.

Bereik filters makenCreate scoping filters

Bereik filters worden geconfigureerd als onderdeel van de kenmerk toewijzingen voor elke Azure AD-gebruikers inrichtings connector.Scoping filters are configured as part of the attribute mappings for each Azure AD user provisioning connector. In de volgende procedure wordt ervan uitgegaan dat u al automatisch inrichten hebt ingesteld voor een van de ondersteunde toepassingen en hoe u er een filter voor een bereik aan toevoegt.The following procedure assumes that you already set up automatic provisioning for one of the supported applications and are adding a scoping filter to it.

Een bereik filter makenCreate a scoping filter

  1. Ga in het Azure Portalnaar de sectie Azure Active Directory > Enter prise Applications > all applications '.In the Azure portal, go to the Azure Active Directory > Enterprise Applications > All applications section.

  2. Selecteer de toepassing waarvoor u automatische inrichting hebt geconfigureerd: bijvoorbeeld ' ServiceNow '.Select the application for which you have configured automatic provisioning: for example, "ServiceNow".

  3. Selecteer het tabblad Inrichten.Select the Provisioning tab.

  4. Selecteer in de sectie toewijzingen de toewijzing waarvoor u een bereik filter wilt configureren: bijvoorbeeld ' Synchroniseer Azure Active Directory gebruikers naar ServiceNow '.In the Mappings section, select the mapping that you want to configure a scoping filter for: for example, "Synchronize Azure Active Directory Users to ServiceNow".

  5. Selecteer het bereik menu van het bron object .Select the Source object scope menu.

  6. Selecteer filter bereik toevoegen.Select Add scoping filter.

  7. Definieer een-component door een bron kenmerk naam, een operator en een kenmerk waarde op te geven die moet overeenkomen.Define a clause by selecting a source Attribute Name, an Operator, and an Attribute Value to match against. De volgende Opera tors worden ondersteund:The following operators are supported:

    a.a. Is gelijk aan.EQUALS. -Component retourneert ' True ' als het geëvalueerde kenmerk precies overeenkomt met de waarde van de invoer teken reeks (hoofdletter gevoelig).Clause returns "true" if the evaluated attribute matches the input string value exactly (case sensitive).

    b.b. niet gelijk aan.NOT EQUALS. -Component retourneert ' True ' als het geëvalueerde kenmerk niet overeenkomt met de invoer teken reeks waarde (hoofdletter gevoelig).Clause returns "true" if the evaluated attribute doesn't match the input string value (case sensitive).

    c.c. is waar.IS TRUE. -Component retourneert ' True ' als het geëvalueerde kenmerk een Booleaanse waarde True bevat.Clause returns "true" if the evaluated attribute contains a Boolean value of true.

    d.d. is onwaar.IS FALSE. -Component retourneert ' True ' als het geëvalueerde kenmerk een Booleaanse waarde heeft van ONWAAR.Clause returns "true" if the evaluated attribute contains a Boolean value of false.

    e.e. is null.IS NULL. -Component retourneert ' True ' als het geëvalueerde kenmerk leeg is.Clause returns "true" if the evaluated attribute is empty.

    f.f. is niet null.IS NOT NULL. -Component retourneert ' True ' als het geëvalueerde kenmerk niet leeg is.Clause returns "true" if the evaluated attribute isn't empty.

    g.g. regex match.REGEX MATCH. -Component retourneert ' True ' als het geëvalueerde kenmerk overeenkomt met een reguliere-expressie patroon.Clause returns "true" if the evaluated attribute matches a regular expression pattern. Bijvoorbeeld: ([1-9] [0-9]) komt overeen met een getal tussen 10 en 99.For example: ([1-9][0-9]) matches any number between 10 and 99.

    h.h. geen regex-overeenkomst.NOT REGEX MATCH. -Component retourneert ' True ' als het geëvalueerde kenmerk niet overeenkomt met een reguliere-expressie patroon.Clause returns "true" if the evaluated attribute doesn't match a regular expression pattern.

    i.i. Greater_Than.Greater_Than. -Component retourneert ' True ' als het geëvalueerde kenmerk groter is dan de waarde.Clause returns "true" if the evaluated attribute is greater than the value. De waarde die is opgegeven voor het filter bereik moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal zijn [0, 1, 2,...].The value specified on the scoping filter must be an integer and the attribute on the user must be an integer [0,1,2,...].

    j.j. Greater_Than_OR_EQUALS.Greater_Than_OR_EQUALS. -Component retourneert ' True ' als het geëvalueerde kenmerk groter is dan of gelijk is aan de waarde.Clause returns "true" if the evaluated attribute is greater than or equal to the value. De waarde die is opgegeven voor het filter bereik moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal zijn [0, 1, 2,...].The value specified on the scoping filter must be an integer and the attribute on the user must be an integer [0,1,2,...].

    k.k. Neem.Includes. -Component retourneert ' True ' als het geëvalueerde kenmerk de teken reeks waarde (hoofdletter gevoelig) bevat, zoals hierwordt beschreven.Clause returns "true" if the evaluated attribute contains the string value (case sensitive) as described here.

Belangrijk

  • Het IsMemberOf-filter wordt momenteel niet ondersteund.The IsMemberOf filter is not supported currently.
  • Is gelijk aan en niet gelijk aan, wordt niet ondersteund voor kenmerken met meerdere waardenEQUALS and NOT EQUALS are not supported for multi-valued attributes
  1. Herhaal desgewenst stap 7-8 om meer scoping-componenten toe te voegen.Optionally, repeat steps 7-8 to add more scoping clauses.

  2. Voeg in filter titel bereik een naam toe voor het filter bereik.In Scoping Filter Title, add a name for your scoping filter.

  3. Selecteer OK.Select OK.

  4. Selecteer OK in het scherm filteren op bereik .Select OK again on the Scoping Filters screen. Herhaal de stappen 6-11 om nog een filter voor het bereik toe te voegen.Optionally, repeat steps 6-11 to add another scoping filter.

  5. Selecteer Opslaan in het scherm kenmerk toewijzing .Select Save on the Attribute Mapping screen.

Belangrijk

Als u een nieuw bereik filter opslaat, wordt een nieuwe volledige synchronisatie voor de toepassing geactiveerd, waarbij alle gebruikers in het bron systeem opnieuw worden geëvalueerd op basis van het nieuwe bereik filter.Saving a new scoping filter triggers a new full sync for the application, where all users in the source system are evaluated again against the new scoping filter. Als een gebruiker in de toepassing eerder is ingericht voor het inrichten, maar buiten het bereik valt, wordt het account uitgeschakeld of in de toepassing onbeschikbaar gemaakt.If a user in the application was previously in scope for provisioning, but falls out of scope, their account is disabled or deprovisioned in the application. Als u dit standaard gedrag wilt overschrijven, raadpleegt u verwijdering overs laan voor gebruikers accounts die buiten het bereik vallen.To override this default behavior, refer to Skip deletion for user accounts that go out of scope.

Algemene bereik filtersCommon scoping filters

Doel kenmerkTarget Attribute OperatorOperator WaardeValue BeschrijvingDescription
userPrincipalNameuserPrincipalName OVEREENKOMENDE REGEXREGEX MATCH .*@domain.com.*@domain.com Alle gebruikers met userPrincipal die het domein hebben @domain.com , zijn in het bereik voor inrichting.All users with userPrincipal that has the domain @domain.com will be in scope for provisioning
userPrincipalNameuserPrincipalName GEEN REGEX-OVEREENKOMSTNOT REGEX MATCH .*@domain.com.*@domain.com Alle gebruikers met userPrincipal die het domein hebben @domain.com , zijn buiten het bereik voor het inrichtenAll users with userPrincipal that has the domain @domain.com will be out of scope for provisioning
departmentdepartment GELIJK is aanEQUALS verkoopsales Alle gebruikers van de verkoop afdeling vallen binnen het bereik van de inrichtingAll users from the sales department are in scope for provisioning
workerIDworkerID OVEREENKOMENDE REGEXREGEX MATCH (1 [0-9] [0-9] [0-9] [0-9] [0-9] [0-9])(1[0-9][0-9][0-9][0-9][0-9][0-9]) Alle werk nemers met workerIDs tussen 1000000 en 2000000 zijn binnen het bereik van de inrichting.All employees with workerIDs between 1000000 and 2000000 are in scope for provisioning.