Подготовка приложений на основе атрибутов с использованием фильтров области

В этой статье объясняется, как с помощью фильтров области задать правила на основе атрибутов, которые управляют подготовкой пользователей для работы с приложением.

Варианты использования фильтра области

Фильтр области позволяет указать службе подготовки Azure Active Directory включить или исключить всех пользователей, для которых значение атрибута совпадает с конкретным значением. Например, при подготовке пользователей из Azure AD для приложения SaaS, используемого группой продаж, можно указать, что только пользователи, атрибут "Отдел" которых имеет значение "Продажи", подлежат подготовке.

Фильтры области можно использовать по-разному в зависимости от типа соединителя подготовки.

  • Исходящая подготовка из Azure AD в приложения SaaS. Если Azure AD является исходной системой, то для определения пользователей, входящих в область подготовки, чаще всего используются назначения пользователей и групп. Эти назначения также используются для включения единого входа и обеспечивают единый метод для управления доступом и подготовкой. Фильтры области можно использовать наряду с назначениями или же вместо них, чтобы фильтровать пользователей на основе значений атрибутов.

    Совет

    Для корпоративного приложения можно отключить подготовку на основе назначений, указав значение Синхронизация всех пользователей и групп в меню Область на странице параметров подготовки.

  • Входящая подготовка из приложений HCM в Azure AD и Active Directory. Если исходной системой является приложение HCM, например Workday, то фильтры области являются основным средством для определения пользователей, которые должны быть подготовлены из приложения HCM в Active Directory или Azure Active Directory.

По умолчанию для соединителей подготовки Azure AD не настроены какие-либо фильтры области на основе атрибутов.

Создание фильтра области

Фильтр области состоит из одного или нескольких предложений. Предложения оценивают атрибуты каждого пользователя и определяют, какие пользователи могут проходить через фильтр области. Например, вы можете создать предложение, требующее, чтобы атрибут пользователя "Штат" имел значение "Нью-Йорк". Тогда только пользователи из штата Нью-Йорк будут подготовлены для работы с приложением.

Отдельное предложение определяет одно условие для одного значения атрибута. Если в одном фильтре области создается несколько предложений, они вычисляются вместе с применением логического оператора "И". Это означает, что все предложения должны иметь значение true, чтобы пользователь был подготовлен.

Наконец, для одного приложения можно создать несколько фильтров области. При наличии нескольких фильтров области они вычисляются вместе с применением логического оператора "ИЛИ". Это означает, что пользователь будет подготовлен, если для него все предложения в любом из настроенных фильтров области имеют значение true.

Фильтр области вычисляется отдельно для каждого пользователя или группы, обрабатываемой службой подготовки Azure AD.

Рассмотрим пример фильтра области.

Фильтр области действия

Этот фильтр области определяет, что подготовке подлежат только пользователи, которые отвечают следующим условиям:

  • они должны находиться в Нью-Йорке;
  • они должны работать в отделе разработки;
  • идентификатор сотрудника компании должен быть в диапазоне от 1 000 000 до 2 000 000;
  • название должности не должно быть пустым или иметь значение NULL.

Создание фильтров области

Фильтры области настраиваются как часть сопоставления атрибутов для каждого соединителя подготовки пользователей Azure AD. В приведенной ниже процедуре предполагается, что вы уже настроили автоматическую подготовку для одного из поддерживаемых приложений и добавляете для нее фильтр области.

Создание фильтра области

  1. На портале Azure перейдите в раздел Azure Active Directory > Корпоративные приложения > Все приложения.

  2. Выберите приложение, для которого настроена автоматическая подготовка, например ServiceNow.

  3. Выберите вкладку Подготовка.

  4. В разделе сопоставления выберите сопоставление, для которого вам нужен фильтр области, например "Синхронизация пользователей Azure Active Directory с ServiceNow".

  5. Выберите меню Область исходного объекта.

  6. Выберите Добавить фильтр области.

  7. Определите предложение, выбрав исходные параметры Имя атрибута, Оператор и Значение атрибута для сопоставления. Поддерживаются следующие операторы:

    a. EQUALS. Предложение возвращает значение true, если оцениваемый атрибут точно совпадает со значением входной строки (с учетом регистра).

    b. NOT EQUALS. Предложение возвращает значение true, если оцениваемый атрибут не совпадает со значением входной строки (с учетом регистра).

    c. IS TRUE. Предложение возвращает значение true, если вычисленный атрибут содержит логическое значение true.

    d. IS FALSE. Предложение возвращает значение true, если вычисленный атрибут содержит логическое значение false.

    д) IS NULL. Предложение возвращает значение true, если вычисленный атрибут имеет пустое значение.

    е) IS NOT NULL. Предложение возвращает значение true, если вычисленный атрибут имеет не пустое значение.

    ж. REGEX MATCH. Предложение возвращает значение true, если вычисленный атрибут соответствует шаблону регулярного выражения. Пример: шаблон ([1-9][0-9]) соответствует любому числу от 10 до 99.

    h. NOT REGEX MATCH. Предложение возвращает значение true, если вычисленный атрибут не соответствует шаблону регулярного выражения.

    i. Greater_Than. Предложение возвращает true, если вычисленный атрибут больше этого значения. Значение, указанное в фильтре области, должно быть целым числом, и атрибут пользователя должен быть целым числом [0, 1, 2,...].

    j. Greater_Than_OR_EQUALS. Предложение возвращает true, если вычисленный атрибут больше этого значения или равен ему. Значение, указанное в фильтре области, должно быть целым числом, и атрибут пользователя должен быть целым числом [0, 1, 2,...].

    k. Includes. Предложение возвращает true, если оцениваемый атрибут содержит строковое значение (с учетом регистра), как описано здесь.

Важно!

  • Фильтр IsMemberOf в настоящее время не поддерживается.
  • Операторы EQUALS и NOT EQUALS не поддерживаются для атрибутов с несколькими значениями
  1. При необходимости повторите шаги 7–8, чтобы добавить дополнительные предложения для ограничения области.

  2. В поле Название фильтра области введите имя фильтра области.

  3. Щелкните ОК.

  4. Нажмите кнопку ОК еще раз на экране Фильтры области. При необходимости повторите шаги 6–11, чтобы добавить еще один фильтр области.

  5. Нажмите кнопку Сохранить на странице Сопоставление атрибутов.

Важно!

Сохранение нового фильтра области активирует полную синхронизацию для приложения. Все пользователи в исходной системе будут повторно оценены с применением нового фильтра области. Если ранее пользователь приложения сначала соответствовал области для подготовки, а затем перестал соответствовать, его учетная запись в приложении будет отключена или отозвана. О том, как переопределить такое поведение по умолчанию, см. в статье Пропуск удаления учетных записей пользователей, не входящих в область.

Распространенные фильтры областей

Целевой атрибут Оператор Значение Описание
userPrincipalName REGEX MATCH .*@domain.com Все пользователи с userPrincipal, который имеет домен @domain.com, будут находиться в области подготовки
userPrincipalName NOT REGEX MATCH .*@domain.com Все пользователи с userPrincipal, который имеет домен @domain.com, будут находиться вне области подготовки
department EQUALS sales Все пользователи из отдела продаж находятся в области подготовки
workerID REGEX MATCH (1[0–9][0–9][0–9][0–9][0–9][0–9]). Все сотрудники с workerID в диапазоне 1000000–2000000 находятся в области подготовки.