Attributbaserade program etablering med omfångs filterAttribute-based application provisioning with scoping filters

Syftet med den här artikeln är att förklara hur du använder omfångs filter för att definiera attributbaserade regler som avgör vilka användare som ska tillhandahållas till ett program.The objective of this article is to explain how to use scoping filters to define attribute-based rules that determine which users are provisioned to an application.

Användnings fall för omfattnings filterScoping filter use cases

Ett scope-filter gör att Azure Active Directory (Azure AD) etablerings tjänsten kan ta med eller undanta användare som har ett attribut som matchar ett angivet värde.A scoping filter allows the Azure Active Directory (Azure AD) provisioning service to include or exclude any users who have an attribute that matches a specific value. När du till exempel konfigurerar användare från Azure AD till ett SaaS-program som används av ett försäljnings team kan du ange att endast användare med ett "avdelning"-attribut för "försäljning" ska omfattas av etableringen.For example, when provisioning users from Azure AD to a SaaS application used by a sales team, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning.

Omfångs filter kan användas på olika sätt beroende på typ av etablerings koppling:Scoping filters can be used differently depending on the type of provisioning connector:

  • Utgående etablering från Azure AD till SaaS-program.Outbound provisioning from Azure AD to SaaS applications. När Azure AD är käll systemet är användar-och grupp tilldelningar den vanligaste metoden för att avgöra vilka användare som omfattas av etableringen.When Azure AD is the source system, user and group assignments are the most common method for determining which users are in scope for provisioning. Dessa tilldelningar används också för att aktivera enkel inloggning och tillhandahålla en enda metod för att hantera åtkomst och etablering.These assignments also are used for enabling single sign-on and provide a single method to manage access and provisioning. Omfångs filter kan användas valfritt, förutom tilldelningar eller i stället för dem, för att filtrera användare baserat på attributvärden.Scoping filters can be used optionally, in addition to assignments or instead of them, to filter users based on attribute values.

    Tips

    Du kan inaktivera etablering baserat på tilldelningar för ett företags program genom att ändra inställningarna i menyn omfång under etablerings inställningarna för att synkronisera alla användare och grupper.You can disable provisioning based on assignments for an enterprise application by changing settings in the Scope menu under the provisioning settings to Sync all users and groups.

  • Inkommande etablering från HCM-program till Azure AD och Active Directory.Inbound provisioning from HCM applications to Azure AD and Active Directory. När ett HCM-program som Workday är käll systemet är definitions områdes filter den primära metoden för att avgöra vilka användare som ska tillhandahållas från HCM-programmet till Active Directory eller Azure AD.When an HCM application such as Workday is the source system, scoping filters are the primary method for determining which users should be provisioned from the HCM application to Active Directory or Azure AD.

Som standard har inte Azure AD Provisioning-kopplingar några attribut-baserade omfångs filter konfigurerade.By default, Azure AD provisioning connectors do not have any attribute-based scoping filters configured.

Uppförande av omfattnings filterScoping filter construction

Ett omfångs filter består av en eller flera satser.A scoping filter consists of one or more clauses. -Satser avgör vilka användare som tillåts passera genom omfångs filtret genom att utvärdera varje användares attribut.Clauses determine which users are allowed to pass through the scoping filter by evaluating each user's attributes. Du kan till exempel ha en-sats som kräver att användarens "State"-attribut är lika med "New York", så att endast nya användare i Göteborg är etablerade i programmet.For example, you might have one clause that requires that a user's "State" attribute equals "New York", so only New York users are provisioned into the application.

En enskild sats definierar ett enskilt villkor för ett enda attributvärde.A single clause defines a single condition for a single attribute value. Om flera satser skapas i ett enda omfångs filter utvärderas de tillsammans med hjälp av "och"-logik.If multiple clauses are created in a single scoping filter, they're evaluated together by using "AND" logic. Det innebär att alla satser måste utvärderas till "true" för att en användare ska kunna tillhandahållas.This means all clauses must evaluate to "true" in order for a user to be provisioned.

Slutligen kan flera omfångs filter skapas för ett enda program.Finally, multiple scoping filters can be created for a single application. Om det finns flera omfångs filter utvärderas de tillsammans med hjälp av "OR"-logik.If multiple scoping filters are present, they're evaluated together by using "OR" logic. Det innebär att om alla satser i något av de konfigurerade omfångs filtren utvärderas till "true", är användaren etablerade.This means that if all the clauses in any of the configured scoping filters evaluate to "true", the user is provisioned.

Varje användare eller grupp som bearbetas av Azure AD Provisioning-tjänsten utvärderas alltid individuellt mot varje omfångs filter.Each user or group processed by the Azure AD provisioning service is always evaluated individually against each scoping filter.

Anta till exempel följande scope-filter:As an example, consider the following scoping filter:

Omfångs filter

Enligt det här omfångs filtret måste användarna uppfylla följande kriterier som ska tillhandahållas:According to this scoping filter, users must satisfy the following criteria to be provisioned:

  • De måste vara i New York.They must be in New York.
  • De måste arbeta på teknik avdelningen.They must work in the Engineering department.
  • Företagets anställnings-ID måste vara mellan 1 000 000 och 2 000 000.Their company employee ID must be between 1,000,000 and 2,000,000.
  • Deras befattning får inte vara null eller tom.Their job title must not be null or empty.

Skapa omfångs filterCreate scoping filters

Definitions områdes filter konfigureras som en del av mappningar av mappar för varje Azure AD-anslutning för användar etablering.Scoping filters are configured as part of the attribute mappings for each Azure AD user provisioning connector. Följande procedur förutsätter att du redan har konfigurerat automatisk etablering för ett av de program som stöds och lägger till ett omfångs filter till det.The following procedure assumes that you already set up automatic provisioning for one of the supported applications and are adding a scoping filter to it.

Skapa ett omfångs filterCreate a scoping filter

  1. I Azure Portalgår du till avsnittet Azure Active Directory > program för företags program > .In the Azure portal, go to the Azure Active Directory > Enterprise Applications > All applications section.

  2. Välj det program som du har konfigurerat automatisk etablering för: till exempel "ServiceNow".Select the application for which you have configured automatic provisioning: for example, "ServiceNow".

  3. Välj fliken Etablering.Select the Provisioning tab.

  4. I avsnittet mappningar väljer du den mappning som du vill konfigurera ett omfångs filter för: till exempel "synkronisera Azure Active Directory användare till ServiceNow".In the Mappings section, select the mapping that you want to configure a scoping filter for: for example, "Synchronize Azure Active Directory Users to ServiceNow".

  5. Välj menyn käll objekt omfånget .Select the Source object scope menu.

  6. Välj Lägg till omfångs filter.Select Add scoping filter.

  7. Definiera en sats genom att välja ett källattribut namn, en operator och ett Attributvärde som ska matchas mot.Define a clause by selecting a source Attribute Name, an Operator, and an Attribute Value to match against. Följande operatorer stöds:The following operators are supported:

    a.a. Lika med.EQUALS. Sats returnerar true om det utvärderade attributet matchar värdet för Indatasträngen exakt (Skift läges känsligt).Clause returns "true" if the evaluated attribute matches the input string value exactly (case sensitive).

    b.b. inte lika med.NOT EQUALS. Sats returnerar true om det utvärderade attributet inte matchar värdet för Indatasträngen (Skift läges känsligt).Clause returns "true" if the evaluated attribute doesn't match the input string value (case sensitive).

    c.c. är sant.IS TRUE. Sats returnerar true om det utvärderade attributet innehåller det booleska värdet true.Clause returns "true" if the evaluated attribute contains a Boolean value of true.

    d.d. är falskt.IS FALSE. Sats returnerar true om det utvärderade attributet innehåller ett booleskt värde falskt.Clause returns "true" if the evaluated attribute contains a Boolean value of false.

    e.e. är null.IS NULL. Sats returnerar true om det utvärderade attributet är tomt.Clause returns "true" if the evaluated attribute is empty.

    f.f. är inte null.IS NOT NULL. Sats returnerar true om det utvärderade attributet inte är tomt.Clause returns "true" if the evaluated attribute isn't empty.

    ex.g. regex-matchning.REGEX MATCH. Sats returnerar true om det utvärderade attributet matchar ett mönster för reguljära uttryck.Clause returns "true" if the evaluated attribute matches a regular expression pattern. Exempel: ([1-9] [0-9]) matchar alla siffror mellan 10 och 99.For example: ([1-9][0-9]) matches any number between 10 and 99.

    h.h. ingen regex-matchning.NOT REGEX MATCH. Sats returnerar true om det utvärderade attributet inte matchar ett mönster för reguljära uttryck.Clause returns "true" if the evaluated attribute doesn't match a regular expression pattern.

    i.i. Greater_Than.Greater_Than. Sats returnerar true om det utvärderade attributet är större än värdet.Clause returns "true" if the evaluated attribute is greater than the value. Värdet som anges i omfångs filtret måste vara ett heltal och attributet för användaren måste vara ett heltal [0, 1, 2,...].The value specified on the scoping filter must be an integer and the attribute on the user must be an integer [0,1,2,...].

    j.j. Greater_Than_OR_EQUALS.Greater_Than_OR_EQUALS. Sats returnerar true om det utvärderade attributet är större än eller lika med värdet.Clause returns "true" if the evaluated attribute is greater than or equal to the value. Värdet som anges i omfångs filtret måste vara ett heltal och attributet för användaren måste vara ett heltal [0, 1, 2,...].The value specified on the scoping filter must be an integer and the attribute on the user must be an integer [0,1,2,...].

    k.k. Åtgärd.Includes. Sats returnerar true om det utvärderade attributet innehåller strängens värde (Skift läges känsligt) enligt beskrivningen här.Clause returns "true" if the evaluated attribute contains the string value (case sensitive) as described here.

Viktigt

  • IsMemberOf-filtret stöds inte för närvarande.The IsMemberOf filter is not supported currently.
  • LIKA med och inte lika med stöds inte för attribut med flera värdenEQUALS and NOT EQUALS are not supported for multi-valued attributes
  1. Du kan också upprepa steg 7-8 om du vill lägga till fler omfångs satser.Optionally, repeat steps 7-8 to add more scoping clauses.

  2. I omfångs filter rubrik, Lägg till ett namn för ditt omfångs filter.In Scoping Filter Title, add a name for your scoping filter.

  3. Välj OK.Select OK.

  4. Välj OK igen på skärmen omfångs filter .Select OK again on the Scoping Filters screen. Du kan också upprepa steg 6-11 om du vill lägga till ett annat omfångs filter.Optionally, repeat steps 6-11 to add another scoping filter.

  5. Välj Spara på skärmen Mappning av attribut .Select Save on the Attribute Mapping screen.

Viktigt

Om du sparar ett nytt omfångs filter utlöses en ny fullständig synkronisering för programmet, där alla användare i käll systemet utvärderas igen mot det nya omfångs filtret.Saving a new scoping filter triggers a new full sync for the application, where all users in the source system are evaluated again against the new scoping filter. Om en användare i programmet tidigare fanns inom omfånget för etablering, men faller utanför omfattningen, så inaktive ras eller avetableras kontot i programmet.If a user in the application was previously in scope for provisioning, but falls out of scope, their account is disabled or deprovisioned in the application. Om du vill åsidosätta det här standard beteendet går du till hoppa över borttagning för användar konton som omfattas av omfånget.To override this default behavior, refer to Skip deletion for user accounts that go out of scope.

Vanliga omfångs filterCommon scoping filters

Target-attributTarget Attribute OperatorOperator VärdeValue BeskrivningDescription
userPrincipalNameuserPrincipalName REGEX-MATCHNINGREGEX MATCH .*@domain.com.*@domain.com Alla användare med userPrincipal som har domänen är @domain.com inom omfånget för etableringAll users with userPrincipal that has the domain @domain.com will be in scope for provisioning
userPrincipalNameuserPrincipalName INGEN REGEX-MATCHNINGNOT REGEX MATCH .*@domain.com.*@domain.com Alla användare med userPrincipal som har domänen @domain.com kommer utanför omfånget för etableringAll users with userPrincipal that has the domain @domain.com will be out of scope for provisioning
avdelningdepartment ÄR lika medEQUALS försäljningsales Alla användare från försäljnings avdelningen är inom omfånget för etableringAll users from the sales department are in scope for provisioning
workerIDworkerID REGEX-MATCHNINGREGEX MATCH (1 [0-9] [0-9] [0-9] [0-9] [0-9] [0-9])(1[0-9][0-9][0-9][0-9][0-9][0-9]) Alla anställda med workerIDs mellan 1000000 och 2000000 finns inom omfånget för etablering.All employees with workerIDs between 1000000 and 2000000 are in scope for provisioning.