Omfångsfilter för användare eller grupper som ska etableras med omfångsfilter
Lär dig hur du använder omfångsfilter i Microsoft Entra-etableringstjänsten för att definiera attributbaserade regler. Reglerna används för att avgöra vilka användare eller grupper som etableras.
Användningsfall för omfångsfilter
Du använder omfångsfilter för att förhindra att objekt i program som stöder automatisk användaretablering etableras om ett objekt inte uppfyller dina affärskrav. Med ett omfångsfilter kan du inkludera eller exkludera användare som har ett attribut som matchar ett visst värde. När du till exempel etablerar användare från Microsoft Entra-ID till ett SaaS-program som används av ett säljteam kan du ange att endast användare med attributet "Avdelning" som "Försäljning" ska vara i omfånget för etablering.
Omfångsfilter kan användas på olika sätt beroende på vilken typ av etableringsanslutning:
Utgående etablering från Microsoft Entra-ID till SaaS-program. När Microsoft Entra-ID är källsystemet är användar- och grupptilldelningar den vanligaste metoden för att avgöra vilka användare som är i omfånget för etablering. Dessa tilldelningar används också för att aktivera enkel inloggning och ger en enda metod för att hantera åtkomst och etablering. Omfångsfilter kan användas om du vill, förutom tilldelningar eller i stället för dem, för att filtrera användare baserat på attributvärden.
Dricks
Ju fler användare och grupper som finns i omfånget för etablering, desto längre tid kan synkroniseringsprocessen ta. Om du ställer in omfånget för att synkronisera tilldelade användare och grupper, begränsa antalet grupper som tilldelats till appen och begränsa storleken på grupperna minskar den tid det tar att synkronisera alla som finns i omfånget.
Inkommande etablering från HCM-program till Microsoft Entra ID och Active Directory. När ett HCM-program som Workday är källsystemet är omfångsfilter den primära metoden för att avgöra vilka användare som ska etableras från HCM-programmet till Active Directory eller Microsoft Entra-ID.
Som standard har Microsoft Entra-etableringsanslutningsprogram inga attributbaserade omfångsfilter konfigurerade.
När Microsoft Entra-ID är källsystemet är användar- och grupptilldelningar den vanligaste metoden för att avgöra vilka användare som är i omfånget för etablering. Att minska antalet användare i omfånget ger bättre prestanda och synkronisering av tilldelade användare och grupper i stället för att synkronisera alla användare och grupper rekommenderas.
Omfångsfilter kan användas om du vill, förutom omfång efter tilldelning. Med ett omfångsfilter kan Microsoft Entra-etableringstjänsten inkludera eller exkludera användare som har ett attribut som matchar ett visst värde. När du till exempel etablerar användare från ett säljteam kan du ange att endast användare med attributet "Avdelning" "Försäljning" ska finnas i omfånget för etablering.
Omfångsfilterkonstruktion
Ett omfångsfilter består av en eller flera satser. Satser avgör vilka användare som får passera genom omfångsfiltret genom att utvärdera varje användares attribut. Du kan till exempel ha en sats som kräver att en användares "State"-attribut är lika med "New York", så att endast New York-användare etableras i programmet.
En enskild sats definierar ett enda villkor för ett enda attributvärde. Om flera satser skapas i ett enda omfångsfilter utvärderas de tillsammans med hjälp av "AND"-logik. "AND"-logiken innebär att alla satser måste utvärderas till "true" för att en användare ska kunna etableras.
Slutligen kan flera omfångsfilter skapas för ett enda program. Om det finns flera omfångsfilter utvärderas de tillsammans med hjälp av "OR"-logik. "OR"-logiken innebär att om alla satser i något av de konfigurerade omfångsfiltren utvärderas till "true" etableras användaren.
Varje användare eller grupp som bearbetas av Microsoft Entra-etableringstjänsten utvärderas alltid individuellt mot varje omfångsfilter.
Tänk till exempel på följande omfångsfilter:
Enligt det här omfångsfiltret måste användarna uppfylla följande kriterier för att etableras:
- De måste vara i New York.
- De måste arbeta på teknikavdelningen.
- Företagets anställnings-ID måste vara mellan 1 000 000 och 2 000 000.
- Jobbtiteln får inte vara null eller tom.
Skapa omfångsfilter
Omfångsfilter konfigureras som en del av attributmappningarna för varje Microsoft Entra-anslutningsapp för användaretablering. Följande procedur förutsätter att du redan har konfigurerat automatisk etablering för ett av de program som stöds och lägger till ett omfångsfilter i det.
Skapa ett omfångsfilter
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Bläddra till Identity>Applications Enterprise-program>>Alla program.
Välj det program som du har konfigurerat automatisk etablering för: till exempel "ServiceNow".
Bläddra till Konfigurationer>för identitetssynkronisering>>mellan klientorganisationer
Välj din konfiguration.
- Välj fliken Etablering.
- I avsnittet Mappningar väljer du den mappning som du vill konfigurera ett omfångsfilter för: till exempel "Synkronisera Microsoft Entra-användare till ServiceNow".
- I avsnittet Mappningar väljer du den mappning som du vill konfigurera ett omfångsfilter för: till exempel "Etablera Microsoft Entra-användare".
Välj omfångsmenyn Källobjekt.
Välj Lägg till omfångsfilter.
Definiera en sats genom att välja ett källattributnamn, en operator och ett attributvärde som ska matchas mot. Följande operatorer stöds:
a. &. &. -satsen returnerar "true" om det utvärderade attributet finns i indatasträngsvärdet.
b. !&. -satsen returnerar "true" om det utvärderade attributet inte finns i indatasträngsvärdet.
c. ENDS_WITH. -satsen returnerar "true" om det utvärderade attributet slutar med indatasträngsvärdet.
d. ÄR LIKA MED. -satsen returnerar "true" om det utvärderade attributet matchar indatasträngvärdet exakt (skiftlägeskänsligt).
e. Greater_Than. -satsen returnerar "true" om det utvärderade attributet är större än värdet. Värdet som anges i omfångsfiltret måste vara ett heltal och attributet för användaren måste vara ett heltal [0,1,2,...].
f. Greater_Than_OR_EQUALS. -satsen returnerar "true" om det utvärderade attributet är större än eller lika med värdet. Värdet som anges i omfångsfiltret måste vara ett heltal och attributet för användaren måste vara ett heltal [0,1,2,...].
g. Innehåller. -satsen returnerar "true" om det utvärderade attributet innehåller strängvärdet (skiftlägeskänsligt) enligt beskrivningen här.
h. ÄR FALSKT. -satsen returnerar "true" om det utvärderade attributet innehåller ett booleskt värde av false.
i. ÄR INTE NULL. -satsen returnerar "true" om det utvärderade attributet inte är tomt.
j. ÄR NULL. -satsen returnerar "true" om det utvärderade attributet är tomt.
k. ÄR SANT. -satsen returnerar "true" om det utvärderade attributet innehåller ett booleskt värde av true.
l. ÄR INTE LIKA MED. Satsen returnerar "true" om det utvärderade attributet inte matchar indatasträngsvärdet (skiftlägeskänsligt).
m. INTE REGEX MATCH. -satsen returnerar "true" om det utvärderade attributet inte matchar ett mönster för reguljära uttryck. Det returnerar "false" om attributet är null/tomt.
n. REGEX MATCH. -satsen returnerar "true" om det utvärderade attributet matchar ett mönster för reguljära uttryck. Till exempel:
([1-9][0-9])
matchar ett tal mellan 10 och 99 (skiftlägeskänsligt).
Viktigt!
- IsMemberOf-filtret stöds inte för närvarande.
- Medlemsattributet för en grupp stöds inte för närvarande.
- Filtrering stöds inte för flervärdesattribut.
- Omfångsfilter returnerar "false" om värdet är null/tomt.
Du kan också upprepa steg 7–8 för att lägga till fler omfångssatser.
I Omfångsfilterrubrik lägger du till ett namn för omfångsfiltret.
Välj OK.
Välj OK igen på skärmen Omfångsfilter . Du kan också upprepa steg 6–11 för att lägga till ytterligare ett omfångsfilter.
Välj Spara på skärmen Attributmappning .
Viktigt!
Om du sparar ett nytt omfångsfilter utlöses en ny fullständig synkronisering för programmet, där alla användare i källsystemet utvärderas igen mot det nya omfångsfiltret. Om en användare i programmet tidigare var i omfånget för etablering, men faller utanför omfånget, inaktiveras eller avetableras deras konto i programmet. Om du vill åsidosätta det här standardbeteendet läser du Hoppa över borttagning för användarkonton som inte omfattas av omfånget.
Vanliga omfångsfilter
Målattribut | Operator | Värde | beskrivning |
---|---|---|---|
userPrincipalName | REGEX MATCH | .*\@domain.com |
Alla användare med userPrincipal som har domänen @domain.com är i omfånget för etablering. |
userPrincipalName | INTE REGEX MATCH | .*\@domain.com |
Alla användare med userPrincipal som har domänen @domain.com är utanför omfånget för etablering. |
Avdelning | MOTSVARAR | sales |
Alla användare från försäljningsavdelningen är i omfånget för etablering |
workerID | REGEX MATCH | (1[0-9][0-9][0-9][0-9][0-9][0-9]) |
Alla anställda med workerID mellan 10000000 och 20000000 är i omfånget för etablering. |
Relaterade artiklar
- Automatisera användaretablering och avetablering till SaaS-program
- Anpassa attributmappningar för användaretablering
- Skriva uttryck för attributmappningar
- Meddelanden om kontoetablering
- Använd SCIM för att aktivera automatisk etablering av användare och grupper från Microsoft Entra-ID till program
- Lista över självstudier om hur du integrerar SaaS-appar