Condividi tramite


Definire l'ambito degli utenti o gruppi di cui effettuare il provisioning con i filtri per la definizione dell’ambito

Informazioni su come usare i filtri per la definizione dell’ambito nel servizio di provisioning di Microsoft Entra per definire regole basate su atttributi. Le regole vengono usate per individuare gli utenti o i gruppi di cui viene effettuato il provisioning.

Casi d'uso dei filtri di ambito

Informazioni su come usare i filtri per la definizione dell’ambito per evitare che venga effettuato il provisioning di oggetti inclusi nelle app che supportano il provisioning automatico degli utenti se un oggetto non soddisfa i requisiti aziendali. Un filtro per la definizione dell’ambito consente di includere o escludere tutti gli utenti che hanno un attributo che corrisponde a un valore specifico. Ad esempio, quando si effettua il provisioning di utenti di Microsoft Entra ID in un'applicazione SaaS usata da un team vendite, è possibile specificare che solo gli utenti con un attributo "Reparto" di "Vendite" siano inclusi nell'ambito del provisioning.

I filtri di ambito possono essere usati in modo diverso a seconda del tipo di connettore di provisioning:

  • Provisioning in uscita da Microsoft Entra ID ad applicazioni SaaS. Quando Microsoft Entra ID è il sistema di origine, le assegnazioni di utenti e gruppi sono il metodo più comune per determinare quali utenti sono inclusi nell'ambito del provisioning. Queste assegnazioni vengono usate anche per l'abilitazione dell'accesso Single Sign-On e offrono un unico metodo per gestire l'accesso e il provisioning. I filtri di ambito possono essere usati facoltativamente, oltre o in sostituzione delle assegnazioni, per filtrare gli utenti in base ai valori di attributo.

    Suggerimento

    Il processo di sincronizzazione può richiedere più tempo se l’ambito del provisioning include un numero elevato di utenti e gruppi. L'impostazione dell'ambito per la sincronizzazione di utenti e gruppi assegnati, la limitazione del numero di gruppi assegnati all'app e la limitazione delle dimensioni dei gruppi ridurrà il tempo necessario per sincronizzare tutti gli utenti inclusi nell'ambito.

  • Provisioning in ingresso da applicazioni di Gestione connessione ibrida a Microsoft Entra ID e Active Directory. Quando il sistema di origine è un'applicazione di Gestione connessione ibrida come Workday, i filtri per la definizione dell’ambito sono il metodo principale usato per determinare quali utenti devono essere inclusi nel provisioning dall'applicazione di Gestione connessione ibrida ad Active Directory o Microsoft Entra ID.

Per impostazione predefinita, i connettori di provisioning di Microsoft Entra non dispongono di filtri per la definizione dell’ambito basati su attributi configurati.

Quando Microsoft Entra ID è il sistema di origine, le assegnazioni di utenti e gruppi sono il metodo più comune per determinare quali utenti sono inclusi nell'ambito del provisioning. È consigliabile ridurre il numero di utenti nell'ambito per migliorare le prestazioni e la sincronizzazione degli utenti e gruppi assegnati anziché sincronizzare tutti gli utenti e i gruppi.

I filtri per la definizione dell’ambito possono essere usati facoltativamente in aggiunta alla definizione dell'ambito in base all'assegnazione. Un filtro per la definizione dell’ambito consente a Microsoft Entra di effettuare il provisioning del servizio per includere o escludere gli utenti che hanno un attributo che corrisponde a un valore specifico. Ad esempio, quando si effettua il provisioning di utenti di un team vendite, è possibile specificare che solo gli utenti con un attributo "Reparto" di "Vendite" devono essere inclusi nell'ambito del provisioning.

Creazione di un filtro di ambito

Un filtro di ambito è costituito da una o più clausole. Le clausole determinano gli utenti che verranno restituiti dal filtro di ambito valutando gli attributi di ogni utente. Ad esempio, se una clausola richiede che l'attributo "Stato" di un utente sia uguale a "Italia", nell'applicazione viene eseguito il provisioning solo degli utenti italiani.

Una sola clausola definisce una sola condizione per un singolo valore dell'attributo. Se vengono create più clausole in un singolo filtro per la definizione dell’ambito, queste vengono valutate insieme con la logica "AND". La logica “AND” implica che tutte le clausole devono restituire "true" perché venga effettuato il provisioning di un utente.

Infine, è possibile creare più filtri di ambito per una singola applicazione. Se sono presenti più filtri di ambito, questi vengono valutati insieme con la logica "OR". La logica “OR” implica che se tutte le clausole in un qualsiasi filtro per la definizione dell’ambito configurato restituiscono "true", viene effettuato il provisioning dell’utente.

Ogni utente o gruppo elaborato dal servizio di provisioning di Microsoft Entra viene sempre valutato singolarmente in base a ogni filtro per la definizione dell’ambito.

Vedere ad esempio il filtro di ambito seguente:

Filtro per la definizione dell'ambito

In base a questo filtro di ambito, gli utenti devono soddisfare i criteri seguenti per poterne effettuare il provisioning:

  • Devono trovarsi a New York.
  • Devono lavorare nel reparto Engineering.
  • L'ID del dipendente aziendale deve essere compreso tra 1.000.000 e 2.000.000.
  • La posizione non deve essere null o vuota.

Creare filtri di ambito

I filtri per la definizione dell’ambito vengono configurati come parte dei mapping degli attributi per ogni connettore di provisioning degli utenti di Microsoft Entra. La procedura seguente presuppone che sia già stato configurato il provisioning automatico per una delle applicazioni supportate e che si aggiunga un filtro di ambito per tale applicazione.

Creare un filtro di ambito

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
  1. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.

  2. Selezionare l'applicazione per cui è stato configurato il provisioning automatico, ad esempio "ServiceNow".

  1. Passare a Identità>Identità esterne>Sincronizzazione tra tenant>Configurazioni.

  2. Selezionare la configurazione.

  1. Selezionare la scheda Provisioning.
  1. Nella sezione Mapping selezionare il mapping per cui si vuole configurare un filtro per la definizione dell’ambito, ad esempio "Sincronizzare gli utenti di Microsoft Entra in ServiceNow”.
  1. Nella sezione Mapping selezionare il mapping per cui si vuole configurare un filtro per la definizione dell’ambito, ad esempio "Effettuare il provisioning degli utenti di Microsoft Entra".
  1. Selezionare il menu Ambito dell'oggetto di origine.

  2. Selezionare Aggiungi filtro di ambito.

  3. Definire una clausola selezionando un'origine Nome attributo, un Operatore e un Valore dell'attributo da confrontare. Sono supportati gli operatori seguenti:

    a. &. La clausola restituisce "true" se l'attributo valutato esiste nel valore della stringa di input.

    b. !&. La clausola restituisce "true" se l'attributo valutato non esiste nel valore della stringa di input.

    c. ENDS_WITH. La clausola restituisce "true" se l'attributo valutato termina con il valore della stringa di input.

    d. EQUALS (È UGUALE A). La clausola restituisce "true" se l'attributo valutato corrisponde esattamente al valore della stringa di input (con distinzione tra maiuscole e minuscole).

    e. Greater_Than. La clausola restituisce "true" se l'attributo valutato è maggiore del valore. Il valore specificato nel filtro per la definizione dell’ambito deve essere un numero intero e l'attributo dell'utente deve essere un numero intero [0,1,2,...].

    f. Greater_Than_OR_EQUALS. La clausola restituisce "true" se l'attributo valutato è maggiore o uguale al valore. Il valore specificato nel filtro per la definizione dell’ambito deve essere un numero intero e l'attributo dell'utente deve essere un numero intero [0,1,2,...].

    g. Includes. La clausola restituisce "true" se l'attributo valutato contiene il valore stringa (con distinzione tra maiuscole e minuscole), come descritto qui.

    h. IS FALSE (È FALSO). La clausola restituisce "true" se l'attributo valutato contiene un valore booleano false.

    i. IS NOT NULL (NON È NULL). La clausola restituisce "true" se l'attributo valutato non è vuoto.

    j. IS NULL (È NULL). La clausola restituisce "true" se l'attributo valutato è vuoto.

    k. IS TRUE (È VERO). La clausola restituisce "true" se l'attributo valutato contiene un valore booleano true.

    l. NOT EQUALS (DIVERSO DA). La clausola restituisce "true" se l'attributo valutato non corrisponde al valore della stringa di input (con distinzione tra maiuscole e minuscole).

    m. NOT REGEX MATCH (NESSUNA CORRISPONDENZA REGEX). La clausola restituisce "true" se l'attributo valutato non corrisponde a un modello di espressione regolare. Restituisce "false" se l'attributo è null/vuoto.

    n. REGEX MATCH (CORRISPONDENZA REGEX). La clausola restituisce "true" se l'attributo valutato corrisponde a un modello di espressione regolare. Ad esempio: ([1-9][0-9]) corrisponde a qualsiasi numero compreso tra 10 e 99 (distinzione tra maiuscole e minuscole).

Importante

  • Il filtro IsMemberOf non è attualmente supportato.
  • L'attributo members in un gruppo non è attualmente supportato.
  • Il filtro non è supportato per gli attributi multivalore.
  • I filtri per la definizione dell’ambito restituiranno "false" se il valore è null/vuoto.
  1. Facoltativamente, ripetere i passaggi 7 e 8 per aggiungere altre clausole di ambito.

  2. In Titolo filtro di ambito aggiungere un nome per il filtro di ambito.

  3. Seleziona OK.

  4. Selezionare di nuovo OK nella schermata Filtri di ambito. Facoltativamente, ripetere i passaggi da 6 a 11 per aggiungere un altro filtro di ambito.

  5. Selezionare Salva nella schermata Mapping attributi.

Importante

Il salvataggio di un nuovo filtro di ambito attiva una nuova sincronizzazione completa per l'applicazione, in cui tutti gli utenti del sistema di origine vengono nuovamente valutati rispetto al nuovo filtro di ambito. Se un utente nell'applicazione era precedentemente incluso nell'ambito per il provisioning, ma non rientra più nell'ambito, l'account verrà disabilitato o ne verrà eseguito il deprovisioning nell'applicazione. Per eseguire l'override di questo comportamento predefinito, fare riferimento all'articolo Ignorare l'eliminazione di account utente che non rientrano nell'ambito.

Filtri per la definizione dell’ambito comuni

Target Attribute Operatore Valore Descrizione
userPrincipalName REGEX MATCH .*\@domain.com Tutti gli utenti con userPrincipal che hanno il dominio @domain.com rientrano nell'ambito del provisioning.
userPrincipalName NOT REGEX MATCH .*\@domain.com Tutti gli utenti con userPrincipal che hanno il dominio @domain.com non rientrano nell'ambito del provisioning.
department EQUALS sales Tutti gli utenti del reparto vendite rientrano nell'ambito del provisioning
workerID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) Tutti i dipendenti con un workerID compreso tra 1000000 e 200000 sono inclusi nell'ambito del provisioning.