构建SailPoint IdentityNow Azure广告源过滤器
3.3(66.67%) 9投票[s]

当您有一个大型的Azure广告租户时,您可能希望根据它包含的不同类型的标识来确定您的SailpointIdentityNow源的范围。使用筛选和范围界定Compass的《Azure AD源配置指南》的一节首先开始构造查询,就像我通常使用针对Microsoft Graph API的Azure AD一样。

然而,我对Microsoft Graph使用的查询/过滤器并不适用于Azure AD IdentityNow源代码。在聚合时,源连接器会抛出以下错误;

….java.lang.runtimeexception–sailpoint.connector.connector exception:发生异常。错误消息——processReadRequest中发生异常。错误–响应代码–400错误–错误请求属性“msGraphAADAttribute”不作为声明的属性或扩展属性存在.....

在与IdentityNow专业服务人员进行了一些讨论之后,我了解到IdentityNow Azure AD源连接器使用Azure AD v1图形API端点。

有了这些信息,我就可以使用Azure Active Directory v1图形API资源管理器,以开发查询,然后将工作的'用户过滤器'。这是非常快速和有用的。有关使用Azure AD过滤器的指导,请参考微软文档会让你开始。

Azure AD v1图形过滤器测试器.png

配置Azure AD源筛选器

为了为IdentityNow Azure AD源代码配置源过滤器,我使用PowerShell作为许多IdentityNow配置和自动化工具我之前写过的帖子

SAILPOINT IdentityNow身份验证

下面的脚本片段只显示了创建三个不同的Azure AD源过滤器的命令(如果您像我一样需要这三个过滤器,则需要配置三个不同的源,每个源上都有不同的过滤器)。为了使用这些API,您需要对SailPoint IdentityNow API进行身份验证。这篇文章使用PowerShell连接到SailPoint IdentityNow v3 API端点的详细信息。

下面显示了将Azure广告源范围缩小到特定用户类型的三个片段;

  • AAD客户账号(B2B)
  • AAD混合账户(内部部署广告和Azure广告)
  • AAD云只帐户

要更新源,您需要向更新源API发送一个post请求,其中rorg是租户组织名称,sourcennumber是要更新的源的编号(例如12345)。尸体是连接器用户过滤器具有筛选器值的属性。

https://yourOrg.api.identitynow.com/cc/api/source/update/SOURCENumber

混合账户

下面显示了在为Azure AD混合帐户的过滤器更新源之后返回对象的输出的尾部;

dirSyncEnabled eq true和userType eq 'member'

混合Users.PNG

Azure广告云只提供帐户

下面显示了更新Azure AD Cloud Only帐户筛选器的源之后返回对象的输出尾部;

dirsyncenabled eq false和usertype eq'member'

仅云用户.png

Azure广告客户(B2B)帐户

下面显示了更新Azure AD Cloud Only帐户筛选器的源之后返回对象的输出尾部;

用户类型eq“来宾”

B2B Guests.PNG

总结

了解IdentityNow Azure AD源所使用的API,我们就可以构造过滤器,将Azure AD源的范围限定为实现的特定用户。

类别:
身份和访问管理PowerShell
标签:

留下答复