Créer des règles de groupe
Vous pouvez créer une règle de groupe pour affecter un utilisateur à des groupes ou l'exclure d'un groupe. Vous pouvez créer des conditions de base ou le Okta Expression Language pour créer des règles.
Pour évaluer les attributs provenant de Workday, Active Directory ou d'autres sources, vous devez d'abord les mapper vers des attributs de profil utilisateur Okta.
Créer une règle de groupe
- Dans l'Admin Console, accédez à .
- Sélectionnez l'onglet Règles, puis cliquez sur Ajouter une règle.
- Nommez la règle.
- Pour la condition IF, sélectionnez l'une des options suivantes :
- Utiliser la condition de base : sélectionnez des options depuis les listes déroulantes pour créer une règle utilisant uniquement les attributs de la chaîne. Utilisez cette méthode pour créer des règles simples, comme celles d'un seul attribut ou d'un ou plusieurs groupes uniquement.
- Utiliser le Okta Expression Language (avancé) : sélectionnez cette option pour créer des règles complexes à l'aide d'expressions personnalisées.
- Vous pouvez créer des règles en utilisant les éléments suivants :
- Un ou plusieurs attributs
- Un ou plusieurs groupes
- Créer des règles à partir de combinaisons d'attributs et de groupes
- Consulter À propos de Okta Expression Language.
- Dans le champ Affecter ensuite à, saisissez les groupes uniques ou multiples auxquels l'utilisateur doit être affecté si la condition de la règle est remplie.
Vous pouvez affecter un utilisateur à un maximum de 100 groupes.
- Dans le champ Sauf les utilisateurs suivants, saisissez les noms des utilisateurs que vous souhaitez exclure de la règle.
Au maximum, 100 utilisateurs peuvent être exclus d'une règle.
Si un utilisateur géré par une règle est supprimé manuellement d'un groupe, l'utilisateur est automatiquement ajouté au champ Sauf les utilisateurs suivants de la règle.
- Cliquez sur Enregistrer.
Une fois qu'une règle est créée et enregistrée, elle est inactive par défaut. Après l'avoir activée, la règle est appliquée à l'ensemble de votre org. La nouvelle règle est ensuite exécutée sur un utilisateur lorsque son profil est mis à jour, que ce soit par l'importation, la mise à jour directe ou d'autres modifications. La règle ne déplace pas les utilisateurs qui sont dans les états En attente ou Inactif. Si vous commettez une erreur lors de la création d'une règle de groupe, la règle de groupe est considérée comme non valide et ne peut pas être dans un état Active.
À propos du Okta Expression Language
Vous pouvez utiliser le Okta Expression Language pour ajouter une expression personnalisée à une règle de groupe. Les expressions personnalisées vous permettent d'affiner vos conditions, en faisant référence à un ou plusieurs attributs. Consulter Okta Expression Language.
Par exemple, vous pouvez appliquer le statut de utilisateur (user.getInternalProperty("status")) dans une règle de groupe pour gérer l'appartenance à un groupe. Une fois que cette règle est activée, tous les utilisateurs avec le statut spécifié sont inclus dans le groupe cible. Consultez Statut et identifiant d'utilisateur Okta pour passer en revue les valeurs prises en charge par cette fonction.
Si un statut utilisateur est spécifié, seuls les utilisateurs correspondant à ce statut d'utilisateur seront inclus dans le groupe cible. Si le statut de utilisateur n'est pas spécifié, seuls les utilisateurs actifs sont inclus dans le groupe cible.
contraintes
Les conditions de règles de groupe comportent les contraintes suivantes :
- Les expressions doivent utiliser le Okta Expression Language (OEL).
- Les expressions doivent avoir une syntaxe valide et utiliser des opérateurs logiques.
- Les expressions doivent donner une valeur booléenne.
- Les expressions ne peuvent pas contenir d'opérateur d'affectation =.
- Les attributs utilisateur utilisés dans les expressions ne peuvent référer qu'à des attributs utilisateur Okta.
- Seuls les attributs group et utilisateur sont pris en charge.
- Les attributs Application ne sont pas pris en charge.
Fonctions prises en charge
Le Okta Expression Language prend en charge la plupart des fonctions, notamment les suivantes :
- Opérateurs booléens : AND, OR, ! (NOT)
- Opérateurs arithmétiques : <, >, <=, >=
- Contrôle d'égalité : ==
Exemples d'expressions aux conditions valides
Supposons que l'utilisateur possède les attributs suivants avec ces types :
- firstName (chaîne)
- lastName (chaîne)
- city (chaîne)
- salary (nombre entier)
- isContractor (booléen)
Le tableau suivant fournit des exemples d'expressions : Lorsqu'une expression est définie sur true pour un utilisateur, l'affectation spécifiée est effectuée.
|
Si (implicite) |
Expression de la condition |
Affecter à un groupe (ou toute autre action) |
|---|---|---|
| Si | String.stringContains(user.department, "Sales") | Commercial |
| Si | user.city == "San Francisco" | SFOffice |
| Si | user.salary > 1000000 | expensiveEmployee |
| Si | ! user.isContractor | fullTimeEmployees |
| Si | user.salary > 1000000 AND !user.isContractor | expensiveFullTimeEmployee |