(0) exportieren Drucken
Alle erweitern

Regelgruppen und Regeln

Veröffentlicht: April 2011

Letzte Aktualisierung: Mai 2011

Betrifft: Windows Azure

In Zugriffssteuerungsdienst (ACS) für Windows Azure AppFabric ist eine Regelgruppe eine benannte Sammlung von Anspruchsregeln, die definiert, welche Identitätsansprüche von Identitätsanbietern an Ihre Anwendung der vertrauenden Seite übergeben werden. In ACS werden Regelgruppen Anwendungen der vertrauenden Seite zugeordnet. Eine Regelgruppe kann von mehreren Anwendungen der vertrauenden Seite verwendet werden, und eine Anwendung der vertrauenden Seite kann auf mehrere Regelgruppen verweisen.

Wenn ACS eine Tokenanforderung oder ein Token von einem Identitätsanbieter empfängt, durchläuft diese bzw. dieses alle Regelgruppen, die der Anwendung der vertrauenden Seite zugeordnet sind, um die Ansprüche im Token zu verarbeiten. Alle Regelgruppen werden ebenso wie alle Regeln in jeder Regelgruppe gleichzeitig verarbeitet (die Reihenfolge ist dabei unwichtig). Wenn die Regeln bewirken, dass nach dem Abschluss der Ausführung neue Ansprüche ausgestellt werden, werden die der Anwendung der vertrauenden Seite zugeordneten Regelgruppen erneut ausgeführt. Die Regel- und Regelgruppenausführung wird beendet, wenn nach dem Abschluss der Ausführung keine neuen Ansprüche ausgestellt werden oder zehn Ausführungen von ACS abgeschlossen wurden (je nachdem, welcher Fall zuerst eintritt).

Sie können Regeln und Regelgruppen manuell mithilfe des ACS-Verwaltungsportals oder programmgesteuert mithilfe des ACS-Verwaltungsdiensts erstellen und bearbeiten.

Konfiguration mithilfe des ACS-Verwaltungsportals

Erstellen von Regelgruppen

Wenn Sie die Eigenschaften einer neuen Anwendung der vertrauenden Seite im ACS-Verwaltungsportal hinzufügen und konfigurieren, können Sie auch eine Regelgruppe erstellen, die dieser Anwendung der vertrauenden Seite zugeordnet ist, da die Option Neue Regelgruppe erstellen auf der Seite Anwendung der vertrauenden Seite hinzufügen des ACS-Verwaltungsportals standardmäßig aktiviert ist. Es wird dringend empfohlen, diese Option aktiviert zu lassen und auf diese Weise eine Standardregelgruppe für Ihre neue Anwendung der vertrauenden Seite zu erstellen. (Weitere Informationen finden Sie unter "Regelgruppen" in Anwendungen der vertrauenden Seite). Sie können auch mithilfe des Abschnitts Regelgruppen des ACS-Verwaltungsportals Regelgruppen hinzufügen. Wenn Sie Anwendungen der vertrauenden Seite mithilfe der Seite Anwendung der vertrauenden Seite hinzufügen hinzufügen, können Sie diese dann mindestens einer vorhandenen Regelgruppe hinzufügen.

Generieren von Regeln

Nachdem die Regelgruppe erstellt wurde, können Sie die Seite Regelgruppe bearbeiten des ACS-Verwaltungsportals zum automatischen Generieren von Regeln verwenden. Wenn Sie sich dafür entscheiden, Regeln automatisch zu generieren, werden Sie aufgefordert, die Identitätsanbieter auszuwählen, für die die Regeln generiert werden sollen. Wenn die Regelgruppe mit mindestens einer Anwendung der vertrauenden Seite verknüpft ist, werden die von diesen Anwendungen der vertrauenden Seite verwendeten Identitätsanbieter standardmäßig ausgewählt.

noteHinweis
Für WS-Verbundidentitätsanbieter wird eine Regel für jeden Anspruchstyp erstellt, der in den WS-Verbundmetadaten des Identitäsanbieters angeboten wird, und diese Regel durchläuft den Anspruchstyp und -wert. Für andere Identitätsanbieter werden Pass-Through-Regeln basierend auf einer Liste vordefinierter Anspruchstypen generiert.

Anzeigen, Hinzufügen und Bearbeiten von Regeln

Die Seite Regelgruppe bearbeiten des ACS-Verwaltungsportals zeigt alle Regeln in einer Tabelle an, in der die Spalten den Ausgabeanspruch für die Regel, den Anspruchaussteller (einen Identitätsanbieter oder ACS) und eine Beschreibung enthalten.

Wenn Sie auf eine beliebige Regel in der Tabelle klicken, werden Sie auf die Seite Anspruchsregel bearbeiten weitergeleitet, auf der die Regel bearbeitet werden kann. Klicken Sie auf Hinzufügen, um manuell eine neue Regel hinzuzufügen.

Anspruchsregeln

Anspruchsregeln beschreiben die Programmlogik, mit der ACS Eingabeansprüche in Ausgabeansprüche transformiert. Regeln sind in Regelgruppen enthalten, die Anwendungen der vertrauenden Seite zugeordnet sind und immer durchlaufen werden, wenn ein Token von ACS für eine Anwendung ausgestellt wird. Wenn eine Regelgruppe keine Regeln enthält, wird kein Token für die Anwendung der vertrauenden Seite ausgestellt. Normalerweise ist eine Regel für jeden Anspruchstyp erforderlich, den Sie für die Anwendung der vertrauenden Seite ausstellen möchten. Es ist möglich, nur eine Regel zu erstellen und zu verwenden, um alle Anspruchstypen und -werte zu durchlaufen. Durch die Verwendung einer Regel pro Anspruchstyp wird jedoch die Sicherheit verbessert, und Sie erhalten eine bessere Kontrolle über die Daten, die Ihre Anwendung durchlaufen.

In ACS können Sie eine Regel so konfigurieren, dass sie einen von einem Identitätsanbieter oder Client empfangenen Anspruch an die Anwendung der vertrauenden Seite übergibt, ohne den Typ, Aussteller oder Wert des Anspruchs zu ändern. Diese Regeln werden als Pass-Through-Regeln bezeichnet. Von Windows Live ID ausgestellte Token enthalten z. B. einen Anspruchstyp "nameidentifier". Wenn Sie diesen Anspruch unverändert an die Anwendung der vertrauenden Seite übergeben möchten, müssen Sie eine Pass-Through-Regel konfigurieren, die den Eingabeanspruchstyp "nameidentifier" vom Anspruchsaussteller "Windows Live ID" verarbeitet und einen identischen Ausgabeanspruch erstellt (der Anspruchstyp und -wert werden nicht verändert).

Die Tabelle unten zeigt, wie Ansprüche mittels Pass-Through von einem fiktionalen AD FS 2.0-Identitätsanbieter namens Contoso.com übergeben werden.

 

Eingabeansprüche Ausgabeansprüche

Aussteller

Typ

Wert

Aussteller

Typ

Wert

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Zugriffssteuerungsdienst

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

Zugriffssteuerungsdienst

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

John Doe

Zugriffssteuerungsdienst

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

John Doe

Das ACS-Regelmodul ermöglicht Ihnen basierend auf dem Anspruchsaussteller, dem Eingabeanspruchstyp und dem -wert außerdem die Transformation von Eingabeansprüchen in vollkommen andere Ausgabeansprüche. Anders ausgedrückt, erlaubt das ACS-Regelmodul die Transformation von Eingabetoken in andere Ausgabetoken durch Hinzufügen, Entfernen oder Ändern der Ansprüche, die die Token enthalten. Durch diese Form der Anspruchstransformation kann ACS Basisautorisierung basierend auf Anspruchseingabewerten implementieren. Das Beispiel unten zeigt einen Anspruchstyp "role" mit dem Wert "administrator", der ausgegeben wird, wenn der Eingabeanspruch "nameidentifier" mit einem bestimmten Wert übereinstimmt.

 

Eingabeansprüche Ausgabeansprüche

Aussteller

Typ

Wert

Aussteller

Typ

Wert

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Zugriffssteuerungsdienst

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Administrator

Das ACS-Regelmodul bietet außerdem die Möglichkeit, Ausgabeansprüche basierend auf einer Verbindung von zwei Eingabeansprüchen zu erstellen. Im Beispiel unten ist der Ausgabeanspruch vom Typ "action" mit dem Wert "write", wenn die Eingabeansprüche "nameidentifier" und "role" von Contoso.com beide mit bestimmten Werten übereinstimmen. Wenn in einer Regel zwei Eingabeansprüche angegeben werden, müssen beide Werte übereinstimmen, damit der Ausgabeanspruch generiert wird.

 

Eingabeansprüche Ausgabeansprüche

Aussteller

Typ

Wert

Aussteller

Typ

Wert

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Zugriffssteuerungsdienst

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/action

write

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

administrator

Weitere Informationen und Anweisungen zum Implementieren von Tokentransformation mithilfe von Regeln finden Sie unter Vorgehensweise: Implementieren von Tokentransformationslogik mithilfe von Regeln.

Wenn Sie mithilfe des ACS-Verwaltungsportals neue Anspruchsregeln hinzufügen oder vorhandene Anspruchsregeln bearbeiten, müssen Sie die folgenden Einstellungen konfigurieren:

Regelbedingungen (wenn) – Hinzufügen eines Eingabeanspruchs

Dieser Abschnitt beschreibt die Bedingungen, die WAHR sein müssen, damit die Regel einen Ausgabeanspruch ausstellt. Es handelt sich um die folgenden Bedingungen:

  • Anspruchsaussteller - Bezieht sich auf die Entität, die den Eingabeanspruch ausgestellt hat. Dabei kann es sich um einen konfigurierten Identitätsanbieter (z. B. Windows Live ID) oder ACS handeln. ACS ist der Aussteller, wenn der Eingabeanspruch von einer Dienstidentität oder aus einer anderen Anpruchsregel stammt. Weitere Informationen finden Sie unter Dienstidentitäten.

  • Eingabeanspruchstyp - Bezieht sich auf den Eingabeanspruchstyp, der vom Anspruchsaussteller empfangen wurde. Der vollständige Anspruchstyp für die Angabe "nameidentifier" ist z. B. http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Die Optionen für dieses Feld sind:

    • Beliebig - Gibt WAHR zurück, wenn ein beliebiger Anspruchstyp vom Aussteller empfangen wird.

    • Typ auswählen - Gibt WAHR zurück, wenn der Eingabeanspruchstyp mit dem im Dropdownmenü ausgewählten Typ übereinstimmt. Dieses Menü wird mit den verfügbaren Anspruchstypen für den ausgewählten Anspruchsaussteller aufgefüllt.

    • Typ eingeben - Gibt WAHR zurück, wenn der Eingabeanspruchstyp mit dem in das Feld eingegebenen Wert identisch ist.

      ImportantWichtig
      Für dieses Feld wird zwischen Groß- und Kleinschreibung unterschieden.

  • Eingabeanspruchswert - Bezieht sich auf den Wert des empfangenen Eingabeanspruchs. Der Anspruchstyp "nameidentifier" verwendet z. B. eine E-Mail-Adresse als Wert, und dieses Feld kann verwendet werden, um zu überprüfen, ob eine bestimmte E-Mail-Adresse vorhanden ist. Die Optionen für dieses Feld sind:

    • Beliebig - Gibt WAHR zurück, wenn ein beliebiger Anspruchswert vom Aussteller empfangen wird.

    • Wert eingeben - Gibt WAHR zurück, wenn der Eingabeanspruchstyp mit dem in das Feld eingegebenen Wert identisch ist. Für diese Option ist es erforderlich, dass ein bestimmter Eingabeanspruchstyp ausgewählt ist oder in das Feld Eingabeanspruchstyp eingegeben wird.

      ImportantWichtig
      Für dieses Feld wird zwischen Groß- und Kleinschreibung unterschieden.

Regelbedingungen (wenn) – Hinzufügen eines zweiten Eingabeanspruchs

Klicken Sie auf Zweiten Eingabeanspruch hinzufügen, um der Regel einen zweiten Anspruch hinzuzufügen. Auf diese Weise können Sie die unten gezeigten zusätzlichen Bedingungen angeben. Beachten Sie, dass in einer Regel zwei Eingabeansprüchen alle Werte WAHR sein müssen, damit der Ausgabeanspruch generiert wird.

  • Anspruchsaussteller - Bezieht sich auf die Entität, die den zweiten Eingabeanspruch ausgestellt hat. Dabei kann es sich um den gleichen Identitätsanbieter handeln, der für den ersten Anpruch ausgewählt wurde, oder um ACS. Wählen Sie ACS aus, um Ansprüche anzugeben, die von anderen Anspruchsregeln während der Regelverarbeitung generiert wurden.

    ImportantWichtig
    Zwei verschiedene Identitätsanbieter können für den ersten und den zweiten Anspruch nicht ausgewählt werden, weil die Regelverarbeitung jeweils nur für ein Token auftritt, das von einem Identitätsanbieter ausgestellt wurde.

  • Eingabeanspruchstyp - Bezieht sich auf den Eingabeanspruchstyp, der vom Anspruchsaussteller empfangen wurde. Der vollständige Anspruchstyp für die Angabe "nameidentifier" ist z. B. http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Die Optionen für dieses Feld sind:

    • Typ auswählen - Gibt WAHR zurück, wenn der Eingabeanspruchstyp mit dem im Dropdownmenü ausgewählten Typ übereinstimmt. Dieses Menü wird mit den verfügbaren Anspruchstypen für den ausgewählten Anspruchsaussteller aufgefüllt.

    • Typ eingeben - Gibt WAHR zurück, wenn der Eingabeanspruchstyp mit dem in das Feld eingegebenen Wert identisch ist.

      ImportantWichtig
      Für dieses Feld wird zwischen Groß- und Kleinschreibung unterschieden.

  • Eingabeanspruchswert - Bezieht sich auf den Wert des empfangenen Eingabeanspruchs. Der Anspruchstyp "nameidentifier" verwendet z. B. eine E-Mail-Adresse als Wert, und dieses Feld kann verwendet werden, um zu überprüfen, ob eine bestimmte E-Mail-Adresse vorhanden ist. WAHR wird zurückgegeben, wenn der Eingabeanspruchstyp mit dem in das Feld eingegebenen Wert identisch ist.

    ImportantWichtig
    Für dieses Feld wird zwischen Groß- und Kleinschreibung unterschieden.

Regelaktionen (dann)

In diesem Abschnitt werden die Ausgabeansprüche beschrieben, die von ACS ausgestellt werden, wenn die Bedingungen im Abschnitt WENN der Regel WAHR sind. Die folgenden Ausgabeanspruchsoptionen sind verfügbar:

  • Ausgabeanspruchstyp - Der von ACS ausgestellte Anspruchstyp. Die folgenden Optionen sind für dieses Feld verfügbar:

    • Pass-Through-Eingabeanspruchstyp - Stellt einen Ausgabeanspruch aus, der den gleichen Typ wie der Eingabeanspruch aufweist.

    • Typ auswählen - Stellt einen Ausgabeanspruch des angegebenen Typs aus. Das Dropdownmenü enthält eine Liste häufig verwendeter Anspruchstypen.

    • Typ eingeben - Stellt einen Anspruch des eingegebenen Typs aus. Wenn der Ausgabeanspruch in einem SAML-Token vorhanden sein muss, muss es sich bei diesem Wert um einen URI handeln (z. B. http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier).

      ImportantWichtig
      Für dieses Feld wird zwischen Groß- und Kleinschreibung unterschieden.

  • Ausgabeanspruchswert - Bezieht sich auf den Wert des von ACS ausgestellten Ausgabeanspruchs. Die folgenden Optionen sind für dieses Feld verfügbar:

    • Pass-Through-Eingabeanspruchswert - Stellt einen Ausgabeanspruch aus, dessen Wert mit dem Wert des Eingabeanspruchs identisch ist.

    • Wert eingeben - Stellt einen Anspruch mit dem in dieses Feld eingegebenen Wert aus. Für diese Option ist es erforderlich, dass ein bestimmter Eingabeanspruchstyp ausgewählt ist oder in das Feld Ausgabeanspruchstyp eingegeben wird.

      ImportantWichtig
      Für dieses Feld wird zwischen Groß- und Kleinschreibung unterschieden.

Regelinformationen

Mithilfe dieses Abschnitts können Sie eine Beschreibung für eine Regel erstellen.

noteHinweis
In ACS werden für die generierten Regeln nicht automatisch Regelbeschreibungen erstellt.

Siehe auch

Anzeigen:
© 2014 Microsoft