Exportar (0) Imprimir
Expandir todo

Grupos de reglas y reglas

Publicada: abril de 2011

Actualizado: mayo de 2011

Se aplica a: Windows Azure

En Windows Azure AppFabric Access Control Service (ACS), un grupo de reglas es un conjunto con nombres de reglas de notificación que definen qué notificaciones de identidad se transmiten de los proveedores de identidades a la aplicación de usuario de confianza. En ACS, los grupos de reglas se asocian con aplicaciones de usuario de confianza. Un grupo de reglas puede ser usado por más de una aplicación de usuario de confianza, y una aplicación de usuario de confianza puede hacer referencia a más de un grupo de reglas.

Cuando ACS recibe una solicitud de token o un token de un proveedor de identidades, se ejecuta en todos los grupos de reglas asociados con la aplicación de usuario de confianza para procesar las notificaciones en el token. Todos los grupos de reglas se ejecutan simultáneamente, así como todas las reglas de cada grupo (el orden no importa). Si las reglas causan la emisión de cualquier nueva notificación antes de completarse la ejecución, los grupos de reglas asociados con la aplicación de usuario de confianza se ejecutan de nuevo. El proceso de ejecución de reglas y grupos de reglas se detiene cuando no se emite ninguna notificación nueva tras haberse completado el proceso de ejecución o después de que ACS haya completado diez ejecuciones (lo que ocurra primero).

Se pueden crear y editar grupos de reglas y reglas manualmente, mediante el portal de administración de ACS, o mediante programación, utilizando el servicio de administración de ACS.

Configuración con el portal de administración de ACS

Creación de grupos de reglas

Cuando se agregan y configuran las propiedades de una nueva aplicación de usuario de confianza en el portal de administración de ACS, también se puede crear un grupo de reglas asociado con esta aplicación, ya que, de forma predeterminada, la opción Crear nuevo grupo de reglas está seleccionada en la página Agregar aplicación de usuario de confianza del portal de administración de ACS. Se recomienda mantener esta opción seleccionada y crear un grupo de reglas predeterminado para la nueva aplicación de usuario de confianza. (Para obtener más información, vea "Grupos de reglas" en Aplicaciones de usuario de confianza.) También se pueden agregar grupos de reglas mediante la sección Grupos de reglas del portal de administración de ACS. A continuación, al agregar aplicaciones de usuario de confianza mediante la página Agregar aplicación de usuario de confianza, se pueden asociar con uno o varios grupos de reglas existentes.

Generación de reglas

Después de crear un grupo de reglas, se puede usar la página Editar grupo de reglas del portal de administración de ACS para generar reglas automáticamente. Si se decide generar reglas automáticamente, se solicita que seleccione los proveedores de identidades para los que se desean generar las reglas. Si el grupo de reglas se vincula con una o varias aplicaciones de usuario de confianza, los proveedores de identidades usados por estas aplicaciones de usuario de confianza se seleccionan de forma predeterminada.

noteNota
Para proveedores de identidades de WS-Federation, se crea una regla para cada tipo de notificación ofrecida en los metadatos de WS-Federation del proveedor de identidades, y esta regla se transmite al tipo y al valor de notificación. Para otros proveedores de identidades, las reglas de paso a través se generan en función de una lista de tipos de notificaciones predeterminadas.

Visualización, agregación y edición de reglas

En la página Editar grupo de reglas del portal de administración de ACS se muestran todas las reglas en una tabla, en que las columnas incluyen la Notificación de salida de la regla, el Emisor de la notificación (puede ser un proveedor de identidades o ACS), y una Descripción.

Si se hace clic en una regla determinada de la tabla, se pasa a la página Editar regla de notificación, en la que se puede editar la regla. Para agregar una nueva regla manualmente, haga clic en Agregar.

Reglas de notificación

Las reglas de notificación describen la lógica de cómo ACS transforma las notificaciones de entrada en notificaciones de salida. Las reglas se incluyen en grupos de reglas, que están asociados con aplicaciones de usuario de confianza y se ejecutan siempre que ACS emite un token para una aplicación. Si un grupo de reglas no contiene reglas, no se emite ningún token para la aplicación de usuario de confianza. Normalmente, se requiere una regla para cada tipo de notificación que se desea emitir para la aplicación de usuario de confianza. Es posible crear y usar sólo una regla para pasar todos los tipos y valores de notificación. Sin embargo, usando una regla para cada tipo de notificación se mejora la seguridad y proporciona un mayor control sobre los datos que se transmiten a la aplicación.

En ACS, se puede configurar una regla para transmitir una notificación recibida de un proveedor de identidades o cliente a la aplicación de usuario de confianza sin modificar el tipo, el emisor o el valor de la notificación. Estas reglas se denominan reglas de paso a través. Por ejemplo, los tokens emitidos por Windows Live ID contienen un tipo de notificación “nameidentifier”. Para transmitir esta notificación sin modificar a la aplicación de usuario de confianza, se debe configurar una regla de paso a través que procese el tipos de notificación de entrada “nameidentifier” del emisor de la notificación “Windows Live ID” y cree una notificación de salida idéntica (el tipo y el valor de la notificación no se modifican).

En la tabla siguiente se muestran las notificaciones que pasan de un proveedor de identidades ficticio de AD FS 2.0 denominado Contoso.com.

 

Notificaciones de entrada Notificaciones de salida

Emisor

Tipo

Valor

Emisor

Tipo

Valor

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Servicio de control de acceso

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

Servicio de control de acceso

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Juan García

Servicio de control de acceso

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Juan García

El motor de reglas de ACS también proporciona la capacidad de transformar notificaciones de entrada en notificaciones de salida completamente diferentes, en función del emisor de la notificación, el tipo de notificación de entrada y el valor. En otras palabras, el motor de reglas de ACS permite transformar los tokens de entrada en tokens de salida diferentes, agregando, quitando o modificando las notificaciones que los tokens contienen. Esta forma de transformación de notificaciones permite a ACS implementar la autorización básica según los valores de entrada de las notificaciones. En el ejemplo siguiente se muestra el tipo de notificación “rol” con el valor “administrador” como salida si la notificación entrante “nameidentifier” coincide con un valor específico.

 

Notificaciones de entrada Notificaciones de salida

Emisor

Tipo

Valor

Emisor

Tipo

Valor

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Servicio de control de acceso

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

administrador

El motor de reglas de ACS proporciona también la capacidad de crear notificaciones de salida basadas en la unión de dos notificaciones de entrada. En el ejemplo siguiente, la notificación de salida tiene el tipo “action” con el valor “write” si las notificaciones de entrada “nameidentifier” y “role” de Contoso.com coinciden con valores específicos. Si se especifican dos notificaciones de entrada en una regla, ambos valores deben coincidir para generar la notificación de salida.

 

Notificaciones de entrada Notificaciones de salida

Emisor

Tipo

Valor

Emisor

Tipo

Valor

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Servicio de control de acceso

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/action

escribir

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

administrador

Para obtener más información y los pasos para implementar la transformación de tokens mediante reglas, vea Procedimiento: Implementar la lógica de transformación de tokens mediante reglas.

Al agregar reglas de notificación nuevas o editar las existentes en el portal de administración de ACS, se debe configurar lo siguiente:

Condiciones de reglas (si) – Agregar una notificación de entrada

Esta sección contiene las condiciones que deben ser verdaderas para que la regla emita una notificación de salida. Estas condiciones incluyen las siguientes:

  • Emisor de la notificación: hace referencia a la entidad que ha emitido la notificación de entrada. Puede ser un proveedor de identidades configurado (por ejemplo, Windows Live ID) o ACS. ACS es el emisor si la notificación de entrada proviene de una identidad de servicio o de otra regla de notificación. Para obtener más información, vea Identidades de servicio.

  • Tipo de notificación de entrada: se refiere al tipo de notificación de entrada recibida del emisor de la notificación. Por ejemplo, el tipo de notificación completo de “nameidentifier” es http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Las opciones para este campo son:

    • Cualquiera: muestra el valor verdadero si se recibe cualquier tipo de notificación del emisor.

    • Seleccionar tipo: devuelve el valor verdadero si el tipo de notificación de entrada coincide con el tipo seleccionado en el menú desplegable. Este menú se rellena con los tipos de notificación disponibles para el emisor de notificaciones seleccionado.

    • Introducir tipo: devuelve el valor verdadero si el tipo de notificación de entrada coincide con el valor exacto introducido en el campo.

      ImportantImportante
      Este campo distingue entre mayúsculas y minúsculas.

  • Valor de notificación de entrada: se refiere al valor de la notificación de entrada recibida. Por ejemplo, el tipo de notificación “nameidentifier” usa una dirección de correo electrónico como valor y este campo se puede usar para comprobar una dirección de correo electrónico específica. Las opciones para este campo son:

    • Cualquiera: muestra el valor verdadero si se recibe cualquier valor de notificación del emisor.

    • Introducir valor: devuelve el valor verdadero si el valor de notificación de entrada coincide con el valor exacto introducido en el campo. Esta opción requiere que se seleccione o introduzca un tipo de notificación de entrada específico en el campo Tipo de notificación de entrada.

      ImportantImportante
      Este campo distingue entre mayúsculas y minúsculas.

Condiciones de reglas (si) – Agregar una segunda notificación de entrada

Para agregar una segunda notificación a la regla, haga clic en Agregar una segunda notificación de entrada. Esto le permitirá especificar las condiciones adicionales que se muestran a continuación. Tenga en cuenta que en una regla con dos notificaciones de entrada, se deben cumplir todas las condiciones para generar una notificación de salida.

  • Emisor de la notificación: hace referencia a la entidad que ha emitido la segunda notificación de entrada. Puede ser el mismo proveedor de identidades seleccionado para la primera notificación, o bien ACS. Seleccione ACS para especificar las notificaciones generadas desde otras reglas de notificación durante el procesamiento de reglas.

    ImportantImportante
    No se pueden seleccionar dos proveedores de identidades distintos para la primera y la segunda notificación, ya que el procesamiento de reglas se produce para un token emitido desde un proveedor de identidades cada vez.

  • Tipo de notificación de entrada: se refiere al tipo de notificación de entrada recibida del emisor de la notificación. Por ejemplo, el tipo de notificación completo de “nameidentifier” es http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Las opciones para este campo son:

    • Seleccionar tipo: devuelve el valor verdadero si el tipo de notificación de entrada coincide con el tipo seleccionado en el menú desplegable. Este menú se rellena con los tipos de notificación disponibles para el emisor de notificaciones seleccionado.

    • Introducir tipo: devuelve el valor verdadero si el tipo de notificación de entrada coincide con el valor exacto introducido en el campo.

      ImportantImportante
      Este campo distingue entre mayúsculas y minúsculas.

  • Valor de notificación de entrada: se refiere al valor de la notificación de entrada recibida. Por ejemplo, el tipo de notificación “nameidentifier” usa una dirección de correo electrónico como valor y este campo se puede usar para comprobar una dirección de correo electrónico específica. Devuelve el valor verdadero si el tipo de notificación de entrada coincide con el valor exacto introducido en el campo.

    ImportantImportante
    Este campo distingue entre mayúsculas y minúsculas.

Acciones de la regla (entonces)

En esta sección se especifica la notificación de salida que ACS emite si las condiciones de la sección Si son verdaderas. Las opciones de notificación de salida son las siguientes:

  • Tipo de notificación de salida: el tipo de notificación emitido por ACS. Las opciones para este campo son:

    • Tipo de notificación de entrada de paso a través: emite una notificación de salida del mismo tipo que la notificación de entrada.

    • Seleccionar tipo: emite una notificación de salida del tipo especificado. El menú desplegable contiene una lista de los tipos de notificación comunes.

    • Introducir tipo: emite una notificación del tipo introducido. Si la notificación de salida debe estar presente en un token SAML, este valor debe ser un URI (por ejemplo, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier).

      ImportantImportante
      Este campo distingue entre mayúsculas y minúsculas.

  • Valor de notificación de salida: se refiere al valor de la notificación de salida emitida por ACS. Las opciones para este campo son:

    • Valor de notificación de entrada de paso a través: emite una notificación de salida del mismo valor que la notificación de entrada.

    • Introducir valor: emite una notificación que tiene el valor introducido en este campo. Esta opción requiere que se seleccione o introduzca un tipo de notificación de entrada específico en el campo Tipo de notificación de salida.

      ImportantImportante
      Este campo distingue entre mayúsculas y minúsculas.

Información de las reglas

Se puede usar esta sección para crear una descripción para una regla.

noteNota
En ACS, las descripciones de reglas no se crean automáticamente para las reglas generadas.

Vea también

Mostrar:
© 2014 Microsoft