Exporter (0) Imprimer
Développer tout
Ce sujet n'a pas encore été évalué - Évaluez ce sujet

Groupes de règles et règles

Publication: avril 2011

Mis à jour: mai 2011

S'applique à: Windows Azure

Dans Service de contrôle d'accès Windows Azure AppFabric, un groupe de règles est un ensemble de règles de revendication nommé qui définit quelles sont les revendications d'identité qui sont transférées des fournisseurs d'identité à votre application de partie de confiance. Dans ACS, les groupes de règles sont associés aux applications des parties de confiance. Un groupe de règles peut être utilisé par plusieurs applications de partie de confiance et une application de partie de confiance peut faire référence à plusieurs groupes de règles.

Lorsque ACS reçoit une demande de jetons ou un jeton de la part d'un fournisseur d'identité, il s'exécute dans tous les groupes de règles associés à l'application d'approbation pour traiter les revendications dans le jeton. Tous les groupes de règles sont exécutés simultanément, comme toutes les règles de chaque groupe de règles (peu importe l'ordre). Si les règles entraînent l'émission de nouvelles revendications à la fin de l'exécution, les groupes de règles associés à l'application d'approbation s'exécutent à nouveau. Le processus d'exécution des règles et des groupes de règles cesse lorsqu'aucune nouvelle revendication n'est émise après la fin du processus d'exécution ou lorsque ACS a terminé dix exécutions (peu importe ce qui arrive en premier).

Vous pouvez créer et modifier des règles et des groupes de règles soit manuellement, à l'aide du portail de gestion de ACS, soit par programme, à l'aide du service de gestion de ACS.

Configuration à l'aide du portail de gestion ACS

Création des groupes de règles

Lorsque vous ajoutez et configurez les propriétés d'une nouvelle application de parties de confiance dans le portail de gestion ACS, vous pouvez également créer un groupe de règles qui y est associé, puisque, par défaut, l'option Créer un nouveau groupe de règles est cochée sur la page Ajouter une application d'approbation du portail de gestion de ACS. Il est fortement recommandé de laisser cette option sélectionnée et, par conséquent, de créer un groupe de règles par défaut pour votre nouvelle application par partie de confiance. (Pour plus d'informations, consultez la section « Groupes de règles » de la rubrique Applications par partie de confiance.) Vous pouvez également ajouter des groupes de règles à l'aide de la section Groupes de règles du portail de gestion ACS. Ensuite, puisque vous ajoutez des applications de partie de confiance à l'aide de la page Ajouter une application de la partie de confiance, vous pouvez les associer à un ou plusieurs groupes de règles existants.

Génération des règles

Après après avoir créé un groupe, vous pouvez utiliser la page Modifier le groupe de règles du portail de gestion ACS pour générer automatiquement des règles. Si vous décidez de les générer automatiquement, vous êtez invité à sélectionner les fournisseurs d'identité pour lesquels vous souhaitez générer les règles. Lorsque le groupe de règles est lié à une ou plusieurs applications de partie de confiance, les fournisseurs d'identité utilisés par ces dernières sont sélectionnés par défaut.

noteRemarque
Pour les fournisseurs d'identité WS-Federation, une règle est créée pour chaque type de revendication proposée dans les métadonnées WS-Federation du fournisseur d'identité et cette règle transfère le type et la valeur de la revendication. Pour les autres fournisseurs d'identité, les règles de passage sont générées selon une liste de types de revendications déterminés à l'avance.

Visualiser, ajouter et modifier des règles

La page Modifier le groupe de règles du portail de gestion ACS affiche toutes les règles d'une table, où les colonnes incluent la Revendication de sortie pour la règle, l'émetteur de la règle (peut être un fournisseur d'identité ou ACS) et une Description.

Si vous cliquez sur une règle donnée dans le tableau, vous êtes redirigé vers la page Modifier la règle de revendication, où la règle peut être modifée. Pour ajouter une nouvelle règle manuellement, vous pouvez cliquer sur Ajouter.

Règles de revendication

Les règles de revendication décrivent la logique selon laquelle ACS transforme les revendications d'entrée en revendications de sortie. Les règles sont contenues au sein des groupes de règles, qui sont associés aux applications de partie de confiance et sont exécutés chaque fois qu'un jeton est émis par ACS pour une application. Si un groupe de règles ne contient pas de règle, alors aucun jeton n'est émis à l'application de la partie de confiance. Généralement; une règle est requise pour chaque type de revendication que vous souhaitez émettre auprès de votre application de partie de confiance. Il est possible de créer et d'utiliser uniquement une règle pour transférer tous les types et toutes les valeurs des revendications. Cependant, l'utilisation d'une règle pour chaque type de revendication améliore la sécurité et permet un plus grand contrôle sur les données qui sont transmises à votre application.

Dans ACS, vous pouvez configurer une règle afin de transmettre une revendication reçue de la part d'un fournisseur d'identité ou d'un client à une application par partie de confiance sans changer le type, l'émetteur ou la valeur de la revendication. Ces règles sont appelées règles de passage. Par exemple, les jetons émis par Windows Live ID contiennent un type de revendication « nameidentifier ». Afin de transmettre cette revendication sans la changer à l'application de la partie de confiance, vous devez configurer une règle de passage qui traite le type de revendication d'entrée « nameidentifier » à partir de l'émetteur de la revendication « Windows Live ID » et créer une revendication de sortie identique (le type et la valeur de la revendication ne sont pas changés).

Le tableau ci-dessous illustre des revendications en cours de transfert depuis un fournisseur d'identité AD FS 2.0 fictif appelé Contoso.com.

 

Revendications entrantes Revendications sortantes

Émetteur

Type

Valeur

Émetteur

Type

Valeur

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Service de contrôle d'accès

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

Service de contrôle d'accès

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

John Doe

Service de contrôle d'accès

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

John Doe

Le moteur de règles ACS vous permet également de transformer les revendications d'entrée en revendications de sortie complètement différentes, en fonction de l'émetteur de la revendication, du type et de la valeur de revendication d'entrée. En d'autres termes, le moteur de règles ACS vous permet de transformer les jetons d'entrée en jetons de sortie différents en ajoutant, en supprimant ou en changeant les revendications contenues dans les jetons. Cette forme de transformation des revendications rend ACS capable d'implémenter des autorisations de base en fonction des valeurs d'entrée de la revendication. L'exemple suivant illustre un type de revendication « role » avec une valeur « administrator » envoyée en sortie si la revendication entrante « nameidentifier » correspond à une valeur spécifique.

 

Revendications entrantes Revendications sortantes

Émetteur

Type

Valeur

Émetteur

Type

Valeur

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Service de contrôle d'accès

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

administrator

Le moteur de règles ACS offre également la capacité de créer des revendications sortantes sur la base d'une conjonction de deux revendications entrantes. Dans l'exemple ci-dessous, la revendication sortante est du type « action » et possède la valeur « write » si les revendications « nameidentifier » et « role » de Contoso.com correspondent à des valeurs spécifiques. Lorsque deux revendications entrantes sont spécifiées dans une règle, les deux valeurs doivent correspondre pour générer la revendication sortante.

 

Revendications entrantes Revendications sortantes

Émetteur

Type

Valeur

Émetteur

Type

Valeur

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Service de contrôle d'accès

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/action

write

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

administrator

Pour plus d'informations et pour en savoir plus sur les étapes d'implémentation de la transformation des jetons à l'aide de règles, consultez la rubrique Implémentation de la logique de transformation des jetons à l'aide de règles.

Lorsque vous ajoutez de nouvelles règles de revendications ou modifiez les règles existantes avec le portail de gestion ACS, vous devez configurer les paramètres suivants :

Conditions de règle (si) – Ajout d'une revendication entrante

Cette section contient les conditions qui doivent être vraies pour que la règle émette une revendication de sortie. Ces conditions incluent les suivantes :

  • Émetteur de la revendication : indique l'entité qui a émis la revendication d'entrée. Il peut s'agir d'un fournisseur d'identité configuré (par exemple, Windows Live ID) ou d'ACS. ACS est l'émetteur si la revendication d'entrée provient d'une identité de service ou si la revendication d'entrée vient d'une autre règle de revendication. Pour plus d'informations, consultez la rubrique Identités de service.

  • Type de revendication d'entrée : indique le type de revendication d'entrée reçue de la part de l'émetteur de la revendication. Par exemple, le type de revendication complet pour le « nameidentifier » est http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Les options de ce champ comprennent :

    • Tous : renvoie « true » si tous les types de revendications sont reçus de la part de l'émetteur.

    • Sélectionner type : renvoie « true » si le type de revendication d'entrée correspond au type sélectionné dans le menu déroulant. Ce menu est renseigné par des types de revendications disponibles pour l'émetteur de la revendication sélectionné.

    • Entrer type : renvoie « true » si le type de revendication d'entrée correspond à la valeur exacte saisie dans le champ.

      ImportantImportant
      Ce champ est sensible à la casse.

  • Valeur de revendication d'entrée : indique le valeur de la revendication d'entrée reçue. Par exemple, le type de revendication « nameidentifier » utilise une adresse de messagerie étant donné que cette valeur et ce champ peuvent servir à vérifier une adresse de messagerie spécifique. Les options de ce champ comprennent :

    • Tout : renvoie « true » si toutes les valeurs de revendications sont retournées par l'émetteur.

    • Entrer valeur : renvoie « true » si le type de revendication d'entrée correspond à la valeur exacte saisie dans le champ. Cette option nécessite de sélectionner ou d'entrer un type de revendication d'entrée spécifique dans le champ Type de revendication d'entrée.

      ImportantImportant
      Ce champ est sensible à la casse.

Conditions de règle (si) – Ajout d'une deuxième revendication entrante

Pour ajouter une deuxième revendication à la règle, cliquez sur Ajouter une deuxième revendication entrante. Cette action vous permet de spécifier les conditions supplémentaires illustrées ci-dessous. Notez que dans une règle possédant deux revendications entrantes, toutes les conditions doivent avoir la valeur True afin de générer une revendication sortante.

  • Émetteur de la revendication : indique l'entité qui a émis la deuxième revendication entrante. Il peut s'agir du même fournisseur d'identité que celui sélectionné pour la première revendication, ou d'ACS. Sélectionnez ACS pour spécifier des revendications générées d'après d'autres règles de revendication lors du traitement des règles.

    ImportantImportant
    Il est impossible de sélectionner deux fournisseurs d'identité différents pour la première et la deuxième revendication étant donné que le traitement des règles se produit uniquement pour un seul jeton émis à partir d'un fournisseur d'identité à la fois.

  • Type de revendication d'entrée : indique le type de revendication entrante reçue de la part de l'émetteur de la revendication. Par exemple, le type de revendication complet pour le « nameidentifier » est http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Les options de ce champ comprennent :

    • Sélectionner type : renvoie « true » si le type de revendication entrante correspond au type sélectionné dans le menu déroulant. Ce menu est renseigné par les types de revendications disponibles pour l'émetteur de la revendication sélectionné.

    • Entrer type : renvoie « true » si le type de revendication entrante correspond à la valeur exacte saisie dans le champ.

      ImportantImportant
      Ce champ est sensible à la casse.

  • Valeur de revendication d'entrée : indique la valeur de la revendication entrante reçue. Par exemple, le type de revendication « nameidentifier » utilise une adresse de messagerie comme valeur et ce champ peut servir à vérifier une adresse de messagerie spécifique. Renvoie « true » si le type de revendication entrante correspond à la valeur exacte saisie dans le champ.

    ImportantImportant
    Ce champ est sensible à la casse.

Actions de règle (alors)

Cette section spécifie la revendication de sortie qui est émise par ACS si les conditions dans la section Si de la règle sont vraies. Les options de revendication de sortie comprennent les suivantes :

  • Type de revendication de sortie : le type de revendication qui est émis par ACS. Les options de ce champ comprennent les suivantes :

    • Type de revendication d'entrée de passage : émet une revendication de sortie qui est de même type que la revendication d'entrée.

    • Sélectionner type : émet une revendication de sortie du type spécifié. Le menu déroulant contient une liste des types de revendication courants.

    • Entrer type : émet une revendication du type entré. Si la revendication de sortie doit être présente dans un jeton SAML, cette valeur doit être une URI (par exemple, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier).

      ImportantImportant
      Ce champ est sensible à la casse.

  • Valeur de revendication de sortie : indique la valeur de la revendication de sortie émise par ACS. Les options de ce champ comprennent les suivantes :

    • Valeur de revendication d'entrée de passage : émet une revendication de sortie dont la valeur est identique à celle de la revendication d'entrée.

    • Entrer valeur : émet une revendication qui dispose de la valeur entrée dans ce champ. Cette option nécessite de sélectionner ou d'entrer un type de revendication d'entrée spécifique dans le champ Type de revendication de sortie.

      ImportantImportant
      Ce champ est sensible à la casse.

Informations concernant les règles

Vous pouvez utiliser cette section pour créer la description d'une règle.

noteRemarque
Dans ACS, les descriptions des règles ne sont pas automatiquement créées pour les règles générées.

Voir aussi

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft. Tous droits réservés.