导出 (0) 打印
全部展开

如何:使用规则实现令牌转换逻辑

发布时间: 2011年4月

更新时间: 2011年5月

应用到: Windows Azure

适用于

  • Microsoft® Windows Azure™ AppFabric Access Control Service (ACS)

摘要

本主题介绍如何使用 ACS 管理门户创建描述从输入声明转换为输出声明的规则。

内容

  • 目标

  • 概述

  • 步骤摘要

  • 步骤 1 – 导航到管理门户的“规则组”页

  • 步骤 2 – 自动生成新规则

  • 步骤 3 – 创建传递规则

  • 步骤 4 – 创建高级转换规则

  • 步骤 5 – 检查可用规则组

  • 步骤 6 – 配置信赖方用于特定规则组

目标

  • 熟悉管理门户中与声明转换规则相关的部分。

  • 创建基本规则。

  • 创建高级规则。

  • 基于标识提供者声明创建规则。

  • 基于 ACS 声明创建规则。

概述

声明规则描述 ACS 如何将输入声明转换为输出声明的逻辑。规则包含在规则组中,规则组与信赖方应用程序关联,并在为某个应用程序将令牌颁发给 ACS 时执行。如果规则组不包含任何规则,则不会将任何令牌颁发给信赖方应用。

步骤摘要

若要为令牌声明转换创建规则,请使用以下步骤。请注意,针对您的需求和特定方案,一些步骤可能是可选步骤。

  • 步骤 1 – 导航到管理门户的“规则组”页

  • 步骤 2 – 自动生成新规则

  • 步骤 3 – 创建传递规则

  • 步骤 4 – 创建高级转换规则

  • 步骤 5 – 检查可用规则组

  • 步骤 6 – 配置信赖方用于特定规则组

步骤 1 – 导航到管理门户的“规则组”页

此步骤显示如何导航到管理门户的“规则组”页,规则在该页面中创建并添加到规则组。

导航到管理门户的“规则组”页面

  1. 导航到 https://windows.azure.com/ (http://go.microsoft.com/fwlink/?LinkID=129428)。

  2. 如果您未使用 Windows Live ID 进行身份验证,则系统将要求您执行此操作。

  3. 使用 Windows Live ID 进行身份验证后,您会重定向到 Windows Azure 平台门户。

  4. 单击“服务总线、访问控制与缓存”选项卡,然后单击 AppFabric 节点下方树中的“访问控制”节点。此时应显示命名空间列表。

  5. 通过单击相应命名空间选择所需的命名空间,然后单击“访问控制服务”功能区。此时应打开“访问控制服务”页中的一个新浏览器选项卡。

  6. “访问控制服务”页上,单击“规则组”链接。

步骤 2 – 自动生成新规则

此步骤显示如何生成基本的默认规则。

自动生成基本规则

  1. 如果您尚未导航到“规则组”页,请执行步骤 1 – 导航到管理门户的“规则组”页中概述的步骤执行此操作。

  2. 通过单击“添加新规则组”,创建新的“规则组”

  3. “规则组”页上,指定新规则组的名称,然后单击“保存”

  4. 单击“生成规则”链接自动生成基本规则。

  5. “生成规则”页上,通过要生成规则旁的复选框指定标识提供者,然后单击“生成”

  6. 检查规则自动生成的结果。(例如,为 Google 和 Windows Live® ID 自动生成的规则将类似于下表中的结果)。如果标识提供者显示,请单击“保存”

     

    输出声明 声明颁发者 规则描述

    emailaddress

    Google

    将来自 Google 的“emailaddress”传递为“emailaddress”声明

    name

    Google

    将来自 Google 的“name”传递为“name”声明

    nameidentifier

    Google

    将来自 Google 的“nameidentifier”传递为“nameidentifier”声明

    nameidentifier

    Windows Live ID

    将来自 Windows Live ID 的“nameidentifier”传递为“nameidentifier”声明

  7. 如果您没有看到所需的标识提供者,则应返回到管理门户的“标识提供者”页,并指定相应标识提供者。

  8. 若要添加标识提供者,请执行以下操作方法主题中概述的步骤:

步骤 3 – 创建传递规则

此步骤显示如何创建传递规则。传递规则是传出声明与传入声明完全相同的规则。

创建传递规则

  1. 如果您尚未导航到“规则组”页,请执行步骤 1 – 导航到管理门户的“规则组”页中概述的步骤执行此操作。

  2. “规则组”页上,单击要为其添加传递规则的所需“规则组”

  3. “编辑规则组”页上,单击“添加规则”链接。

  4. “添加声明规则”页上,指定以下属性:

    • “声明颁发者”— 从下拉列表中选择所需的标识提供者(如 Google 或 Windows Live ID),或者单击“访问控制服务”单选按钮。

    • “(以及)输入声明类型”— 为所有传入声明指定“任何”,或从下拉列表中选择特定声明类型。

    • “(以及)输入声明值”— 为将传递的所有声明值指定“任何”,或在“输入值”框中指定特定声明值以仅传递指定的声明值。

    • “输出声明类型”— 通过选择“传递输入声明类型”单选按钮指定特定声明类型。

    • “输出声明值”— 通过选择“传递输入声明值”单选按钮指定特定声明值。

    • (推荐)或者,可以为规则添加描述,然后单击“保存”

步骤 4 – 创建高级转换规则

此步骤显示如何创建高级转换规则,而不是自动生成的规则和传递规则。

创建高级转换规则

  1. 如果您尚未导航到“规则组”页,请执行步骤 1 – 导航到管理门户的“规则组”页中概述的步骤执行此操作。

  2. “规则组”页上,单击要为其添加传递规则的所需“规则组”

  3. “编辑规则组”页上,单击“添加规则”链接。

  4. “添加声明规则”页上,指定以下属性:

    • “声明颁发者”— 如果要从标识提供者(如 Windows Live ID、Google、Facebook 和 Yahoo!)转换声明,请选择特定的“标识提供者”单选按钮。如果要转换服务标识的声明(对于 Web 服务)或从其他规则输出的声明,请选择“访问控制服务”

    • “(以及)输入声明类型”— 从下拉框中选择要转换声明的类型,如果此处没有列出该类型,请在“输入类型”文本框中输入声明类型。

    • “(以及)输入声明值”— 如果要转换仅匹配特定值的声明,请在“输入值”文本框中指定该值。

    • “输出声明类型”— 选择要映射到传入声明的输出声明类型,如果此处没有列出该类型,请在“输入类型”文本框中输入声明类型。

    • “输出声明值”— 如果要在输出声明中生成常量值,请在“输入值”文本框中指定特定值。

步骤 5 – 检查可用规则组

此步骤显示如何检查包含声明转换规则的规则组。规则组直接与信赖方应用关联。一个规则组可以由多个信赖方应用使用,一个信赖方应用程序可以引用多个规则组。若要查看可用规则组,请执行以前在步骤 1 – 导航到管理门户的“规则组”页中概述的步骤。

步骤 6 – 配置信赖方用于特定规则组

此步骤显示如何为信赖方设置特定规则组(Web 应用程序或 RESTful Web 服务)。

配置用于特定规则组的信赖方

  1. 导航到 http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428)。

  2. 如果您未使用 Windows Live ID 进行身份验证,则系统将要求您执行此操作。

  3. 使用 Windows Live ID 进行身份验证后,您会重定向到 Windows Azure AppFabric 门户上的“我的项目”页。

  4. 针对所需的命名空间,单击“访问控制”链接。

  5. “访问控制设置:<<您的命名空间>>”页上,单击“管理访问控制”链接。

  6. “访问控制服务”页上,单击“信赖方”链接。

  7. “信赖方应用”页上,单击所需的信赖方。

  8. 向下滚动到“规则组”部分,然后选中要应用到此信赖方的所有规则组。

  9. 单击“保存”

Microsoft 正在进行一项网上调查,以了解您对 MSDN 网站的意见。 如果您选择参加,我们将会在您离开 MSDN 网站时向您显示该网上调查。

是否要参加?
显示:
© 2014 Microsoft