Diese Dokumentation wurde archiviert und wird nicht länger gepflegt.

Vorgehensweise: Implementieren von Logik zur Tokentransformation mithilfe von Regeln

Veröffentlicht: April 2011

Letzte Aktualisierung: Juni 2015

Betrifft: Azure

  • Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

In diesem Thema wird die Verwendung des ACS-Verwaltungsportals zum Erstellen von Regeln erläutert, die Eingabeansprüche in Ausgabeansprüche transformieren.

  • Ziele

  • Überblick

  • Zusammenfassung der Schritte

  • Schritt 1 – Navigieren zur Seite "Regelgruppen" des Verwaltungsportals

  • Schritt 2 – Automatisches Generieren neuer Regeln

  • Schritt 3 – Erstellen von Pass-Through-Regeln

  • Schritt 4 – Erstellen erweiterter Transformationsregeln

  • Schritt 5 – Überprüfen der verfügbaren Regelgruppen

  • Schritt 6 – Konfigurieren der für bestimmte Regelgruppen zu verwendenden vertrauenden Seite

  • Vertraut werden mit dem Abschnitt im Zugriffssteuerungs-Verwaltungsportal, der sich auf Transformationsregeln für Ansprüche bezieht.

  • Erstellen grundlegender Regeln.

  • Erstellen erweiterter Regeln.

  • Erstellen von Regeln basierend auf Identitätsanbieteransprüchen.

  • Erstellen von Regeln basierend auf ACS-Ansprüchen.

Anspruchsregeln beschreiben die Logik, mit der ACS Eingabeansprüche in Ausgabeansprüche transformiert. Regeln sind in Regelgruppen enthalten, die Anwendungen der vertrauenden Seite zugeordnet sind. Die Regeln werden immer dann ausgeführt, wenn ein Token an ACS für die Anwendung der vertrauenden Seite ausgegeben wird. Wenn eine Regelgruppe keine Regeln enthält, gibt ACS keine Token an die Anwendung der vertrauenden Seite aus.

Verwenden Sie die folgenden Schritte, um Regeln für die Tokenanspruchstransformation zu erstellen. Beachten Sie, dass einige Schritte in einigen Szenarien optional sind.

  • Schritt 1 – Navigieren zur Seite "Regelgruppen" des Verwaltungsportals

  • Schritt 2 – Automatisches Generieren neuer Regeln

  • Schritt 3 – Erstellen von Pass-Through-Regeln

  • Schritt 4 – Erstellen erweiterter Transformationsregeln

  • Schritt 5 – Überprüfen der verfügbaren Regelgruppen

  • Schritt 6 – Konfigurieren der für bestimmte Regelgruppen zu verwendenden vertrauenden Seite

In diesem Schritt wird die Navigation zur Seite Regelgruppen des Verwaltungsportals gezeigt, auf der Regeln erstellt und den Regelgruppen hinzugefügt werden.

  1. Navigieren Sie zum Microsoft Azure-Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Hinweis für die Fehlerbehebung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu erstellen, klicken Sie auf Neu, auf Anwendungsdienste, auf Zugriffssteuerung und dann auf Schnellerfassung. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung und dann auf Neu.)

  3. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  4. Klicken Sie auf der Seite Zugriffssteuerungsdienst auf den Link Regelgruppen.

Dieser Schritt zeigt, wie grundlegende Standardregeln generiert werden.

  1. Klicken Sie auf Regelgruppen.

  2. Zum Erstellen einer neuen Regelgruppe klicken Sie auf der Seite Regelgruppen auf Hinzufügen.

  3. Geben Sie einen Namen für die neue Regelgruppe ein, und klicken Sie dann auf Speichern.

  4. Klicken Sie zum automatischen Erstellen grundlegender Regeln auf Regeln generieren.

  5. Geben Sie auf der Seite Regeln generieren den Identitätsanbieter im Kontrollkästchen neben der zu generierenden Regel an, und klicken Sie dann auf Generieren.

  6. Überprüfen Sie die automatisch generierten Regeln. Beispielsweise sehen die Regeln, die automatisch für Google und Windows Live ID (Microsoft-Konto) generiert würden, ähnlich den Ergebnissen in der folgenden Tabelle aussehen.) Wenn der Identitätsanbieter angezeigt wird, klicken Sie auf Speichern.

     

    Ausgabeanspruch Anspruchsaussteller Regelbeschreibung

    emailaddress

    Google

    Pass-Through-Anspruch "emailaddress" von Google als "emailaddress"

    Name

    Google

    Pass-Through-Anspruch "name" von Google als "name"

    nameidentifier

    Google

    Pass-Through-Anspruch "nameidentifier" von Google als "nameidentifier"

    nameidentifier

    Windows Live ID

    Pass-Through-Anspruch "nameidentifier" von Windows Live ID als "nameidentifier"

  7. Wenn der gewünschte Identitätsanbieter nicht angezeigt wird, sollten Sie zur Seite Identitätsanbieter des Verwaltungsportals zurückkehren und diesen dann angeben.

  8. Führen Sie die in den folgenden Vorgehensweisen beschriebenen Schritte aus, um Identitätsanbieter hinzuzufügen:

Dieser Schritt zeigt, wie Pass-Through-Regeln erstellt werden. Eine Pass-Through-Regel ist eine Regel, bei der ausgehende Ansprüche mit eingehenden Ansprüchen identisch sind.

  1. Klicken Sie auf Regelgruppen.

  2. Klicken Sie auf der Seite Regelgruppen auf die gewünschte Regelgruppe, und klicken Sie dann auf Hinzufügen.

  3. Geben Sie auf der Seite Anspruchsregel hinzufügen die folgenden Attribute an:

    • Anspruchsaussteller - Wählen Sie den gewünschten Identitätsanbieter aus der Dropdownliste aus (z. B. Google oder Windows Live ID), oder klicken Sie auf das Optionsfeld Zugriffssteuerungsdienst.

    • (Und) Eingabeanspruchstyp - Geben Sie Alle für alle eingehenden Ansprüche an, oder wählen Sie einen bestimmten Anspruchstyp aus der Dropdownliste aus.

    • (Und) Eingabeanspruchswert - Geben Sie Alle für alle Pass-Through-Anspruchswerte an, oder geben Sie einen bestimmten Anspruchswert im Feld Wert eingeben an, um nur den angegebenen Wert mittels Pass-Through weiterzuleiten.

    • Ausgabeanspruchstyp - Geben Sie einen bestimmten Anspruchstyp an, indem Sie das Optionsfeld Pass-Through-Eingabeanspruchstyp aktivieren.

    • Ausgabeanspruchswert - Geben Sie einen bestimmten Anspruchswert an, indem Sie das Optionsfeld Pass-Through-Eingabeanspruchswert aktivieren.

    • Fügen Sie optional eine Beschreibung für die Regel hinzu (empfohlen), und klicken Sie dann auf Speichern.

In diesem Schritt wird das Erstellen erweiterter Transformationsregeln im Gegensatz zu automatisch generierten und Pass-Through-Regeln gezeigt.

  1. Klicken Sie auf Regelgruppen.

  2. Klicken Sie auf der Seite Regelgruppen auf die gewünschte Regelgruppe, und klicken Sie dann auf Hinzufügen.

  3. Geben Sie auf der Seite Anspruchsregel hinzufügen die folgenden Attribute an:

    • Anspruchsaussteller - Aktivieren Sie das betreffende Optionsfeld Identitätsanbieter, wenn Ansprüche von Identitätsanbietern (z. B. Windows Live ID, Google, Facebook und Yahoo!) transformiert werden sollen. Wählen Sie Zugriffssteuerungsdienst aus, wenn Ansprüche von Dienstidentitäten (im Fall von Webdiensten) oder die Anspruchsausgabe von anderen Regeln transformiert werden sollen.

    • (Und) Eingabeanspruchstyp - Wählen Sie den zu transformierenden Anspruchstyp aus der Dropdownliste aus. Wenn er dort nicht aufgelistet wird, geben Sie den Anspruchstyp in das Textfeld Typ eingeben ein.

    • (Und) Eingabeanspruchswert - Geben Sie einen bestimmten Wert in das Textfeld Wert eingeben ein, wenn ein Anspruch transformiert werden soll, der nur mit diesem Wert übereinstimmt.

    • (Und) Ausgabeanspruchstyp - Wählen Sie den Anspruchstyp aus, der dem eingehenden Anspruch zugeordnet werden soll. Wenn der Typ nicht aufgelistet wird, geben Sie den Anspruchstyp in das Textfeld Typ eingeben ein.

    • Ausgabeanspruchswert - Geben Sie einen bestimmten Wert in das Textfeld Wert eingeben ein, wenn ein konstanter Wert im Ausgabeanspruch generiert werden soll.

In diesem Schritt wird gezeigt, wie Regelgruppen überprüft werden, die Anspruchstransformationsregeln enthalten. Regelgruppen werden direkt Anwendungen der vertrauenden Seite zugeordnet. Eine Regelgruppe kann von mehreren Anwendungen der vertrauenden Seite verwendet werden, und eine Anwendung der vertrauenden Seite kann auf mehrere Regelgruppen verweisen. Um die verfügbaren Regelgruppen zu überprüfen, führen Sie die zuvor in Schritt 1 – Navigieren zur Seite "Regelgruppen" des Verwaltungsportals beschriebenen Schritte aus.

In diesem Schritt wird gezeigt, wie bestimmte Regelgruppen für eine vertrauende Seite (eine Webanwendung oder ein RESTful-Webdienst) festgelegt werden.

  1. Navigieren Sie zum Microsoft Azure-Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Hinweis für die Fehlerbehebung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Anwendungen der vertrauenden Seite.

  4. Klicken Sie auf der Seite Anwendungen der vertrauenden Seite auf die gewünschte vertrauende Seite.

  5. Führen Sie einen Bildlauf nach unten bis zum Abschnitt Regelgruppen aus, und überprüfen Sie dann alle Regelgruppen, die auf diese vertrauende Seite angewendet werden sollen.

  6. Klicken Sie auf Speichern.

Anzeigen: