Questa pagina è stata utile?
I suggerimenti relativi al contenuto di questa pagina sono importanti. Comunicaceli.
Altri suggerimenti?
1500 caratteri rimanenti
Esporta (0) Stampa
Espandi tutto

Gruppi di regole e regole

Pubblicato: aprile 2011

Aggiornamento: giugno 2015

Si applica a: Azure

In Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS) un gruppo di regole è un set denominato di regole di attestazione che definiscono quali attestazioni di identità vengono passate dai provider di identità all'applicazione relying party. In ACS i gruppi di regole sono associati alle applicazioni relying party. Un gruppo di regole può essere usato da più applicazioni relying party e un'applicazione relying party può fare riferimento a più gruppi di regole.

Quando ACS riceve una richiesta di token o un token da un provider di identità, esegue tutti i gruppi di regole associati all'applicazione relying party per elaborare le attestazioni nel token. Tutti i gruppi di regole vengono eseguiti contemporaneamente, così come tutte le regole in ogni gruppo. L'ordine non è rilevante. Se le regole provocano l'emissione di nuove attestazioni al termine dell'esecuzione, verranno eseguiti di nuovo tutti i gruppi di regole associati all'applicazione relying party. Il processo di esecuzione delle regole e dei gruppi di regole si interrompe se al termine del processo di esecuzione non vengono emesse nuove attestazioni oppure al termine di dieci esecuzioni complete da parte di ACS, in base al primo evento che si verifica.

È possibile creare e modificare i gruppi di regole e le regole manualmente, usando il portale di gestione di ACS, oppure a livello di codice, usando il servizio di gestione ACS.

Quando si aggiungono e si configurano le proprietà di una nuova applicazione relying party nel portale di gestione di ACS, è possibile creare anche un gruppo di regole associato all'applicazione relying party, poiché l'opzione Crea nuovo gruppo di regole è selezionata per impostazione predefinita nella pagina Aggiungi applicazione relying party del portale di gestione di ACS. È consigliabile mantenere selezionata questa opzione e creare quindi un gruppo di regole predefinite per la nuova applicazione relying party. Per altre informazioni, vedere la sezione "Gruppi di regole" in Applicazioni relying party. È anche possibile aggiungere gruppi di regole usando la sezione Gruppi di regole del portale di gestione di ACS. Quando si aggiungono quindi applicazioni relying party usando la pagina Aggiungi applicazione relying party, è possibile associarle a uno o più gruppi di regole.

Dopo la creazione di un gruppo di regole, è possibile usare la pagina Modifica gruppo di regole del portale di gestione di ACS per generare automaticamente le regole. Se si decide di generare automaticamente le regole, verrà richiesta la selezione dei provider di identità per cui devono essere generate le regole. Quando il gruppo di regole è collegato a una o più applicazioni relying party, i provider di identità usati da queste applicazioni relying party verranno selezionati per impostazione predefinita.

noteNota
Per i provider di identità WS-Federation viene creata una regola per ogni tipo di attestazione offerto nei metadati WS-Federation del provider di identità e questa regola passa il tipo e il valore dell'attestazione. Per altri provider di identità vengono generate regole pass-through in base a un elenco di tipi di attestazioni predeterminati.

La pagina Modifica gruppo di regole del portale di gestione di ACS mostra tutte le regole in una tabella, in cui le colonne includono l'Attestazione in uscita per la regola, l'Autorità emittente dell'attestazione (può essere un provider di identità oppure ACS) e una Descrizione.

Se si fa clic su una regola specifica nella tabella, si verrà reindirizzati alla pagina Modifica regola attestazioni, in cui è possibile modificare la regola. Per aggiungere manualmente una nuova regola, è possibile fare clic su Aggiungi.

Le regole attestazioni descrivono la logica usata da ACS per trasformare le attestazioni in ingresso in attestazioni in uscita. Le regole sono incluse nei gruppi di regole, che sono associati alle applicazioni relying party e vengono eseguiti ogni volta che ACS emette un token per un'applicazione. Se un gruppo di regole non contiene regole, non verrà emesso alcun token per l'applicazione relying party. In genere, è necessaria una regola per ogni tipo di attestazione da emettere per l'applicazione relying party. È possibile creare e usare solo una regola per eseguire il pass-through di tutti i tipi e i valori di attestazione. L'uso di una regola per ogni tipo di attestazione, tuttavia, migliora la sicurezza e offre un controllo maggiore sui dati passati all'applicazione.

In ACS è possibile configurare una regola per passare un'attestazione ricevuta da un provider di identità o da un client all'applicazione relying party senza modificare il tipo, l'autorità emittente o il valore dell'attestazione. Queste regole sono definite regole pass-through. Ad esempio, i token emessi da Windows Live ID (account Microsoft) includono un tipo di attestazione nameidentifier. Per passare all'applicazione relying party questa attestazione senza modifiche, sarà necessario configurare una regola pass-through che elabora il tipo di attestazione nameidentifier in ingresso dall'autorità emittente dell'attestazione, Windows Live ID e quindi crea un'attestazione in uscita identica.

La tabella seguente illustra le attestazioni di cui viene eseguito il pass-through da un provider di identità AD FS 2.0 fittizio denominato Contoso.com.

 

Attestazioni in ingresso Attestazioni in uscita

Autorità emittente

Tipo

Valore

Autorità emittente

Tipo

Valore

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Servizio Access Control

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

Servizio Access Control

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

John Doe

Servizio Access Control

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

John Doe

Il motore regole di ACS permette anche di trasformare le attestazioni in ingresso in attestazioni in uscita completamente diverse, in base all'autorità emittente dell'attestazione, al tipo di attestazione in ingresso e al valore. In altri termini, il motore regole di ACS permette di trasformare i token di input in token di output completamente diversi, aggiungendo, rimuovendo o modificando le attestazioni incluse nei token. Questo tipo di trasformazione di attestazioni permette a ACS di implementare l'autorizzazione di base in base ai valori delle attestazioni in ingresso. L'esempio seguente mostra un tipo di attestazione "role" con un valore "administrator" come output se l'attestazione "nameidentifier" in ingresso corrisponde a un valore specifico.

 

Attestazioni in ingresso Attestazioni in uscita

Autorità emittente

Tipo

Valore

Autorità emittente

Tipo

Valore

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Servizio Access Control

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

amministratore

Il motore regole ACS permette anche di creare attestazioni di output in base alla combinazione di due attestazioni di input. Nell'esempio seguente l'attestazione di output è di tipo "action" con valore "write" se entrambe le attestazioni "nameidentifier" e "role" di input da Contoso.com corrispondono a valori specifici. Quando in una regola vengono specificate due attestazioni di input, per generare l'attestazione in uscita è necessario che entrambi i valori corrispondano.

 

Attestazioni in ingresso Attestazioni in uscita

Autorità emittente

Tipo

Valore

Autorità emittente

Tipo

Valore

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Servizio Access Control

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/action

write

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

amministratore

Per altre informazioni e procedure su come implementare le trasformazioni di token usando le regole, vedere Procedura: Implementare la logica di trasformazione dei token mediante regole.

Quando si aggiungono nuove regole attestazioni o si modificano regole esistenti con il portale di gestione di ACS, è necessario configurare le impostazioni seguenti:

Questa sezione include le condizioni che devono essere true per la regola in modo che venga emessa un'attestazione in uscita. Di seguito sono indicate alcune condizioni:

  • Autorità emittente dell'attestazione: fa riferimento all'entità che ha emesso l'attestazione in ingresso. Può essere un provider di identità configurato, ad esempio, , oppure ACS. ACS è l'autorità emittente se l'attestazione in ingresso deriva da un'identità del servizio o se l'attestazione in ingresso deriva da un'altra regola attestazioni. Per altre informazioni, vedere Identità del servizio.

  • Tipo di attestazione in ingresso: fa riferimento al tipo di attestazione in ingresso ricevuto dall'autorità emittente dell'attestazione. Ad esempio, il tipo di attestazione completo per "nameidentifier" è http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Il campo include le opzioni seguenti:

    • Qualsiasi: restituisce true se viene ricevuto un tipo di attestazione qualsiasi dall'autorità emittente.

    • Selezionare un tipo: restituisce true se il tipo di attestazione in ingresso corrisponde al tipo selezionato nel menu a discesa. Questo menu viene popolato con i tipi di attestazione disponibili per l'autorità emittente selezionata.

    • Immettere un tipo: restituisce true se il tipo di attestazione in ingresso corrisponde al valore esatto immesso nel campo.

      ImportantImportante
      Questo campo applica la distinzione tra maiuscole e minuscole.

  • Valore di attestazione in ingresso: fa riferimento al valore dell'attestazione in ingresso ricevuta. Ad esempio, il tipo di attestazione "nameidentifier" usa come valore un indirizzo di posta elettronica e questo campo può essere usato per verificare un indirizzo di posta elettronica specifico. Il campo include le opzioni seguenti:

    • Qualsiasi: restituisce true se viene ricevuto un valore di attestazione dall'autorità emittente.

    • Immettere un valore: restituisce true se il tipo di attestazione in ingresso corrisponde al valore esatto immesso nel campo. Questa opzione richiede la selezione o l'immissione di un tipo di attestazione in ingresso specifico nel campo Tipo di attestazione in ingresso.

      ImportantImportante
      Questo campo applica la distinzione tra maiuscole e minuscole.

Per aggiungere una seconda attestazione alla regola, fare clic su Add a second input claim. Ciò permette di specificare le condizioni aggiuntive illustrate di seguito. Si noti che in una regola con due attestazioni in ingresso è necessario che tutte le condizioni siano true per generare un'attestazione in uscita.

  • Autorità emittente dell'attestazione: fa riferimento all'entità che ha emesso la seconda attestazione in ingresso. Può corrispondere al provider di identità selezionato per la prima attestazione oppure può essere ACS. Selezionare ACS per specificare le attestazioni generate da altre regole attestazioni durante l'elaborazione delle regole.

    ImportantImportante
    Non è possibile selezionare due provider di identità diversi per la prima e la seconda attestazione, poiché l'elaborazione delle regole viene eseguita solo per un token emesso da un provider di identità alla volta.

  • Tipo di attestazione in ingresso: fa riferimento al tipo di attestazione in ingresso ricevuto dall'autorità emittente dell'attestazione. Ad esempio, il tipo di attestazione completo per "nameidentifier" è http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Il campo include le opzioni seguenti:

    • Selezionare un tipo: restituisce true se il tipo di attestazione in ingresso corrisponde al tipo selezionato nel menu a discesa. Questo menu viene popolato con i tipi di attestazione disponibili per l'autorità emittente selezionata.

    • Immettere un tipo: restituisce true se il tipo di attestazione in ingresso corrisponde al valore esatto immesso nel campo.

      ImportantImportante
      Questo campo applica la distinzione tra maiuscole e minuscole.

  • Valore di attestazione in ingresso: fa riferimento al valore dell'attestazione in ingresso ricevuta. Ad esempio, il tipo di attestazione "nameidentifier" usa come valore un indirizzo di posta elettronica e questo campo può essere usato per verificare un indirizzo di posta elettronica specifico. Restituisce true se il tipo di attestazione in ingresso corrisponde al valore esatto immesso nel campo.

    ImportantImportante
    Questo campo applica la distinzione tra maiuscole e minuscole.

Questa sezione specifica l'attestazione in uscita emessa da ACS se le condizioni nella sezione If della regola sono true. Le opzioni delle attestazioni in uscita includono le seguenti:

  • Output claim type: tipo di attestazione emesso da ACS. Il campo include le opzioni seguenti:

    • Pass-through input claim type: emette un'attestazione in uscita con lo stesso tipo dell'attestazione in ingresso.

    • Select type: emette un'attestazione in uscita con il tipo specificato. Il menu a discesa include un elenco di tipi di attestazione comuni.

    • Enter type: emette un'attestazione con il tipo immesso. Se l'attestazione in uscita deve essere presente in un token SAML, questo valore dovrà essere un URI, ad esempio http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier.

      ImportantImportante
      Questo campo applica la distinzione tra maiuscole e minuscole.

  • Output claim value: fa riferimento al valore dell'attestazione in uscita emessa da ACS. Il campo include le opzioni seguenti:

    • Pass-through input claim value: emette un'attestazione in uscita con valore identico al valore dell'attestazione in ingresso.

    • Enter value: emette un'attestazione con il valore immesso in questo campo. Questa opzione richiede la selezione o l'immissione di un tipo di attestazione in ingresso specifico nel campo Output Claim Type.

      ImportantImportante
      Questo campo applica la distinzione tra maiuscole e minuscole.

È possibile usare questa sezione per creare una descrizione per una regola.

noteNota
In ACS non vengono create automaticamente descrizioni per le regole generate.

Le regole in uno Spazi dei nomi controllo di accesso possono essere configurate a livello di codice tramite il Servizio di gestione ACS. Per un esempio relativo alla configurazione di regole tramite ASP.NET, vedere Esempio di codice: Servizio di gestione. Di seguito sono riportati elementi importanti da tenere in considerazione quando si usa il servizio di gestione ACS per configurare le regole:

  • Quando si modificano e si eliminano regole in un gruppo di regole, è consigliabile eseguire prima di tutto in ACS una query relativa a tutte le regole in tale gruppo di regole, quindi usare gli ID regola restituiti dalla query per eseguire le operazioni di modifica o di eliminazione. Non è consigliabile archiviare gli ID restituiti dal servizio di gestione come riferimento per operazioni future, poiché la persistenza di questi ID non è garantita.

  • Se si scrive logica di ripetizione dei tentativi automatica per la creazione di regole, ad esempio in caso di timeout, è consigliabile eseguire prima di tutto una query relativa all'esistenza di una regola identica nel gruppo di regole corrente prima di tentare di aggiungerla una seconda volta.

Vedere anche

Aggiunte alla community

Mostra:
© 2015 Microsoft