Procedura: Implementare la logica di trasformazione del token usando le regole

Aggiornamento: 19 giugno 2015

Si applica a: Azure

Si applica a

• Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS)

Riepilogo

Questo argomento descrive come usare il portale di gestione ACS per creare regole che trasformano le attestazioni di input in attestazioni di output.

Contenuto

• Obiettivi

• Panoramica

• Riepilogo dei passaggi

• Passaggio 1: Passare alla pagina Gruppi di regole del portale di gestione

• Passaggio 2: Generare automaticamente le nuove regole

• Passaggio 3: Creare regole pass-through

• Passaggio 4: Creare regole di trasformazione avanzate

• Passaggio 5: Verificare i gruppi di regole disponibili

• Passaggio 6: Configurare la relying party da usare per gruppi di regole specifici

Obiettivi

• Acquisire familiarità con la sezione del portale di gestione del controllo di accesso relativa alle regole di trasformazione delle attestazioni.

• Creare regole di base.

• Creare regole avanzate.

• Creare regole basate su attestazioni del provider di identità.

• Creare regole in base alle attestazioni ACS.

Panoramica

Le regole attestazioni descrivono la logica per trasformare le attestazioni di input ACS in attestazioni di output. Le regole sono incluse in gruppi di regole associati alle applicazioni relying party. Le regole vengono eseguite ogni volta che viene rilasciato un token a ACS per l'applicazione relying party. Se un gruppo di regole non contiene regole, ACS non rilascia token all'applicazione relying party.

Riepilogo dei passaggi

Per creare regole per la trasformazione di attestazioni di token, eseguire la procedura seguente. Si tenga presente che alcuni passaggi sono facoltativi in determinati scenari.

• Passaggio 1: Passare alla pagina Gruppi di regole del portale di gestione

• Passaggio 2: Generare automaticamente le nuove regole

• Passaggio 3: Creare regole pass-through

• Passaggio 4: Creare regole di trasformazione avanzate

• Passaggio 5: Verificare i gruppi di regole disponibili

• Passaggio 6: Configurare la relying party da usare per gruppi di regole specifici

Passaggio 1: Passare alla pagina Gruppi di regole del portale di gestione

Questo passaggio illustra come passare alla pagina Gruppi di regole del portale di gestione in cui le regole vengono create e aggiunte ai gruppi di regole.

Per passare alla pagina Gruppi di regole del portale di gestione

1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: l'elemento "Active Directory" non è disponibile o meno)

2. Per creare uno spazio dei nomi di Controllo di accesso, fare clic su Nuovo, Servizi app, Controllo di accesso, quindi su Creazione rapida. Altrimenti, fare clic su Spazi dei nomi controllo di accesso prima di scegliere Nuovo.

3. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

4. Nella pagina Servizio di controllo di accesso fare clic su Gruppi di regole.

Passaggio 2: Generare automaticamente le nuove regole

Questo passaggio illustra come generare regole predefinite di base.

Per generare automaticamente le regole di base

1. Fare clic su Gruppi di regole.

2. Per creare un nuovo gruppo di regole, fare clic su Aggiungi nella pagina Gruppi di regole.

3. Digitare un nome per il nuovo gruppo di regole e quindi fare clic su Salva.

4. Per generare automaticamente le regole di base, fare clic su Genera regole.

5. Nella pagina Genera regole specificare il provider di identità nella casella di controllo accanto alla regola da generare e quindi fare clic su Genera.

6. Verificare le regole generate automaticamente. Ad esempio, le regole generate automaticamente per Google e Windows Live ID (account Microsoft) sembrano simili ai risultati nella tabella seguente. Se viene visualizzato il provider di identità, fare clic su Salva.

   Attestazione di output	Autorità emittente dell'attestazione	Descrizione della regola
   emailaddress	Google	Attestazione "emailaddress" pass-through proveniente da Google come "emailaddress"
   name	Google	Attestazione "name" pass-through proveniente da Google come "name"
   nameidentifier	Google	Attestazione "nameidentifier" pass-through proveniente da Google come "nameidentifier"
   nameidentifier	Windows Live ID	Attestazione "nameidentifier" pass-through proveniente da Windows Live ID come "nameidentifier"

7. Se il provider di identità desiderato non è visualizzato, tornare alla pagina Provider di identità del portale di gestione e specificarlo.

8. Per aggiungere provider di identità, seguire i passaggi descritti nei seguenti argomenti:

   • Procedura: Configurare Google come provider di identità

   • Procedura: Configurare Yahoo! come provider di identità

   • Procedura: Configurare Facebook come provider di identità

   • Procedura: Configurare AD FS 2.0 come provider di identità

Passaggio 3: Creare regole pass-through

Questo passaggio illustra come creare regole pass-through. Con una regola di questo tipo, le attestazioni in uscita restano del tutto identiche alle attestazioni in ingresso.

Per creare regole pass-through

1. Fare clic su Gruppi di regole.

2. Nella pagina Gruppi di regole fare clic sul gruppo di regole desiderato e quindi fare clic su Aggiungi.

3. Nella pagina Aggiungi regola attestazioni specificare gli attributi seguenti:

   • Autorità emittente attestazione: selezionare il provider di identità desiderato dall'elenco a discesa (ad esempio, Google o Windows Live ID) oppure selezionare il pulsante di opzione .

   • (E) Tipo attestazione in ingresso: specificare Tutte per tutte le attestazioni in ingresso oppure selezionare un tipo di attestazione specifico dall'elenco a discesa.

   • (E) Valore attestazione in ingresso: specificare Tutti per passare tutti i valori di attestazione oppure immettere un valore specifico nella casella Immettere un valore per passare soltanto tale valore.

   • Tipo attestazione in uscita: specificare un tipo di attestazione selezionando il pulsante di opzione Pass-through tipo attestazione in ingresso.

   • Valore attestazione in uscita: specificare un valore di attestazione selezionando il pulsante di opzione Pass-through valore attestazione in ingresso.

   • Se si desidera, è consigliabile aggiungere una descrizione della regola, quindi fare clic su Salva.

Passaggio 4: Creare regole di trasformazione avanzate

Questo passaggio illustra come creare regole di trasformazione avanzate rispetto alle regole generate automaticamente e alle regole pass-through.

Per creare regole di trasformazione avanzate

1. Fare clic su Gruppi di regole.

2. Nella pagina Gruppi di regole fare clic sul gruppo di regole desiderato e quindi fare clic su Aggiungi.

3. Nella pagina Aggiungi regola attestazioni specificare gli attributi seguenti:

   • Autorità emittente attestazione: selezionare il pulsante di opzione Provider di identità specifico se si desidera trasformare le attestazioni provenienti dai provider di identità come Windows Live ID, Google, Facebook e Yahoo!. Selezionare Servizio di controllo di accesso se si vuole trasformare le attestazioni delle identità del servizio (nel caso di servizi Web) oppure le attestazioni derivate da altre regole.

   • (E) Tipo attestazione in ingresso: selezionare il tipo di attestazione che si vuole trasformare dalla casella di riepilogo a discesa oppure, se non è elencato, immettere il tipo di attestazione desiderato nella casella di testo Immettere un tipo.

   • (E) Valore attestazione in ingresso: specificare un valore nella casella di testo Immettere un valore per trasformare un'attestazione corrispondente solo a tale valore.

   • Tipo attestazione in uscita: selezionare il tipo di attestazione in uscita da mappare all'attestazione in ingresso oppure, se non è elencato, immettere il tipo di attestazione desiderato nella casella di testo Immettere un tipo.

   • Valore attestazione in uscita: specificare un valore nella casella di testo Immettere un valore per generare un valore costante nell'attestazione in uscita.

Passaggio 5: Verificare i gruppi di regole disponibili

Questo passaggio illustra come verificare i gruppi di regole contenenti le regole di trasformazione delle attestazioni. I gruppi di regole sono associati direttamente alle applicazioni relying party. Un gruppo di regole può essere usato da più applicazioni relying party e un'applicazione relying party può fare riferimento a più gruppi di regole. Per esaminare i gruppi di regole disponibili, seguire i passaggi descritti in precedenza nel passaggio 1: passare alla pagina Gruppi di regole del portale di gestione.

Passaggio 6: Configurare la relying party da usare per gruppi di regole specifici

Questo passaggio illustra come impostare gruppi di regole specifici per una relying party, ovvero un'applicazione Web o un servizio Web RESTful.

Per configurare una relying party da usare per gruppi di regole specifici

1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

3. Fare clic su Relying party applications.

4. Nella pagina Relying party application fare clic sulla relying party desiderata.

5. Scorrere la sezione Rule Groups e quindi selezionare tutti i gruppi di regole da applicare per la relying party.

6. Fare clic su Save (Salva).