Questa documentazione è stata archiviata e non viene gestita.

Procedura: Implementare la logica di trasformazione dei token mediante regole

Pubblicato: aprile 2011

Aggiornamento: giugno 2015

Si applica a: Azure

  • Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS)

Questo argomento illustra come usare il portale di gestione di ACS per creare regole che trasformano le attestazioni in ingresso in attestazioni in uscita.

  • Obiettivi

  • Informazioni generali

  • Riepilogo dei passaggi

  • Passaggio 1: Passare alla pagina Gruppi di regole del portale di gestione

  • Passaggio 2: Generare automaticamente le nuove regole

  • Passaggio 3: Creare regole pass-through

  • Passaggio 4: Creare regole di trasformazione avanzate

  • Passaggio 5: Verificare i gruppi di regole disponibili

  • Passaggio 6: Configurare la relying party da usare per gruppi di regole specifici

  • Acquisire familiarità con la sezione del portale di gestione del controllo di accesso relativa alle regole di trasformazione delle attestazioni.

  • Creare regole di base.

  • Creare regole avanzate.

  • Creare regole basate su attestazioni del provider di identità.

  • Creare regole basate sulle attestazioni di ACS.

Le regole delle attestazioni descrivono la logica di trasformazione di attestazioni di ACS in ingresso in attestazioni in uscita. Le regole sono incluse in gruppi di regole associati alle applicazioni relying party. Le regole vengono eseguite ogni volta che viene emesso un token per ACS per l'applicazione relying party. Se un gruppo di regole non contiene regole, ACS non emette token per l'applicazione relying party.

Per creare regole per la trasformazione di attestazioni di token, eseguire la procedura seguente. Si tenga presente che alcuni passaggi sono facoltativi in determinati scenari.

  • Passaggio 1: Passare alla pagina Gruppi di regole del portale di gestione

  • Passaggio 2: Generare automaticamente le nuove regole

  • Passaggio 3: Creare regole pass-through

  • Passaggio 4: Creare regole di trasformazione avanzate

  • Passaggio 5: Verificare i gruppi di regole disponibili

  • Passaggio 6: Configurare la relying party da usare per gruppi di regole specifici

Questo passaggio illustra come passare alla pagina Gruppi di regole del portale di gestione in cui le regole vengono create e aggiunte ai gruppi di regole.

  1. Passare al portale di gestione di Microsoft Azure (https://manage.WindowsAzure.com), eseguire l'accesso, quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

  2. Per creare uno spazio dei nomi di Controllo di accesso, fare clic su Nuovo, Servizi app, Controllo di accesso, quindi su Creazione rapida. Altrimenti, fare clic su Spazi dei nomi controllo di accesso prima di scegliere Nuovo.

  3. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  4. Nella pagina Servizio di controllo di accesso fare clic su Gruppi di regole.

Questo passaggio illustra come generare regole predefinite di base.

  1. Fare clic su Gruppi di regole.

  2. Per creare un nuovo gruppo di regole, fare clic su Aggiungi nella pagina Gruppi di regole.

  3. Digitare un nome per il nuovo gruppo di regole e quindi fare clic su Salva.

  4. Per generare automaticamente le regole di base, fare clic su Genera regole.

  5. Nella pagina Genera regole specificare il provider di identità nella casella di controllo accanto alla regola da generare e quindi fare clic su Genera.

  6. Verificare le regole generate automaticamente. Ad esempio, le regole generate automaticamente per Google e gli Windows Live ID (account Microsoft), sono simili ai risultati indicati nella tabella seguente. Se viene visualizzato il provider di identità, fare clic su Salva.

     

    Attestazione di output Autorità emittente dell'attestazione Descrizione della regola

    emailaddress

    Google

    Attestazione "emailaddress" pass-through proveniente da Google come "emailaddress"

    name

    Google

    Attestazione "name" pass-through proveniente da Google come "name"

    nameidentifier

    Google

    Attestazione "nameidentifier" pass-through proveniente da Google come "nameidentifier"

    nameidentifier

    Windows Live ID

    Attestazione "nameidentifier" pass-through proveniente da Windows Live ID come "nameidentifier"

  7. Se il provider di identità desiderato non è visualizzato, tornare alla pagina Provider di identità del portale di gestione e specificarlo.

  8. Per aggiungere provider di identità, seguire i passaggi descritti nei seguenti argomenti:

Questo passaggio illustra come creare regole pass-through. Con una regola di questo tipo, le attestazioni in uscita restano del tutto identiche alle attestazioni in ingresso.

  1. Fare clic su Gruppi di regole.

  2. Nella pagina Gruppi di regole fare clic sul gruppo di regole desiderato e quindi fare clic su Aggiungi.

  3. Nella pagina Aggiungi regola attestazioni specificare gli attributi seguenti:

    • Autorità emittente attestazione: selezionare il provider di identità desiderato dall'elenco a discesa (ad esempio, Google o Windows Live ID) oppure selezionare il pulsante di opzione .

    • (E) Tipo attestazione in ingresso: specificare Tutte per tutte le attestazioni in ingresso oppure selezionare un tipo di attestazione specifico dall'elenco a discesa.

    • (E) Valore attestazione in ingresso: specificare Tutti per passare tutti i valori di attestazione oppure immettere un valore specifico nella casella Immettere un valore per passare soltanto tale valore.

    • Tipo attestazione in uscita: specificare un tipo di attestazione selezionando il pulsante di opzione Pass-through tipo attestazione in ingresso.

    • Valore attestazione in uscita: specificare un valore di attestazione selezionando il pulsante di opzione Pass-through valore attestazione in ingresso.

    • Se si desidera, è consigliabile aggiungere una descrizione della regola, quindi fare clic su Salva.

Questo passaggio illustra come creare regole di trasformazione avanzate rispetto alle regole generate automaticamente e alle regole pass-through.

  1. Fare clic su Gruppi di regole.

  2. Nella pagina Gruppi di regole fare clic sul gruppo di regole desiderato e quindi fare clic su Aggiungi.

  3. Nella pagina Aggiungi regola attestazioni specificare gli attributi seguenti:

    • Autorità emittente attestazione: selezionare il pulsante di opzione Provider di identità specifico se si desidera trasformare le attestazioni provenienti dai provider di identità come Windows Live ID, Google, Facebook e Yahoo!. Selezionare Servizio di controllo di accesso se si vuole trasformare le attestazioni delle identità del servizio (nel caso di servizi Web) oppure le attestazioni derivate da altre regole.

    • (E) Tipo attestazione in ingresso: selezionare il tipo di attestazione che si vuole trasformare dalla casella di riepilogo a discesa oppure, se non è elencato, immettere il tipo di attestazione desiderato nella casella di testo Immettere un tipo.

    • (E) Valore attestazione in ingresso: specificare un valore nella casella di testo Immettere un valore per trasformare un'attestazione corrispondente solo a tale valore.

    • Tipo attestazione in uscita: selezionare il tipo di attestazione in uscita da mappare all'attestazione in ingresso oppure, se non è elencato, immettere il tipo di attestazione desiderato nella casella di testo Immettere un tipo.

    • Valore attestazione in uscita: specificare un valore nella casella di testo Immettere un valore per generare un valore costante nell'attestazione in uscita.

Questo passaggio illustra come verificare i gruppi di regole contenenti le regole di trasformazione delle attestazioni. I gruppi di regole sono associati direttamente alle applicazioni relying party. Un gruppo di regole può essere usato da più applicazioni relying party e un'applicazione relying party può fare riferimento a più gruppi di regole. Per esaminare i gruppi di regole disponibili, eseguire la procedura descritta in precedenza nel Passaggio 1: Passare alla pagina Gruppi di regole del portale di gestione.

Questo passaggio illustra come impostare gruppi di regole specifici per una relying party, ovvero un'applicazione Web o un servizio Web RESTful.

  1. Passare al portale di gestione di Microsoft Azure (https://manage.WindowsAzure.com), eseguire l'accesso, quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Fare clic su Relying party applications.

  4. Nella pagina Relying party application fare clic sulla relying party desiderata.

  5. Scorrere la sezione Rule Groups e quindi selezionare tutti i gruppi di regole da applicare per la relying party.

  6. Fare clic su Save.

Mostra: