Практическое руководство. Реализация логики преобразования токенов с помощью правил

Обновлено: 19 июня 2015 г.

Область применения: Azure

Применяется к

• Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)

Сводка

В этом разделе описывается, как использовать портал управления ACS для создания правил, которые преобразуют входные утверждения в выходные утверждения.

Содержимое

• Задачи

• Обзор

• Сводка действий

• Шаг 1. Навигация на страницу групп правил на портале управления

• Шаг 2. Автоматическое создание новых правил

• Шаг 3. Создание правил сквозного прохождения

• Шаг 4. Создание правил дополнительного преобразования

• Шаг 5. Просмотр доступных групп правил

• Шаг 6. Настройка проверяющей стороны для использования конкретных групп правил

Задачи

• Ознакомьтесь с разделом «Портал управления службы управления доступом», который относится к правилам преобразования утверждений.

• Создание основных правил.

• Создание дополнительных правил.

• Создание правил на основе утверждений поставщика удостоверений.

• Создание правил на основе утверждений ACS.

Обзор

Правила утверждений описывают логику преобразования входных утверждений ACS в выходные утверждения. Правила содержатся в группах правил, связанных с приложениями проверяющей стороны. Правила выполняются всякий раз, когда маркер выдан ACS для приложения проверяющей стороны. Если группа правил не содержит правил, ACS не выдает маркеры приложению проверяющей стороны.

Сводка действий

Чтобы создать правила для преобразования утверждений маркера, выполните следующие действия. Обратите внимание, что в отдельных сценариях некоторые шаги необязательны.

• Шаг 1. Навигация на страницу групп правил на портале управления

• Шаг 2. Автоматическое создание новых правил

• Шаг 3. Создание правил сквозного прохождения

• Шаг 4. Создание правил дополнительного преобразования

• Шаг 5. Просмотр доступных групп правил

• Шаг 6. Настройка проверяющей стороны для использования конкретных групп правил

Шаг 1. Навигация на страницу групп правил на портале управления

Этот шаг показывает, как перейти к странице Группы правил портала управления, где правила создаются и добавляются в группы правил.

Переход на страницу «Группы правил» на портале управления

1. Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)

2. Чтобы создать пространство имен Access Control, щелкните Создать, Службы приложений, Управление доступом, а затем выберите Быстрое создание. (Или щелкните Пространства имен Access Control перед тем, как щелкнуть Создать.)

3. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

4. На странице Служба управления доступом выберите Группы правил.

Шаг 2. Автоматическое создание новых правил

Этот шаг показывает, как создавать основные правила по умолчанию.

Автоматическое создание основных правил

1. Нажмите кнопку Группы правил.

2. Чтобы создать новую группу правил на странице Группы правил, нажмите Добавить.

3. Введите имя для новой группы правил и нажмите кнопку Сохранить.

4. Чтобы автоматически создавать основные правила, нажмите кнопку Создать правила.

5. На странице Создание правил укажите поставщика удостоверений, установив флажок рядом с правилом, которое необходимо создать, и нажмите Создать.

6. Просмотрите автоматически созданные правила. Например, правила, создаваемые автоматически для Google и Windows Live ID (учетная запись Майкрософт), будут выглядеть примерно так, как в следующей таблице. Если появится поставщик удостоверений, нажмите Сохранить.

   Исходящее утверждение	Издатель утверждения	Описание правила
   emailaddress	Google	Передает утверждение «emailaddress» от Google как «emailaddress».
   name	Google	Передает утверждение «name» от Google как «name».
   nameidentifier	Google	Передает утверждение «nameidentifier» от Google как «nameidentifier».
   nameidentifier	Windows Live ID	Передает утверждение «nameidentifier» от Windows Live ID как «nameidentifier».

7. Если требуемый поставщик удостоверений отсутствует, необходимо вернуться на страницу Поставщики удостоверений на портале управления и задать его.

8. Для добавления поставщиков удостоверений выполните шаги, описанные в следующих руководствах:

   • Практическое руководство. Настройка Google в качестве поставщика удостоверений

   • Практическое руководство. Настройка Yahoo! как поставщик удостоверений

   • Практическое руководство. Настройка Facebook в качестве поставщика удостоверений

   • Практическое руководство. Настройка AD FS 2.0 в качестве поставщика удостоверений

Шаг 3. Создание правил сквозного прохождения

Этот шаг показывает, как создать правила сквозного прохождения. Правило сквозного прохождения — это правило, в котором исходящие утверждения точно совпадают с входящими.

Создание правил сквозного прохождения

1. Нажмите кнопку Группы правил.

2. На странице Группы правил выберите требуемую группу правил и нажмите кнопку Добавить.

3. На странице Добавление правила для утверждений укажите следующие атрибуты.

   • Поставщик утверждений — выберите нужного поставщика удостоверений из раскрывающегося списка (например, Google или идентификатор Windows Live ID) или нажмите переключатель Служба управления доступом.

   • (И) Тип входящего утверждения — укажите Любой для всех входящих утверждений или выберите определенный тип утверждения из раскрывающегося списка.

   • (И) Значение входящего утверждения — укажите Любое для всех значений передаваемых утверждений или задайте конкретное значение утверждения в поле Ввод значения для передачи только определенного значения.

   • Тип исходящего утверждения — укажите определенный тип утверждения, нажав переключатель Передавать тип входящего утверждения.

   • Значение исходящего утверждения — укажите определенное значение утверждения, нажав переключатель Передавать значение входящего утверждения.

   • При необходимости (рекомендуется) добавьте описание правила и нажмите кнопку Сохранить.

Шаг 4. Создание правил дополнительного преобразования

Этот шаг показывает создание правил дополнительного преобразования в отличие от созданных автоматически правил и правил сквозного прохождения.

Создание правил дополнительного преобразования

1. Нажмите кнопку Группы правил.

2. На странице Группы правил выберите нужную группу правил и нажмите кнопку Добавить.

3. На странице Добавление правила для утверждений укажите следующие атрибуты.

   • Поставщик утверждений — выберите конкретный переключатель поставщика удостоверений, если требуется выполнить преобразование утверждений от поставщиков удостоверений, например Windows Live ID, Google, Yahoo! и Facebook. Выберите Служба управления доступом, если требуется преобразовать утверждения удостоверений службы (в случае веб-служб) или исходящие утверждения других правил.

   • (И) Тип входящего утверждения — выберите тип утверждения, которое необходимо преобразовать, из раскрывающегося списка или, если он отсутствует в списке, введите тип утверждения в текстовое поле Введите тип.

   • (И) Значение входящего утверждения — укажите конкретное значение в текстовом поле Введите значение, если нужно преобразовать утверждение, которое соответствует только этому значению.

   • Тип исходящего утверждения — выберите тип исходящего утверждения, которое необходимо сопоставить с входящим утверждением или, если он отсутствует в списке, введите тип утверждения в текстовое поле Введите тип.

   • Значение исходящего утверждения — укажите конкретное значение в текстовом поле Введите значение, если необходимо создать постоянное значение в исходящем утверждении.

Шаг 5. Просмотр доступных групп правил

Этот шаг показывает, как просмотреть группы правил, которые содержат правила преобразования утверждений. Группы правил связаны непосредственно с приложениями проверяющей стороны. Группа правил может использоваться более чем одним приложением проверяющей стороны, и приложения проверяющей стороны могут ссылаться на несколько групп правил. Чтобы просмотреть доступные группы правил, выполните действия, описанные ранее на шаге 1. Перейдите на страницу групп правил на портале управления.

Шаг 6. Настройка проверяющей стороны для использования конкретных групп правил

Этот шаг показывает, как настроить определенные группы правил для проверяющей стороны (веб-приложения или веб-службы RESTful).

Настройка проверяющей стороны для использования определенной группы правил

1. Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)

2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

3. Щелкните Приложения проверяющей стороны.

4. На странице Приложения проверяющей стороны выберите нужную проверяющую сторону.

5. Прокрутите вниз до раздела Группы правил, а затем отметьте все группы правил, которые необходимо применить для этой проверяющей стороны.

6. Выберите команду Сохранить.