Эта документация перемещена в архив и не поддерживается.

Инструкции Реализация логики преобразования маркеров с помощью правил

Опубликовано: Апрель 2011 г.

Обновлено: Июнь 2015 г.

Назначение: Azure

  • Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)

В этом разделе описывается, как использовать портал управления Служба управления доступом для создания правил, которые преобразуют входящие утверждения в исходящие.

  • Цели

  • Обзор

  • Сводка действий

  • Шаг 1. Навигация на страницу групп правил на портале управления

  • Шаг 2. Автоматическое создание новых правил

  • Шаг 3. Создание правил сквозного прохождения

  • Шаг 4. Создание правил дополнительного преобразования

  • Шаг 5. Просмотр доступных групп правил

  • Шаг 6. Настройка проверяющей стороны для использования конкретных групп правил

  • Ознакомьтесь с разделом «Портал управления службы управления доступом», который относится к правилам преобразования утверждений.

  • Создание основных правил.

  • Создание дополнительных правил.

  • Создание правил на основе утверждений поставщика удостоверений.

  • Создание правил на основе утверждений Служба управления доступом.

Правила утверждений описывают логику для преобразования входящих утверждений Служба управления доступом в исходящие. Правила содержатся в группах правил, связанных с приложениями проверяющей стороны. Правила выполняются каждый раз, когда выдается маркер в Служба управления доступом для приложения проверяющей стороны. Если группа правил не содержит никаких правил, Служба управления доступом не выдает маркеров для приложения проверяющей стороны.

Чтобы создать правила для преобразования утверждений маркера, выполните следующие действия. Обратите внимание, что в отдельных сценариях некоторые шаги необязательны.

  • Шаг 1. Навигация на страницу групп правил на портале управления

  • Шаг 2. Автоматическое создание новых правил

  • Шаг 3. Создание правил сквозного прохождения

  • Шаг 4. Создание правил дополнительного преобразования

  • Шаг 5. Просмотр доступных групп правил

  • Шаг 6. Настройка проверяющей стороны для использования конкретных групп правил

Этот шаг показывает, как перейти к странице Группы правил портала управления, где правила создаются и добавляются в группы правил.

  1. Перейдите на портал управления Microsoft Azure, выполните вход и щелкните Active Directory. (Совет по устранению неполадок. Элемент "Active Directory" отсутствует или недоступен)

  2. Чтобы создать пространство имен Access Control, щелкните Создать, Службы приложений, Управление доступом, а затем выберите Быстрое создание. (Или щелкните Пространства имен Access Control перед тем, как щелкнуть Создать.)

  3. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  4. На странице Служба управления доступом выберите Группы правил.

Этот шаг показывает, как создавать основные правила по умолчанию.

  1. Нажмите кнопку Группы правил.

  2. Чтобы создать новую группу правил на странице Группы правил, нажмите Добавить.

  3. Введите имя для новой группы правил и нажмите кнопку Сохранить.

  4. Чтобы автоматически создавать основные правила, нажмите кнопку Создать правила.

  5. На странице Создание правил укажите поставщика удостоверений, установив флажок рядом с правилом, которое необходимо создать, и нажмите Создать.

  6. Просмотрите автоматически созданные правила. Например, правила, которые создаются автоматически для Google и Идентификатор Windows Live ID (учетная запись Майкрософт), будут выглядеть аналогично результатам в таблице ниже. Если появится поставщик удостоверений, нажмите Сохранить.

     

    Исходящее утверждение Издатель утверждения Описание правила

    emailaddress

    Google

    Передает утверждение «emailaddress» от Google как «emailaddress».

    name

    Google

    Передает утверждение «name» от Google как «name».

    nameidentifier

    Google

    Передает утверждение «nameidentifier» от Google как «nameidentifier».

    nameidentifier

    Windows Live ID

    Передает утверждение «nameidentifier» от Windows Live ID как «nameidentifier».

  7. Если требуемый поставщик удостоверений отсутствует, необходимо вернуться на страницу Поставщики удостоверений на портале управления и задать его.

  8. Для добавления поставщиков удостоверений выполните шаги, описанные в следующих руководствах:

Этот шаг показывает, как создать правила сквозного прохождения. Правило сквозного прохождения — это правило, в котором исходящие утверждения точно совпадают с входящими.

  1. Нажмите кнопку Группы правил.

  2. На странице Группы правил выберите требуемую группу правил и нажмите кнопку Добавить.

  3. На странице Добавление правила для утверждений укажите следующие атрибуты.

    • Поставщик утверждений — выберите нужного поставщика удостоверений из раскрывающегося списка (например, Google или идентификатор Windows Live ID) или нажмите переключатель Служба управления доступом.

    • (И) Тип входящего утверждения — укажите Любой для всех входящих утверждений или выберите определенный тип утверждения из раскрывающегося списка.

    • (И) Значение входящего утверждения — укажите Любое для всех значений передаваемых утверждений или задайте конкретное значение утверждения в поле Ввод значения для передачи только определенного значения.

    • Тип исходящего утверждения — укажите определенный тип утверждения, нажав переключатель Передавать тип входящего утверждения.

    • Значение исходящего утверждения — укажите определенное значение утверждения, нажав переключатель Передавать значение входящего утверждения.

    • При необходимости (рекомендуется) добавьте описание правила и нажмите кнопку Сохранить.

Этот шаг показывает создание правил дополнительного преобразования в отличие от созданных автоматически правил и правил сквозного прохождения.

  1. Нажмите кнопку Группы правил.

  2. На странице Группы правил выберите нужную группу правил и нажмите кнопку Добавить.

  3. На странице Добавление правила для утверждений укажите следующие атрибуты.

    • Поставщик утверждений — выберите конкретный переключатель поставщика удостоверений, если требуется выполнить преобразование утверждений от поставщиков удостоверений, например Windows Live ID, Google, Yahoo! и Facebook. Выберите Служба управления доступом, если требуется преобразовать утверждения удостоверений службы (в случае веб-служб) или исходящие утверждения других правил.

    • (И) Тип входящего утверждения — выберите тип утверждения, которое необходимо преобразовать, из раскрывающегося списка или, если он отсутствует в списке, введите тип утверждения в текстовое поле Введите тип.

    • (И) Значение входящего утверждения — укажите конкретное значение в текстовом поле Введите значение, если нужно преобразовать утверждение, которое соответствует только этому значению.

    • Тип исходящего утверждения — выберите тип исходящего утверждения, которое необходимо сопоставить с входящим утверждением или, если он отсутствует в списке, введите тип утверждения в текстовое поле Введите тип.

    • Значение исходящего утверждения — укажите конкретное значение в текстовом поле Введите значение, если необходимо создать постоянное значение в исходящем утверждении.

Этот шаг показывает, как просмотреть группы правил, которые содержат правила преобразования утверждений. Группы правил связаны непосредственно с приложениями проверяющей стороны. Группа правил может использоваться более чем одним приложением проверяющей стороны, и приложения проверяющей стороны могут ссылаться на несколько групп правил. Чтобы просмотреть доступные правила группы, выполните шаги, описанные ранее в разделе Шаг 1. Навигация на страницу групп правил на портале управления.

Этот шаг показывает, как настроить определенные группы правил для проверяющей стороны (веб-приложения или веб-службы RESTful).

  1. Перейдите на портал управления Microsoft Azure, выполните вход и щелкните Active Directory. (Совет по устранению неполадок. Элемент "Active Directory" отсутствует или недоступен)

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. Щелкните Приложения проверяющей стороны.

  4. На странице Приложения проверяющей стороны выберите нужную проверяющую сторону.

  5. Прокрутите вниз до раздела Группы правил, а затем отметьте все группы правил, которые необходимо применить для этой проверяющей стороны.

  6. Нажмите кнопку Сохранить.

Показ: