如何:使用規則實作權杖轉換邏輯

  • 發行項

更新日期:2015 年 6 月 19 日

適用對象:Azure

套用至

  • Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS)

總結

本主題描述如何使用 ACS 管理入口網站來建立規則,將輸入宣告轉換成輸出宣告。

目錄

  • 目標

  • 概觀

  • 步驟摘要

  • 步驟 1 – 瀏覽至管理入口網站的 [規則群組] 頁面

  • 步驟 2 – 自動產生新的規則

  • 步驟 3 – 建立傳遞規則

  • 步驟 4 – 建立進階的轉換規則

  • 步驟 5 – 檢閱可用的規則群組

  • 步驟 6 - 設定要用於特定規則群組的信賴憑證者

目標

  • 熟悉與宣告轉換規則相關的存取控制管理入口網站區段。

  • 建立基本規則。

  • 建立進階規則。

  • 建立以身分識別提供者宣告為基礎的規則。

  • 根據 ACS 宣告建立規則。

概觀

宣告規則描述將 ACS 輸入宣告轉換成輸出宣告的邏輯。 規則會包含在與信賴憑證者應用程式相關聯的規則群組中。 每當權杖發行給信賴憑證者應用程式的 ACS 時,就會執行這些規則。 如果規則群組未包含任何規則,ACS 就不會將權杖發行給信賴憑證者應用程式。

步驟摘要

若要建立權杖宣告轉換規則,請使用下列步驟。 請注意,其中一些步驟在某些情況下是選擇性的。

  • 步驟 1 – 瀏覽至管理入口網站的 [規則群組] 頁面

  • 步驟 2 – 自動產生新的規則

  • 步驟 3 – 建立傳遞規則

  • 步驟 4 – 建立進階的轉換規則

  • 步驟 5 – 檢閱可用的規則群組

  • 步驟 6 - 設定要用於特定規則群組的信賴憑證者

步驟 1 – 瀏覽至管理入口網站的 [規則群組] 頁面

此步驟說明如何瀏覽至管理入口網站中,會建立規則並將其加入至規則群組的 [規則群組] 頁面。

瀏覽至管理入口網站的 [規則群組] 頁面

  1. 移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下 [Active Directory]。 (疑難排解提示: 「Active Directory」專案遺失或無法使用)

  2. 若要建立存取控制命名空間,請依序按一下 [新增][應用程式服務][存取控制][快速建立]。 (或是先按一下 [新增] 再按一下 [存取控制命名空間])。

  3. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  4. 在 [存取控制服務] 頁面上,按一下 [規則群組]

步驟 2 – 自動產生新的規則

此步驟說明如何產生基本的預設規則。

自動產生基本規則

  1. 按一下 [規則群組]

  2. 若要建立新的規則群組,請在 [規則群組] 頁面上按一下 [加入]

  3. 輸入新規則群組的名稱,然後按一下 [儲存]

  4. 若要自動產生基本規則,請按一下 [產生規則]

  5. 在 [產生規則] 頁面上,在您要產生的規則旁的核取方塊中指定身分識別提供者,然後按一下 [產生]

  6. 檢閱自動產生的規則。 例如,針對 Google 和 Windows Live ID (Microsoft 帳戶自動產生的規則) 看起來會類似下表中的結果。) 如果出現身分識別提供者,請按一下 [儲存]

    輸出宣告 宣告簽發者 規則描述

    emailaddress

    Google

    將來自 Google 的 "emailaddress" 宣告傳遞為 "emailaddress"

    NAME

    Google

    將來自 Google 的 "name" 宣告傳遞為 "name"

    nameidentifier

    Google

    將來自 Google 的 "nameidentifier" 宣告傳遞為 "nameidentifier"

    nameidentifier

    Windows Live ID

    將來自 Windows Live ID 的 "nameidentifier" 宣告傳遞為 "nameidentifier"

  7. 如果未看見所需的身分識別提供者,您應返回管理入口網站的 [身分識別提供者] 頁面,並加以指定。

  8. 若要加入身分識別提供者,請依照下列「作法」主題中所述的步驟操作:

步驟 3 – 建立傳遞規則

此步驟說明如何建立傳遞規則。 傳遞規則是指連出宣告與連入宣告完全相同的規則。

建立傳遞規則

  1. 按一下 [規則群組]

  2. 在 [規則群組] 頁面上,按一下所需的規則群組,然後按一下 [加入]

  3. 在 [加入宣告規則] 頁面上,指定下列屬性:

    • 宣告簽發者 — 從下拉式清單選擇您所需的身分識別提供者 (例如 Google 或 Windows Live ID),或按一下 [存取控制服務] 選項按鈕。

    • (和) 輸入宣告類型 — 指定 [任何] 以選擇所有的連入宣告,或從下拉式清單中選擇特定的宣告類型。

    • (和) 輸入宣告值 — 指定 [任何] 以傳遞所有宣告值,或在 [輸入值] 方塊中指定特定的宣告值,僅傳遞所指定的宣告值。

    • 輸出宣告類型 — 選取 [傳遞輸入宣告類型] 選項按鈕,以指定特定的宣告類型。

    • 輸出宣告值 — 選取 [傳遞輸入宣告值] 選項按鈕,以指定特定的宣告值。

    • (建議使用) 您可以選擇性地加入規則的描述,然後按一下 [儲存]

步驟 4 – 建立進階的轉換規則

此步驟說明如何建立相對於自動產生和傳遞規則的進階轉換規則。

建立進階轉換規則

  1. 按一下 [規則群組]

  2. 在 [規則群組] 頁面上,按一下所需的規則群組,然後按一下 [加入]

  3. 在 [加入宣告規則] 頁面上,指定下列屬性:

    • 宣告簽發者 — 如果您想要從身分識別提供者轉換宣告 (例如 Windows Live ID、Google、Facebook 和 yahoo!),請選取特定的 [身分識別提供者] 選項按鈕。 如果您想要轉換服務身分識別的宣告 (如果是 Web 服務) 或其他規則的宣告輸出,請選取 [存取控制服務]

    • (和) 輸入宣告類型 — 從下拉式方塊中選取您要轉換的宣告類型,若未列出,則在 [輸入類型] 文字方塊中輸入宣告類型。

    • (和) 輸入宣告值 — 如果您要轉換僅符合特定值的宣告,請在 [輸入值] 文字方塊中指定此值。

    • 輸出宣告類型 — 選取您要對應至連入宣告的輸出宣告類型,若未列出,則在 [輸入類型] 文字方塊中輸入宣告類型。

    • 輸出宣告值 — 如果您要在輸出宣告中產生常數值,請在 [輸入值] 文字方塊中指定此值。

步驟 5 – 檢閱可用的規則群組

此步驟說明如何檢閱包含宣告轉換規則的規則群組。 規則群組會直接與信賴憑證者應用程式相關聯。 一個規則群組可用於多個信賴憑證者應用程式,而一個信賴憑證者應用程式可以參照多個規則群組。 若要檢閱可用的規則群組,請遵循先前步驟 1 – 流覽至管理入口網站的 [規則群組] 頁面中所述的步驟。

步驟 6 - 設定要用於特定規則群組的信賴憑證者

此步驟說明如何為信賴憑證者 (Web 應用程式或 RESTful Web 服務) 設定特定的規則群組。

設定要用於特定規則群組的信賴憑證者

  1. 移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下 [Active Directory]。 (疑難排解提示: 「Active Directory」專案遺失或無法使用)

  2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  3. 按一下 [信賴憑證者應用程式]

  4. 在 [信賴憑證者應用程式] 頁面上,按一下所需的信賴憑證者。

  5. 向下捲動至 [規則群組] 區段,然後核取您要為此信賴憑證者套用的所有規則群組。

  6. 按一下 [檔案] 。