本頁是否能提供幫助?
您對此內容的意見反應十分重要。 請告訴我們您的想法。
其他意見反應?
剩餘 1500 個字元
作法:使用規則實作權杖轉換邏輯
Collapse the table of content
Expand the table of content

作法:使用規則實作權杖轉換邏輯

發佈時間: 2011年4月

更新日期: 2015年6月

適用於: Azure

  • Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS)

本主題說明如何使用 ACS 管理入口網站建立將輸入宣告轉換為輸出宣告的規則。

  • 目標

  • 概觀

  • 步驟摘要

  • 步驟 1 – 瀏覽至管理入口網站的 [規則群組] 頁面

  • 步驟 2 – 自動產生新的規則

  • 步驟 3 – 建立傳遞規則

  • 步驟 4 – 建立進階的轉換規則

  • 步驟 5 – 檢閱可用的規則群組

  • 步驟 6 - 設定要用於特定規則群組的信賴憑證者

  • 熟悉與宣告轉換規則相關的存取控制管理入口網站區段。

  • 建立基本規則。

  • 建立進階規則。

  • 建立以身分識別提供者宣告為基礎的規則。

  • 建立以 ACS 宣告為基礎的規則。

宣告規則會說明將 ACS 輸入宣告轉換為輸出宣告的邏輯。規則會包含在與信賴憑證者應用程式相關聯的規則群組中。規則會在權杖簽發給信賴憑證者應用程式的 ACS 時執行。如果規則群組未包含任何規則,ACS 即不會將權杖簽發給信賴憑證者應用程式。

若要建立權杖宣告轉換規則,請使用下列步驟。請注意,其中一些步驟在某些情況下是選擇性的。

  • 步驟 1 – 瀏覽至管理入口網站的 [規則群組] 頁面

  • 步驟 2 – 自動產生新的規則

  • 步驟 3 – 建立傳遞規則

  • 步驟 4 – 建立進階的轉換規則

  • 步驟 5 – 檢閱可用的規則群組

  • 步驟 6 - 設定要用於特定規則群組的信賴憑證者

此步驟說明如何瀏覽至管理入口網站中,會建立規則並將其加入至規則群組的 [規則群組] 頁面。

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要建立存取控制命名空間,請依序按一下 [新增][應用程式服務][存取控制][快速建立]。(或是先按一下 [新增] 再按一下 [存取控制命名空間])。

  3. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  4. 在 [存取控制服務] 頁面上,按一下 [規則群組]。

此步驟說明如何產生基本的預設規則。

  1. 按一下 [規則群組]

  2. 若要建立新的規則群組,請在 [規則群組] 頁面上按一下 [加入]。

  3. 輸入新規則群組的名稱,然後按一下 [儲存]。

  4. 若要自動產生基本規則,請按一下 [產生規則]。

  5. 在 [產生規則] 頁面上,在您要產生的規則旁的核取方塊中指定身分識別提供者,然後按一下 [產生]。

  6. 檢閱自動產生的規則。例如,自動為 Google 和 Windows Live ID (Microsoft 帳戶) 產生的規則,看起來應該類似下表中的結果。如果出現身分識別提供者,請按一下 [儲存]。

     

    輸出宣告 宣告簽發者 規則描述

    emailaddress

    Google

    將來自 Google 的 "emailaddress" 宣告傳遞為 "emailaddress"

    名稱

    Google

    將來自 Google 的 "name" 宣告傳遞為 "name"

    nameidentifier

    Google

    將來自 Google 的 "nameidentifier" 宣告傳遞為 "nameidentifier"

    nameidentifier

    Windows Live ID

    將來自 Windows Live ID 的 "nameidentifier" 宣告傳遞為 "nameidentifier"

  7. 如果未看見所需的身分識別提供者,您應返回管理入口網站的 [身分識別提供者] 頁面,並加以指定。

  8. 若要加入身分識別提供者,請依照下列「作法」主題中所述的步驟操作:

此步驟說明如何建立傳遞規則。傳遞規則是指連出宣告與連入宣告完全相同的規則。

  1. 按一下 [規則群組]

  2. 在 [規則群組] 頁面上,按一下所需的規則群組,然後按一下 [加入]。

  3. 在 [加入宣告規則] 頁面上,指定下列屬性:

    • 宣告簽發者 — 從下拉式清單選擇您所需的身分識別提供者 (例如 Google 或 Windows Live ID),或按一下 [存取控制服務] 選項按鈕。

    • (和) 輸入宣告類型 — 指定 [任何] 以選擇所有的連入宣告,或從下拉式清單中選擇特定的宣告類型。

    • (和) 輸入宣告值 — 指定 [任何] 以傳遞所有宣告值,或在 [輸入值] 方塊中指定特定的宣告值,僅傳遞所指定的宣告值。

    • 輸出宣告類型 — 選取 [傳遞輸入宣告類型] 選項按鈕,以指定特定的宣告類型。

    • 輸出宣告值 — 選取 [傳遞輸入宣告值] 選項按鈕,以指定特定的宣告值。

    • (建議使用) 您可以選擇性地加入規則的描述,然後按一下 [儲存]。

此步驟說明如何建立相對於自動產生和傳遞規則的進階轉換規則。

  1. 按一下 [規則群組]

  2. 在 [規則群組] 頁面上,按一下所需的規則群組,然後按一下 [加入]。

  3. 在 [加入宣告規則] 頁面上,指定下列屬性:

    • 宣告簽發者 — 如果您想要從身分識別提供者轉換宣告 (例如 Windows Live ID、Google、Facebook 和 yahoo!),請選取特定的 [身分識別提供者] 選項按鈕。如果您想要轉換服務身分識別的宣告 (如果是 Web 服務) 或其他規則的宣告輸出,請選取 [存取控制服務]。

    • (和) 輸入宣告類型 — 從下拉式方塊中選取您要轉換的宣告類型,若未列出,則在 [輸入類型] 文字方塊中輸入宣告類型。

    • (和) 輸入宣告值 — 如果您要轉換僅符合特定值的宣告,請在 [輸入值] 文字方塊中指定此值。

    • 輸出宣告類型 — 選取您要對應至連入宣告的輸出宣告類型,若未列出,則在 [輸入類型] 文字方塊中輸入宣告類型。

    • 輸出宣告值 — 如果您要在輸出宣告中產生常數值,請在 [輸入值] 文字方塊中指定此值。

此步驟說明如何檢閱包含宣告轉換規則的規則群組。規則群組會直接與信賴憑證者應用程式相關聯。一個規則群組可用於多個信賴憑證者應用程式,而一個信賴憑證者應用程式可以參照多個規則群組。若要檢閱可用的規則群組,請遵循先前在步驟 1 – 瀏覽至管理入口網站的 [規則群組] 頁面中列出的步驟。

此步驟說明如何為信賴憑證者 (Web 應用程式或 RESTful Web 服務) 設定特定的規則群組。

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  3. 按一下 [信賴憑證者應用程式]。

  4. 在 [信賴憑證者應用程式] 頁面上,按一下所需的信賴憑證者。

  5. 向下捲動至 [規則群組] 區段,然後核取您要為此信賴憑證者套用的所有規則群組。

  6. 按一下 [儲存]

社群新增項目

新增
顯示:
© 2015 Microsoft