Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Abyste porozuměli gramatikě pravidel deklarací identity, musíte nejprve pochopit deklarace zásad ověření identity.
Deklarace identity
Deklarace identity je sada vlastností seskupených dohromady, aby poskytovala relevantní informace. Pro ověření identity Azure obsahuje deklarace identity následující vlastnosti:
- type: Řetězcová hodnota, která představuje typ deklarace identity.
- value: Logická hodnota, celé číslo nebo řetězcová hodnota, která představuje hodnotu deklarace identity.
- valueType: Datový typ informací uložených ve vlastnosti value. Podporované typy jsou String, Integer a Boolean. Pokud není definovaná, výchozí hodnota je String.
- vystavitel: Informace týkající se vystavitele deklarace identity. Vystavitel je jedním z následujících typů.
- AttestationService: Určité deklarace identity jsou zpřístupněny autorovi zásad ověřením identity Azure, které může autor zásad ověření identity použít k vytvoření příslušné zásady.
- AttestationPolicy: Samotná zásada (definovaná správcem) může během zpracování přidávat deklarace identity do příchozích důkazů. Vystavitel v tomto případě je nastaven na "AttestationPolicy".
- CustomClaim: Attestor (klient) může také přidat další deklarace identity k důkazu ověření identity. Vystavitel v tomto případě je nastaven na CustomClaim.
Pokud není definovaná, výchozí hodnota je CustomClaim.
Pravidlo deklarace identity
Příchozí sadu deklarací identity používá modul zásad k výpočtu výsledku ověření identity. Pravidlo deklarace identity je sada podmínek používaných k ověření příchozích deklarací identity a provedení definované akce.
Conditions list => Action (Claim)
Vyhodnocení ověření identity Azure pro pravidlo deklarace identity zahrnuje následující kroky:
- Pokud seznam podmínek není k dispozici, spusťte akci se zadanou deklarací identity. V opačném případě vyhodnoťte podmínky ze seznamu podmínek.
- Pokud se seznam podmínek vyhodnotí jako false, zastavte. V opačném případě pokračujte.
Podmínky v pravidle deklarace identity slouží k určení, jestli je potřeba provést akci. Seznam podmínek je posloupnost podmínek oddělených operátorem &>.
Seznam podmínek je strukturovaný takto:
Condition && Condition && ...
Podmínka je strukturovaná takto:
Identifier:[ClaimPropertyCondition, ClaimPropertyCondition,…]
Seznam podmínek se skládá z jednotlivých podmínek pro různé vlastnosti deklarace identity. Podmínka může mít volitelný identifikátor, který lze použít k odkazování deklarace identity nebo s, která splňují podmínku. Tento odkaz lze použít v jiných podmínkách nebo v akci stejného pravidla.
Například
F1:[type=="OSName" , issuer=="CustomClaim"] &&
[type=="OSName" , issuer=="AttestationService", value== F1.value ]
=> issueproperty(type="report_validity_in_minutes", value=1440);
F1:[type=="OSName" , issuer=="CustomClaim"] &&
C2:[type=="OSName" , issuer=="AttestationService", value== F1.value ]
=> issue(claim = C2);
Níže jsou uvedené operátory, které lze použít ke kontrole podmínek:
| Valuetype | Podporované operace |
|---|---|
| Celé číslo | == (rovná se), != (nerovná se), <= (menší než nebo rovno), < (menší než), >= (větší než nebo rovno), > (větší než) |
| String | == (rovná se), != (nerovná se) |
| Logická hodnota | == (rovná se), != (nerovná se) |
Vyhodnocení seznamu podmínek:
- Přítomnost operátoru &> znamená, že seznam podmínek je vyhodnocen jako true pouze v případě, že jsou všechny podmínky ze seznamu vyhodnoceny jako true.
- Podmínka představuje kritéria filtrování sady deklarací identity. Samotná podmínka je vyhodnocena jako true, pokud je nalezena alespoň jedna deklarace identity, která splňuje podmínku.
- Deklarace identity se říká, že splňuje kritérium filtrování reprezentované podmínkou, pokud každá z jejích vlastností splňuje odpovídající podmínky vlastnosti deklarace identity, které jsou v podmínce.
Sada akcí, které jsou povoleny v zásadách:
| Příkaz akce | Popis | Oddíly zásad, na které se vztahují |
|---|---|---|
| permit() | Příchozí sadu deklarací identity je možné použít k výpočtu pravidel vystavování. Nepřebírají žádnou deklaraci identity jako parametr. | autorizační pravidla |
| deny() | Příchozí sada deklarací identity by neměla být použita pro výpočet pravidel vystavování . Nepřebírají žádnou deklaraci identity jako parametr. | autorizační pravidla |
| add(claim) | Přidá deklaraci identity do sady příchozích deklarací identity. Všechny deklarace identity přidané do sady příchozích deklarací identity jsou k dispozici pro další pravidla deklarací identity. | autorizační pravidla, pravidla vystavování |
| issue(deklarace identity) | Přidá deklaraci identity do sady příchozích a odchozích deklarací identity. | pravidla vystavování |
| issueproperty(deklarace identity) | Přidá deklaraci identity do příchozí sady deklarací identity a deklarací vlastností. | pravidla vystavování |