Vorgehensweise: Implementieren der Tokentransformationslogik mithilfe von Regeln

Aktualisiert: 19. Juni 2015

Gilt für: Azure

Gilt für

• Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

Zusammenfassung

In diesem Thema wird beschrieben, wie Sie mithilfe des ACS-Verwaltungsportals Regeln erstellen, die Eingabeansprüche in Ausgabeansprüche umwandeln.

Inhalte

• Ziele

• Übersicht

• Zusammenfassung von Schritten

• Schritt 1 – Navigieren zur Seite "Regelgruppen" des Verwaltungsportals

• Schritt 2 – Automatisches Generieren neuer Regeln

• Schritt 3 – Erstellen von Pass-Through-Regeln

• Schritt 4 – Erstellen erweiterter Transformationsregeln

• Schritt 5 – Überprüfen der verfügbaren Regelgruppen

• Schritt 6 – Konfigurieren der für bestimmte Regelgruppen zu verwendenden vertrauenden Seite

Ziele

• Vertraut werden mit dem Abschnitt im Zugriffssteuerungs-Verwaltungsportal, der sich auf Transformationsregeln für Ansprüche bezieht.

• Erstellen grundlegender Regeln.

• Erstellen erweiterter Regeln.

• Erstellen von Regeln basierend auf Identitätsanbieteransprüchen.

• Erstellen Sie Regeln basierend auf ACS-Ansprüchen.

Übersicht

Anspruchsregeln beschreiben die Logik zum Transformieren von ACS-Eingabeansprüchen in Ausgabeansprüche. Regeln sind in Regelgruppen enthalten, die Anwendungen der vertrauenden Seite zugeordnet sind. Die Regeln werden ausgeführt, wenn ein Token für die Anwendung der vertrauenden Partei an ACS ausgegeben wird. Wenn eine Regelgruppe keine Regeln enthält, stellt ACS keine Token für die Anwendung der vertrauenden Partei aus.

Zusammenfassung von Schritten

Verwenden Sie die folgenden Schritte, um Regeln für die Tokenanspruchstransformation zu erstellen. Beachten Sie, dass einige Schritte in einigen Szenarien optional sind.

• Schritt 1 – Navigieren zur Seite "Regelgruppen" des Verwaltungsportals

• Schritt 2 – Automatisches Generieren neuer Regeln

• Schritt 3 – Erstellen von Pass-Through-Regeln

• Schritt 4 – Erstellen erweiterter Transformationsregeln

• Schritt 5 – Überprüfen der verfügbaren Regelgruppen

• Schritt 6 – Konfigurieren der für bestimmte Regelgruppen zu verwendenden vertrauenden Seite

Schritt 1 – Navigieren zur Seite "Regelgruppen" des Verwaltungsportals

In diesem Schritt wird die Navigation zur Seite Regelgruppen des Verwaltungsportals gezeigt, auf der Regeln erstellt und den Regelgruppen hinzugefügt werden.

So navigieren Sie zur Seite "Regelgruppen" des Verwaltungsportals

1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

2. Um einen Namespace für die Zugriffssteuerung zu erstellen, klicken Sie auf Neu, auf Anwendungsdienste, auf Zugriffssteuerung und dann auf Schnellerfassung. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung und dann auf Neu.)

3. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

4. Klicken Sie auf der Seite Zugriffssteuerungsdienst auf den Link Regelgruppen.

Schritt 2 – Automatisches Generieren neuer Regeln

Dieser Schritt zeigt, wie grundlegende Standardregeln generiert werden.

So generieren Sie grundlegende Regeln automatisch

1. Klicken Sie auf Regelgruppen.

2. Zum Erstellen einer neuen Regelgruppe klicken Sie auf der Seite Regelgruppen auf Hinzufügen.

3. Geben Sie einen Namen für die neue Regelgruppe ein, und klicken Sie dann auf Speichern.

4. Klicken Sie zum automatischen Erstellen grundlegender Regeln auf Regeln generieren.

5. Geben Sie auf der Seite Regeln generieren den Identitätsanbieter im Kontrollkästchen neben der zu generierenden Regel an, und klicken Sie dann auf Generieren.

6. Überprüfen Sie die automatisch generierten Regeln. Beispielsweise würden die Regeln, die automatisch für Google und Windows Live ID (Microsoft-Konto) generiert werden, ähnlich wie die Ergebnisse in der folgenden Tabelle aussehen.) Wenn der Identitätsanbieter angezeigt wird, klicken Sie auf Speichern.

   Ausgabeanspruch	Anspruchsaussteller	Regelbeschreibung
   emailaddress	Google	Pass-Through-Anspruch "emailaddress" von Google als "emailaddress"
   name	Google	Pass-Through-Anspruch "name" von Google als "name"
   nameidentifier	Google	Pass-Through-Anspruch "nameidentifier" von Google als "nameidentifier"
   nameidentifier	Windows Live ID	Pass-Through-Anspruch "nameidentifier" von Windows Live ID als "nameidentifier"

7. Wenn der gewünschte Identitätsanbieter nicht angezeigt wird, sollten Sie zur Seite Identitätsanbieter des Verwaltungsportals zurückkehren und diesen dann angeben.

8. Führen Sie die in den folgenden Vorgehensweisen beschriebenen Schritte aus, um Identitätsanbieter hinzuzufügen:

   • Vorgehensweise: Konfigurieren von Google als Identitätsanbieter

   • Gewusst wie: Konfigurieren von Yahoo! als Identitätsanbieter

   • Vorgehensweise: Konfigurieren von Facebook als Identitätsanbieter

   • Vorgehensweise: Konfigurieren von AD FS 2.0 als Identitätsanbieter

Schritt 3 – Erstellen von Pass-Through-Regeln

Dieser Schritt zeigt, wie Pass-Through-Regeln erstellt werden. Eine Pass-Through-Regel ist eine Regel, bei der ausgehende Ansprüche mit eingehenden Ansprüchen identisch sind.

So erstellen Sie Pass-Through-Regeln

1. Klicken Sie auf Regelgruppen.

2. Klicken Sie auf der Seite Regelgruppen auf die gewünschte Regelgruppe, und klicken Sie dann auf Hinzufügen.

3. Geben Sie auf der Seite Anspruchsregel hinzufügen die folgenden Attribute an:

   • Anspruchsaussteller - Wählen Sie den gewünschten Identitätsanbieter aus der Dropdownliste aus (z. B. Google oder Windows Live ID), oder klicken Sie auf das Optionsfeld Zugriffssteuerungsdienst.

   • (Und) Eingabeanspruchstyp - Geben Sie Alle für alle eingehenden Ansprüche an, oder wählen Sie einen bestimmten Anspruchstyp aus der Dropdownliste aus.

   • (Und) Eingabeanspruchswert - Geben Sie Alle für alle Pass-Through-Anspruchswerte an, oder geben Sie einen bestimmten Anspruchswert im Feld Wert eingeben an, um nur den angegebenen Wert mittels Pass-Through weiterzuleiten.

   • Ausgabeanspruchstyp - Geben Sie einen bestimmten Anspruchstyp an, indem Sie das Optionsfeld Pass-Through-Eingabeanspruchstyp aktivieren.

   • Ausgabeanspruchswert - Geben Sie einen bestimmten Anspruchswert an, indem Sie das Optionsfeld Pass-Through-Eingabeanspruchswert aktivieren.

   • Fügen Sie optional eine Beschreibung für die Regel hinzu (empfohlen), und klicken Sie dann auf Speichern.

Schritt 4 – Erstellen erweiterter Transformationsregeln

In diesem Schritt wird das Erstellen erweiterter Transformationsregeln im Gegensatz zu automatisch generierten und Pass-Through-Regeln gezeigt.

So erstellen Sie erweiterte Transformationsregeln

1. Klicken Sie auf Regelgruppen.

2. Klicken Sie auf der Seite Regelgruppen auf die gewünschte Regelgruppe, und klicken Sie dann auf Hinzufügen.

3. Geben Sie auf der Seite Anspruchsregel hinzufügen die folgenden Attribute an:

   • Anspruchsaussteller - Aktivieren Sie das betreffende Optionsfeld Identitätsanbieter, wenn Ansprüche von Identitätsanbietern (z. B. Windows Live ID, Google, Facebook und Yahoo!) transformiert werden sollen. Wählen Sie Zugriffssteuerungsdienst aus, wenn Ansprüche von Dienstidentitäten (im Fall von Webdiensten) oder die Anspruchsausgabe von anderen Regeln transformiert werden sollen.

   • (Und) Eingabeanspruchstyp - Wählen Sie den zu transformierenden Anspruchstyp aus der Dropdownliste aus. Wenn er dort nicht aufgelistet wird, geben Sie den Anspruchstyp in das Textfeld Typ eingeben ein.

   • (Und) Eingabeanspruchswert - Geben Sie einen bestimmten Wert in das Textfeld Wert eingeben ein, wenn ein Anspruch transformiert werden soll, der nur mit diesem Wert übereinstimmt.

   • (Und) Ausgabeanspruchstyp - Wählen Sie den Anspruchstyp aus, der dem eingehenden Anspruch zugeordnet werden soll. Wenn der Typ nicht aufgelistet wird, geben Sie den Anspruchstyp in das Textfeld Typ eingeben ein.

   • Ausgabeanspruchswert - Geben Sie einen bestimmten Wert in das Textfeld Wert eingeben ein, wenn ein konstanter Wert im Ausgabeanspruch generiert werden soll.

Schritt 5 – Überprüfen der verfügbaren Regelgruppen

In diesem Schritt wird gezeigt, wie Regelgruppen überprüft werden, die Anspruchstransformationsregeln enthalten. Regelgruppen werden direkt Anwendungen der vertrauenden Seite zugeordnet. Eine Regelgruppe kann von mehreren Anwendungen der vertrauenden Seite verwendet werden, und eine Anwendung der vertrauenden Seite kann auf mehrere Regelgruppen verweisen. Um die verfügbaren Regelgruppen zu überprüfen, führen Sie die zuvor in Schritt 1 beschriebenen Schritte aus: Navigieren Sie zur Seite "Regelgruppen" des Verwaltungsportals.

Schritt 6 – Konfigurieren der für bestimmte Regelgruppen zu verwendenden vertrauenden Seite

In diesem Schritt wird gezeigt, wie bestimmte Regelgruppen für eine vertrauende Seite (eine Webanwendung oder ein RESTful-Webdienst) festgelegt werden.

So konfigurieren Sie eine für bestimmte Regelgruppen zu verwendende vertrauende Seite

1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

3. Klicken Sie auf Anwendungen der vertrauenden Seite.

4. Klicken Sie auf der Seite Anwendungen der vertrauenden Seite auf die gewünschte vertrauende Seite.

5. Führen Sie einen Bildlauf nach unten bis zum Abschnitt Regelgruppen aus, und überprüfen Sie dann alle Regelgruppen, die auf diese vertrauende Seite angewendet werden sollen.

6. Klicken Sie auf Speichern.