Szabálycsoportok és szabályok
Frissítve: 2015. június 19.
A következőkre vonatkozik: Azure
A Microsoft Azure Active Directory Access Control (más néven Access Control Szolgáltatás vagy ACS) szabálycsoport olyan jogcímszabályok nevesített készlete, amelyek meghatározzák, hogy az identitásszolgáltatók mely identitásjogcímeket adják át a függő entitásalkalmazásnak. Az ACS-ben a szabálycsoportok függő entitásalkalmazásokhoz vannak társítva. A szabálycsoportokat több függő entitásalkalmazás is használhatja, és egy függő entitásalkalmazás több szabálycsoportra is hivatkozhat.
Amikor az ACS jogkivonat-kérést vagy jogkivonatot kap egy identitásszolgáltatótól, a függő entitás alkalmazásához társított összes szabálycsoporton végigfut a jogkivonat jogcímeinek feldolgozásához. Az összes szabálycsoport egyidejűleg fut, ahogy az egyes szabálycsoportokban lévő összes szabály is (a sorrend nem számít). Ha a szabályok miatt a futtatás befejezése után minden új jogcím ki lesz adva, akkor a rendszer újra futtatja a függő entitás alkalmazásához társított szabálycsoportokat. A szabály- és szabálycsoport-futtatási folyamat leáll, ha nem ad ki új jogcímet a futtatási folyamat befejezése után, vagy ha az ACS tíz futtatást végez (amelyik előbb következik be).
Szabálycsoportokat és szabályokat manuálisan, az ACS felügyeleti portálon vagy programozott módon hozhat létre és szerkeszthet az ACS Felügyeleti szolgáltatással.
Szabályok konfigurálása az ACS felügyeleti portállal
Szabálycsoportok létrehozása
Amikor hozzáadja és konfigurálja egy új függő entitás alkalmazásának tulajdonságait az ACS felügyeleti portálon, létrehozhat egy, a függő entitás alkalmazásához társított szabálycsoportot is, mivel alapértelmezés szerint az Új szabálycsoport létrehozása beállítás be van jelölve az ACS felügyeleti portál Függő entitás alkalmazás hozzáadása lapján. Határozottan javasoljuk, hogy hagyja bejelölve ezt a beállítást, és hozzon létre egy alapértelmezett szabálycsoportot az új függő entitásalkalmazáshoz. (További információ: "Szabálycsoportok" a függő entitásalkalmazásokban.) Szabálycsoportokat az ACS felügyeleti portál Szabálycsoportok szakaszával is hozzáadhat. Ezután, amikor függő entitásbeli alkalmazásokat ad hozzá a Függő entitás alkalmazás hozzáadása lapon, társíthatja őket egy vagy több meglévő szabálycsoporttal.
Szabályok létrehozása
A szabálycsoport létrehozása után az ACS felügyeleti portál Szabálycsoport szerkesztése lapján automatikusan létrehozhat szabályokat. Ha úgy dönt, hogy automatikusan hoz létre szabályokat, a rendszer kérni fogja, hogy válassza ki azokat az identitásszolgáltatókat, amelyekhez létre szeretné hozni a szabályokat. Ha a szabálycsoport egy vagy több függő entitásbeli alkalmazáshoz van társítva, a rendszer alapértelmezés szerint kiválasztja a függő entitásalkalmazások által használt identitásszolgáltatókat.
Megjegyzés
WS-Federation identitásszolgáltatók esetében minden olyan jogcímtípushoz létrejön egy szabály, amelyet az identitásszolgáltató WS-Federation metaadatai kínálnak, és ez a szabály áthalad a jogcím típusán és értékén. Más identitásszolgáltatók esetében az átmenő szabályok az előre meghatározott jogcímtípusok listája alapján jönnek létre.
Szabályok megtekintése, hozzáadása és szerkesztése
Az ACS felügyeleti portál Szabálycsoport szerkesztése lapján megjelenik egy tábla összes szabálya, ahol az oszlopok tartalmazzák a szabály kimeneti jogcímét , a jogcímkibocsátót (lehet identitásszolgáltató vagy ACS) és egy leírást.
Ha a táblában egy adott szabályra kattint, a rendszer átirányítja a Jogcímszabály szerkesztése lapra, ahol a szabály szerkeszthető. Új szabály manuális hozzáadásához kattintson a Hozzáadás gombra.
Jogcímszabályok
A jogcímszabályok azt a logikát írják le, hogy az ACS hogyan alakítja át a bemeneti jogcímeket kimeneti jogcímekké. A szabályok szabálycsoportokban találhatók, amelyek függő entitásalkalmazásokhoz vannak társítva, és minden olyan esetben futnak, amikor az ACS jogkivonatot ad ki egy alkalmazáshoz. Ha egy szabálycsoport nem tartalmaz szabályokat, akkor a függő entitás alkalmazása nem ad ki jogkivonatot. Általában egy szabályra van szükség minden olyan jogcímtípushoz, amelyet ki szeretne adni a függő entitás alkalmazásának. Csak egy szabályt lehet létrehozni és használni az összes jogcímtípus és érték átadásához. A minden jogcímtípusra vonatkozó szabály használata azonban javítja a biztonságot, és nagyobb ellenőrzést biztosít az alkalmazásnak átadott adatok felett.
Az ACS-ben úgy konfigurálhat egy szabályt, hogy az identitásszolgáltatótól vagy ügyféltől kapott jogcímet a függő entitás alkalmazásának továbbítsa anélkül, hogy módosítaná a jogcím típusát, kiállítóját vagy értékét. Ezeket a szabályokat átmenő szabályoknak nevezzük. Az Windows Live ID (Microsoft-fiók) által kibocsátott jogkivonatok például névazonosító jogcímtípust tartalmaznak. Ha a jogcímet változatlanul szeretné átadni a függő entitás alkalmazásának, konfigurálnia kell egy átmenő szabályt, amely feldolgozza a jogcímkibocsátó bemeneti nameidentifier jogcímtípusát, Windows élő azonosítót, és létrehoz egy azonos kimeneti jogcímet.
Az alábbi táblázat egy Contoso.com nevű fiktív AD FS 2.0 identitásszolgáltatótól továbbított jogcímeket szemléltet.
| Bemeneti jogcímek | Kimeneti jogcímek | ||||
|---|---|---|---|---|---|
|
Kibocsátó |
Típus |
Érték |
Kibocsátó |
Típus |
Érték |
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
123456789 |
Access Control szolgáltatás |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
123456789 |
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
john@contoso.com |
Access Control szolgáltatás |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
john@contoso.com |
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
John Doe |
Access Control szolgáltatás |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
John Doe |
Az ACS-szabálymotor lehetővé teszi a bemeneti jogcímek teljesen különböző kimeneti jogcímekké való átalakítását a jogcímkibocsátó, a bemeneti jogcím típusa és az érték alapján. Más szóval az ACS szabálymotor lehetővé teszi, hogy a bemeneti jogkivonatokat különböző kimeneti jogkivonatokká alakítsa a jogkivonatok által tartalmazott jogcímek hozzáadásával, eltávolításával vagy módosításával. A jogcímátalakítás ezen formája lehetővé teszi, hogy az ACS alapszintű engedélyezést implementáljon a jogcímbemeneti értékek alapján. Az alábbi példa egy "szerepkör" jogcímtípust mutat be, amelynek kimenete "rendszergazda", ha a "nameidentifier" bemeneti jogcím egy adott értéknek felel meg.
| Bemeneti jogcímek | Kimeneti jogcímek | ||||
|---|---|---|---|---|---|
|
Kibocsátó |
Típus |
Érték |
Kibocsátó |
Típus |
Érték |
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
123456789 |
Access Control szolgáltatás |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
adminisztrátor |
Az ACS-szabálymotor emellett lehetővé teszi a kimeneti jogcímek létrehozását két bemeneti jogcím együttese alapján. Az alábbi példában a kimeneti jogcím "művelet" típusú, "write" értékkel, ha a "nameidentifier" és a "role" bemeneti jogcímek Contoso.com megfelelnek bizonyos értékeknek. Ha egy szabály két bemeneti jogcímet határoz meg, mindkét értéknek egyeznie kell a kimeneti jogcím létrehozásához.
| Bemeneti jogcímek | Ouutput-jogcímek | ||||
|---|---|---|---|---|---|
|
Kibocsátó |
Típus |
Érték |
Kibocsátó |
Típus |
Érték |
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
123456789 |
Access Control szolgáltatás
|
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/action
|
írás
|
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/role |
adminisztrátor |
|||
A jogkivonat-átalakítás szabályok használatával történő implementálásával kapcsolatos további információkért és lépésekért lásd : How to: Implement Token Transformation Logic Using Rules.
Ha új jogcímszabályokat ad hozzá vagy szerkeszt az ACS felügyeleti portállal, a következő beállításokat kell konfigurálnia:
Szabályfeltételek (ha) – Bemeneti jogcím hozzáadása
Ez a szakasz azokat a feltételeket tartalmazza, amelyeknek igaznak kell lenniük ahhoz, hogy a szabály kimeneti jogcímet állít ki. Ezek a feltételek a következők:
Jogcímkibocsátó – A bemeneti jogcímet kibocsátó entitásra vonatkozik. Ez lehet konfigurált identitásszolgáltató (például ) vagy ACS. Az ACS a kibocsátó, ha a bemeneti jogcím szolgáltatásidentitásból származik, vagy a bemeneti jogcím egy másik jogcímszabályból származik. További információ: Szolgáltatásidentitások.
Bemeneti jogcím típusa – A jogcímkibocsátótól kapott bemeneti jogcímtípusra vonatkozik. Például a "nameidentifier" teljes jogcímtípusa.https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier A mező beállításai a következők:
Bármely – Igaz értéket ad vissza, ha bármilyen jogcímtípus érkezik a kibocsátótól.
Típus kiválasztása – Igaz értéket ad vissza, ha a bemeneti jogcím típusa megegyezik a legördülő menüben kiválasztott típussal. Ez a menü a kiválasztott jogcímkibocsátóhoz elérhető jogcímtípusokkal van feltöltve.
Típus megadása – Igaz értéket ad vissza, ha a bemeneti jogcím típusa megegyezik a mezőben megadott pontos értékkel.
Fontos
Ez a mező megkülönbözteti a kis- és nagybetűt.
Bemeneti jogcím értéke – A kapott bemeneti jogcím értékére vonatkozik. A "nameidentifier" jogcímtípus például egy e-mail-címet használ értékként, és ez a mező egy adott e-mail-cím keresésére használható. A mező beállításai a következők:
Bármely – Igaz értéket ad vissza, ha a kibocsátótól bármilyen jogcímérték érkezik.
Érték megadása – Igaz értéket ad vissza, ha a bemeneti jogcím típusa megegyezik a mezőben megadott pontos értékkel. Ehhez a beállításhoz ki kell jelölni vagy be kell írni egy adott bemeneti jogcímtípust a Bemeneti jogcím típusa mezőben.
Fontos
Ez a mező megkülönbözteti a kis- és nagybetűt.
Szabályfeltételek (ha) – Második bemeneti jogcím hozzáadása
Ha egy második jogcímet szeretne hozzáadni a szabályhoz, kattintson a Második bemeneti jogcím hozzáadása elemre. Ez lehetővé teszi az alább látható további feltételek megadását. Vegye figyelembe, hogy egy két bemeneti jogcímet tartalmazó szabályban minden feltételnek teljesülnie kell a kimeneti jogcím létrehozásához.
Jogcímkibocsátó – A második bemeneti jogcímet kibocsátó entitásra vonatkozik. Ez lehet ugyanaz az identitásszolgáltató, amely az első jogcímhez van kiválasztva, vagy lehet ACS. Válassza az ACS lehetőséget, ha más jogcímszabályokból létrehozott jogcímeket szeretne megadni a szabályok feldolgozása során.
Fontos
Az első és a második jogcímhez nem választható két különböző identitásszolgáltató, mivel a szabályok feldolgozása egyszerre csak egy identitásszolgáltatótól kibocsátott jogkivonatra történik.
Bemeneti jogcím típusa – A jogcímkibocsátótól kapott bemeneti jogcímtípusra vonatkozik. Például a "nameidentifier" teljes jogcímtípusa.https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier A mező beállításai a következők:
Típus kiválasztása – Igaz értéket ad vissza, ha a bemeneti jogcím típusa megegyezik a legördülő menüben kiválasztott típussal. Ez a menü a kiválasztott jogcímkibocsátóhoz elérhető jogcímtípusokkal van feltöltve.
Típus megadása – Igaz értéket ad vissza, ha a bemeneti jogcím típusa megegyezik a mezőben megadott pontos értékkel.
Fontos
Ez a mező megkülönbözteti a kis- és nagybetűt.
Bemeneti jogcím értéke – A kapott bemeneti jogcím értékére vonatkozik. A "nameidentifier" jogcímtípus például egy e-mail-címet használ értékként, és ez a mező egy adott e-mail-cím keresésére használható. Ez igaz értéket ad vissza, ha a bemeneti jogcím típusa megegyezik a mezőben megadott pontos értékkel.
Fontos
Ez a mező megkülönbözteti a kis- és nagybetűt.
Szabályműveletek (majd)
Ez a szakasz az ACS által kiadott kimeneti jogcímet adja meg, ha a szabály If szakaszában szereplő feltételek teljesülnek. A kimeneti jogcím beállításai a következők:
Kimeneti jogcím típusa – Az ACS által kiadott jogcímtípus. A mező beállításai a következők:
Átmenő bemeneti jogcím típusa – Olyan kimeneti jogcímet ad ki, amely ugyanolyan típusú, mint a bemeneti jogcím.
Típus kiválasztása – A megadott típusú kimeneti jogcímet adja ki. A legördülő menü a gyakori jogcímtípusok listáját tartalmazza.
Típus megadása – A megadott típusú jogcímet adja ki. Ha a kimeneti jogcímnek jelen kell lennie egy SAML-jogkivonatban, akkor ennek az értéknek URI-nak kell lennie (például https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier).
Fontos
Ez a mező megkülönbözteti a kis- és nagybetűt.
Kimeneti jogcím értéke – Az ACS által kiadott kimeneti jogcím értékére vonatkozik. A mező beállításai a következők:
Átmenő bemeneti jogcím értéke – Olyan kimeneti jogcímet ad ki, amelynek értéke megegyezik a bemeneti jogcím értékével.
Érték megadása – Olyan jogcímet ad ki, amelynek az értéke ebben a mezőben van megadva. Ehhez a beállításhoz ki kell jelölni vagy be kell írni egy adott bemeneti jogcímtípust a Kimeneti jogcím típusa mezőben.
Fontos
Ez a mező megkülönbözteti a kis- és nagybetűt.
Szabály adatai
Ebben a szakaszban egy szabály leírását hozhatja létre.
Megjegyzés
Az ACS-ben a rendszer nem hozza létre automatikusan a szabályleírásokat a létrehozott szabályokhoz.
Szabályok konfigurálása az ACS felügyeleti szolgáltatással
Az Access Control névtérben lévő szabályok programozott módon konfigurálhatók az ACS felügyeleti szolgáltatással. A szabályok ASP.NET használatával történő konfigurálására vonatkozó példa: Kódminta: Felügyeleti szolgáltatás. Az alábbiakban fontos szempontokat kell figyelembe venni, amikor az ACS felügyeleti szolgáltatással konfigurálja a szabályokat:
Amikor szabályokat szerkeszt és töröl egy szabálycsoportban, javasoljuk, hogy először kérdezze le az ACS-t az adott szabálycsoporton belüli összes szabályhoz, és használja a lekérdezés által visszaadott szabályazonosítókat a szerkesztési vagy törlési műveletek végrehajtásához. Nem ajánlott a felügyeleti szolgáltatás által visszaadott azonosítókat tárolni a jövőbeli műveletekhez, mivel ezek az azonosítók nem garantáltan megmaradnak.
Ha automatikus újrapróbálkozási logikát ír a szabályok létrehozásához (például időtúllépés esetén), javasoljuk, hogy először kérdezze le, hogy létezik-e azonos szabály az aktuális szabálycsoportban, mielőtt újból megpróbálkozott volna vele.