Como implementar a lógica de transformação de token usando regras

Atualizado: 19 de junho de 2015

Aplica-se ao Azure

Aplica-se A

• Access Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS)

Resumo

Este tópico descreve como usar o Portal de Gerenciamento do ACS para criar regras que transformam declarações de entrada em declarações de saída.

Sumário

• Objetivos

• Visão geral

• Resumo das etapas

• Etapa 1 – Navegue até a página de grupos de regras do Portal de Gerenciamento

• Etapa 2 – Gere novas regras automaticamente

• Etapa 3 – Crie regras de passagem

• Etapa 4 – Crie regras de transformação avançada

• Etapa 5 – Examine os grupos de regras disponíveis

• Etapa 6 – Configure a terceira parte confiável para uso para grupos de regras específicas

Objetivos

• Familiarize-se com a seção do Portal de Gerenciamento de Controle de Acesso relacionada às regras de transformação de declarações.

• Crie regras básicas.

• Crie regras avançadas.

• Crie regras com base em declarações do provedor de identidade.

• Crie regras com base em declarações ACS.

Visão geral

As regras de declaração descrevem a lógica para transformar declarações de entrada acs em declarações de saída. As regras estão contidas em grupos de regras que estão associados a aplicativos de terceira parte confiável. As regras são executadas sempre que um token é emitido para ACS para o aplicativo de terceira parte confiável. Se um grupo de regras não contiver nenhuma regra, o ACS não emitirá tokens para o aplicativo de terceira parte confiável.

Resumo das etapas

Para criar regras de transformação de declarações de token, use as etapas a seguir. Observe que algumas das etapas são opcionais em alguns cenários.

• Etapa 1 – Navegue até a página de grupos de regras do Portal de Gerenciamento

• Etapa 2 – Gere novas regras automaticamente

• Etapa 3 – Crie regras de passagem

• Etapa 4 – Crie regras de transformação avançada

• Etapa 5 – Examine os grupos de regras disponíveis

• Etapa 6 – Configure a terceira parte confiável para uso para grupos de regras específicas

Etapa 1 – Navegue até a página de grupos de regras do Portal de Gerenciamento

Esta etapa mostra como navegar até a págin Grupos de Regras do Portal de Gerenciamento onde as regras são criadas e adicionadas aos grupos de regra.

Para navegar até a página Grupos de Regras do Portal de Gerenciamento

1. Acesse o Portal de Gerenciamento de Microsoft Azure (https://manage.WindowsAzure.com), entre e clique no Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

2. Para criar um namespace do Access Control clique em Novo, clique em Serviços de Aplicativo, clique em Access Control, e depois em Criação Rápida. (Or, clique em Namespaces do Access Control antes de clicar em Novo.)

3. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

4. Na página Serviço de Controle de Acesso, clique em Grupos de Regras.

Etapa 2 – Gere novas regras automaticamente

Esta etapa mostra como gerar regras padrão básicas.

Para gerar regras básicas automaticamente

1. Clique em Grupos de regras.

2. Para criar um novo grupo de regras, na página Grupos de Regras, clique em Adicionar.

3. Digite um nome para o novo grupo de regras e, em seguida, clique em Salvar.

4. Para gerar automaticamente as regras básicas, clique em Gerar regras.

5. Na página Gerar regras, especifique o provedor de identidade na caixa de seleção ao lado da regra que deseja gerar e, em seguida, clique em Gerar.

6. Examine as regras geradas automaticamente. Por exemplo, as regras geradas automaticamente para Google e Windows Live ID (conta microsoft) seriam semelhantes aos resultados na tabela a seguir.) Se o provedor de identidade for exibido, clique em Salvar.

   Declaração de saída	Emissor da declaração	Descrição da regra
   emailaddress	Google	Declaração de passagem "emailaddress" do Google como "emailaddress"
   name	Google	Declaração de passagem "name" do Google como "name"
   nameidentifier	Google	Declaração de passagem "nameidentifier" do Google como "nameidentifier"
   nameidentifier	Windows Live ID	Declaração de passagem "nameidentifier" do Windows Live ID como "nameidentifier"

7. Se o provedor de identidade desejado não for exibido, será necessário retornar para a página Provedores de Identidade do Portal de Gerenciamento e especificá-lo.

8. Para adicionar provedores de identidade siga as etapas descritas nos tópicos de instruções a seguir:

   • Como configurar o Google como um provedor de identidade

   • Como configurar o Yahoo! como um provedor de identidade

   • Como configurar o Facebook como um provedor de identidade

   • Como configurar o AD FS 2.0 como um provedor de identidade

Etapa 3 – Crie regras de passagem

Esta etapa mostra como criar regras de passagem. Uma regra de passagem é onde as declarações de saída são exatamente iguais que as declarações de entrada.

Para criar regras de passagem

1. Clique em Grupos de regras.

2. Na página Grupos de regras, clique no grupo de regra desejado e, em seguida, clique em Adicionar.

3. Na página Adicionar Regra de Declaração, especifique os atributos a seguir:

   • Emissor de declarações— Escolha o provedor de identidade desejado na lista suspensa (por exemplo, Google ou Windows Live ID) ou clique no botão de opção Serviço de controle de acesso.

   • (E) Tipo de declaração de entrada— Especifique Todos para todas as declarações ou escolha um tipo de declaração específico na lista suspensa.

   • (E) Valor de declaração de entrada— Especifique Todos para todos os valores de declarações a serem transmitidos ou especifique um determinado valor de declaração na caixa Inserir valor para transmitir apenas o especificado.

   • Tipo de declaração de saída— Especifique um determinado tipo de declaração selecionando o botão de opção Transmitir tipo de declaração de entrada.

   • Valor de declaração de saída— Especifique um determinado valor de declaração selecionando o botão de opção Transmitir valor de declaração de entrada.

   • Opcionalmente, você pode adicionar uma descrição para a regra e clicar em Salvar (recomendado).

Etapa 4 – Crie regras de transformação avançada

Esta etapa mostra como criar regras de transformação avançada em vez de regras geradas automaticamente e de passagem.

Para criar regras de transformação avançada

1. Clique em Grupos de regras.

2. Na página Grupos de regras, clique no grupo de regra desejado e, em seguida, clique em Adicionar.

3. Na página Adicionar Regra de Declaração, especifique os atributos a seguir:

   • Emissor de declarações— selecione o botão de opção Provedor de identidade específico se desejar transformar declarações de provedores de identidade, como Windows Live ID, Google, Facebook e Yahoo! Selecione Serviço de Controle de Acesso se desejar transformar as declarações de identidades de serviço (no caso de serviços da Web) ou as declarações de saída de outras regras.

   • (E) Tipo de declaração de entrada— Selecione o tipo de declaração que deseja transformar na caixa suspensa ou, se ele não estiver listado, digite o tipo de declaração na caixa de texto Inserir Tipo.

   • (E) Valor de declaração de entrada— Especifique um valor específico na caixa de texto Inserir Valor se desejar transformar uma declaração que corresponda a esse valor apenas.

   • Tipo de declaração de saída— Selecione o tipo da declaração de saída que deseja mapear para a declaração de entrada ou, se não estiver listado, digite o tipo de declaração na caixa de texto Inserir Tipo.

   • Valor de declaração de saída— Especifique um valor específico na caixa de texto Inserir Valor se desejar gerar um valor constante na declaração de saída.

Etapa 5 – Examine os grupos de regras disponíveis

Esta etapa mostra como examinar os grupos de regras que contêm regras de transformação de declarações. Os grupos de regras são associados diretamente a aplicativos de terceira parte confiável. Um grupo de regras pode ser usado por mais de um aplicativo de terceira parte confiável e um aplicativo de terceira parte confiável pode fazer referência a mais de um grupo de regras. Para examinar os grupos de regras disponíveis, siga as etapas descritas anteriormente na Etapa 1 – Navegue até a página Grupos de Regras do Portal de Gerenciamento.

Etapa 6 – Configure uma terceira parte confiável para uso para grupos de regras específicas

Esta etapa mostra como definir grupos de regras específicas para uma terceira parte confiável (um aplicativo da Web ou serviço da Web RESTful).

Para configurar uma terceira parte confiável a ser usada para grupos de regras específicas

1. Acesse o Portal de Gerenciamento de Microsoft Azure (https://manage.WindowsAzure.com), entre e clique no Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

3. Clique em Aplicativos de terceira parte confiável.

4. Na página Aplicativos de terceira parte confiável, clique na terceira parte confiável desejada.

5. Role para baixo até a seção Grupos de Fegras e marque todos os grupos de regras que deseja aplicar para essa terceira parte confiável.

6. Clique em Save (Salvar).