Anvisningar: Implementera tokentransformeringslogik med hjälp av regler
Uppdaterad: 19 juni 2015
Gäller för: Azure
Gäller för
- Microsoft Azure Active Directory Access Control (även kallat Access Control Service eller ACS)
Sammanfattning
Det här avsnittet beskriver hur du använder ACS-hanteringsportalen för att skapa regler som omvandlar indataanspråk till utdataanspråk.
Innehåll
Mål
Översikt
Sammanfattning av steg
Steg 1 – Gå till sidan Regelgrupper i hanteringsportalen
Steg 2 – Generera nya regler automatiskt
Steg 3 – Skapa Pass-Through regler
Steg 4 – Skapa avancerade transformeringsregler
Steg 5 – Granska tillgängliga regelgrupper
Steg 6 – Konfigurera den förlitande parten att använda för specifika regelgrupper
Mål
Bekanta dig med avsnittet Access Control Hanteringsportal som rör regler för anspråkstransformering.
Skapa grundläggande regler.
Skapa avancerade regler.
Skapa regler baserat på identitetsproviderns anspråk.
Skapa regler baserat på ACS-anspråk.
Översikt
Anspråksregler beskriver logiken för att omvandla ACS-indataanspråk till utdataanspråk. Regler finns i regelgrupper som är associerade med förlitande partprogram. Reglerna körs när en token utfärdas till ACS för det förlitande partprogrammet. Om en regelgrupp inte innehåller några regler utfärdar ACS inte token till det förlitande partprogrammet.
Sammanfattning av steg
Använd följande steg för att skapa regler för omvandling av tokenanspråk. Observera att vissa av stegen är valfria i vissa scenarier.
Steg 1 – Gå till sidan Regelgrupper i hanteringsportalen
Steg 2 – Generera nya regler automatiskt
Steg 3 – Skapa Pass-Through regler
Steg 4 – Skapa avancerade transformeringsregler
Steg 5 – Granska tillgängliga regelgrupper
Steg 6 – Konfigurera den förlitande parten att använda för specifika regelgrupper
Steg 1 – Gå till sidan Regelgrupper i hanteringsportalen
Det här steget visar hur du navigerar till sidan Regelgrupper i hanteringsportalen där regler skapas och läggs till i regelgrupperna.
Så här navigerar du till sidan Regelgrupper i hanteringsportalen
Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)
Om du vill skapa ett Access Control namnområde klickar du på Nytt, klickar på App Services, klickar på Access Control och sedan på Snabbskapa. (Eller klicka på Access Control namnområden innan du klickar på Ny.)
Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control Namnområden, välj namnområdet och klicka sedan på Hantera.)
På sidan Access Control Service klickar du på Regelgrupper.
Steg 2 – Generera nya regler automatiskt
Det här steget visar hur du genererar grundläggande standardregler.
Så här skapar du grundläggande regler automatiskt
Klicka på Regelgrupper.
Om du vill skapa en ny regelgrupp klickar du på Lägg till på sidan Regelgrupper.
Ange ett namn för den nya regelgruppen och klicka sedan på Spara.
Om du vill generera grundläggande regler automatiskt klickar du på Generera regler.
På sidan Generera regler anger du identitetsprovidern i kryssrutan bredvid den regel som du vill generera och klickar sedan på Generera.
Granska de automatiskt genererade reglerna. Till exempel skulle reglerna som genereras automatiskt för Google och Windows Live ID (Microsoft-konto)se ut ungefär som resultaten i följande tabell.) Om identitetsprovidern visas klickar du på Spara.
Utdataanspråk Anspråks utfärdare Regelbeskrivning emailaddress
Google
Genomströmningsanspråket "emailaddress" från Google som "emailaddress"
name
Google
Genomströmningsanspråk för "namn" från Google som "namn"
nameidentifier
Google
Genomströmningsanspråket "nameidentifier" från Google som "nameidentifier"
nameidentifier
Windows live-ID
Direktanspråket "nameidentifier" från Windows Live ID som "nameidentifier"
Om du inte ser önskad identitetsprovider bör du gå tillbaka till sidan Identitetsprovidrar i hanteringsportalen och ange den.
Om du vill lägga till identitetsprovidrar följer du stegen som beskrivs i följande How-To avsnitt:
Steg 3 – Skapa Pass-Through regler
Det här steget visar hur du skapar regler för direktströmning. En genomströmningsregel är en regel där utgående anspråk är exakt samma som inkommande anspråk.
Så här skapar du regler för direktströmning
Klicka på Regelgrupper.
På sidan Regelgrupper klickar du på önskad regelgrupp och sedan på Lägg till.
På sidan Lägg till anspråksregel anger du följande attribut:
Utfärdare av anspråk – Välj önskad identitetsprovider i listrutan (till exempel Google eller Windows Live-ID) eller klicka på Access Control service-alternativknappen.
(Och) Typ av indataanspråk – Ange antingen Alla för alla inkommande anspråk eller välj en specifik anspråkstyp i listrutan.
(Och) Indataanspråksvärde – Ange alla för alla anspråksvärden som ska skickas eller ange ett specifikt anspråksvärde i rutan Returvärde för att endast skicka igenom det angivna.
Utdataanspråkstyp – Ange en specifik anspråkstyp genom att välja alternativknappen Skicka indataanspråkstyp .
Utdataanspråksvärde – Ange ett specifikt anspråksvärde genom att välja alternativknappen Skicka indataanspråkvärde .
Du kan också (rekommenderas) lägga till en beskrivning av regeln och sedan klicka på Spara.
Steg 4 – Skapa avancerade transformeringsregler
Det här steget visar hur du skapar avancerade transformeringsregler i stället för automatiskt genererade regler och genomströmningsregler.
Skapa avancerade transformeringsregler
Klicka på Regelgrupper.
Klicka på önskad regelgrupp på sidan Regelgrupper och klicka sedan på Lägg till.
På sidan Lägg till anspråksregel anger du följande attribut:
Anspråks utfärdare – Välj den specifika identitetsproviderns alternativknapp om du vill omvandla anspråk från identitetsprovidrar, till exempel Windows Live ID, Google, Facebook och Yahoo! Välj Access Control Service om du vill omvandla anspråk på tjänstidentiteter (när det gäller webbtjänster) eller anspråksutdata från andra regler.
(Och) Typ av inkommande anspråk – Välj den typ av anspråk som du vill transformera från listrutan eller ange anspråkstypen i textrutan Returtyp om den inte visas där.
(Och) Inkommande anspråksvärde – Ange ett specifikt värde i textrutan Ange värde om du vill transformera ett anspråk som endast matchar det här värdet.
Utgående anspråkstyp – Välj den typ av utdataanspråk som du vill mappa till det inkommande anspråket eller ange anspråkstypen i textrutan Returtyp om det inte visas där.
Utgående anspråksvärde – Ange ett specifikt värde i textrutan Returvärde om du vill generera ett konstant värde i utdataanspråket.
Steg 5 – Granska tillgängliga regelgrupper
Det här steget visar hur du granskar regelgrupper som innehåller regler för anspråkstransformering. Regelgrupper associeras direkt med förlitande partprogram. En regelgrupp kan användas av fler än ett förlitande part-program och ett förlitande part-program kan referera till mer än en regelgrupp. Om du vill granska de tillgängliga regelgrupperna följer du stegen som beskrevs tidigare i Steg 1 – Navigera till sidan Regelgrupper i hanteringsportalen.
Steg 6 – Konfigurera en förlitande part att använda för specifika regelgrupper
Det här steget beskriver hur du anger specifika regelgrupper för en förlitande part (ett webbprogram eller EN RESTful-webbtjänst).
Så här konfigurerar du en förlitande part att använda för specifika regelgrupper
Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)
Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control namnområden, välj namnområdet och klicka sedan på Hantera.)
Klicka på Program från förlitande part.
På sidan Program för förlitande part klickar du på önskad förlitande part.
Rulla ned till avsnittet Regelgrupper och kontrollera sedan alla regelgrupper som du vill använda för den förlitande parten.
Klicka på Spara.