Skupiny pravidel a pravidla
Aktualizováno: 19. června 2015
Platí pro: Azure
V Microsoft Azure Active Directory Access Control (označované také jako služba Access Control service nebo ACS) je skupina pravidel pojmenovaná sada pravidel deklarací identity, která definují, které deklarace identity se předávají od zprostředkovatelů identity do aplikace předávající strany. V ACS jsou skupiny pravidel přidružené k aplikacím předávající strany. Skupinu pravidel může používat více než jedna aplikace předávající strany a aplikace předávající strany může odkazovat na více než jednu skupinu pravidel.
Když služba ACS obdrží žádost o token nebo token od zprostředkovatele identity, projde všechny skupiny pravidel přidružené k aplikaci předávající strany, aby zpracovávaly deklarace identity v tokenu. Všechny skupiny pravidel se spouštějí současně, stejně jako všechna pravidla v každé skupině pravidel (pořadí nezáleží). Pokud pravidla způsobí vydání nových deklarací identity po dokončení spuštění, skupiny pravidel přidružené k aplikaci předávající strany se spustí znovu. Proces spuštění pravidla a skupiny pravidel se zastaví, když se po dokončení procesu spuštění nebo po dokončení procesu spuštění služby ACS zastaví deset spuštění (podle toho, co nastane dříve).
Skupiny a pravidla pravidel můžete vytvářet a upravovat ručně pomocí portálu pro správu služby ACS nebo programově pomocí služby ACS Management Service.
Konfigurace pravidel pomocí portálu pro správu služby ACS
Vytváření skupin pravidel
Když přidáte a nakonfigurujete vlastnosti nové aplikace předávající strany na portálu pro správu služby ACS, můžete také vytvořit skupinu pravidel přidruženou k této aplikaci předávající strany, protože ve výchozím nastavení je možnost Vytvořit novou skupinu pravidel zaškrtnutá na stránce Přidat aplikaci předávající strany na portálu pro správu služby ACS. Důrazně doporučujeme ponechat tuto možnost vybranou a vytvořit tak výchozí skupinu pravidel pro novou aplikaci předávající strany. (Další informace najdete v tématu Skupiny pravidel v aplikacích předávající strany.) Skupiny pravidel můžete přidat také pomocí oddílu Skupiny pravidel na portálu pro správu služby ACS. Když pak přidáte aplikace předávající strany pomocí stránky Přidat aplikaci předávající strany , můžete je přidružit k jedné nebo více existující skupině pravidel.
Generování pravidel
Po vytvoření skupiny pravidel můžete pomocí stránky Upravit skupinu pravidel na portálu pro správu služby ACS automaticky generovat pravidla. Pokud se rozhodnete pravidla generovat automaticky, zobrazí se výzva k výběru zprostředkovatelů identity, pro které chcete pravidla vygenerovat. Pokud je skupina pravidel propojená s jednou nebo více aplikacemi předávající strany, jsou ve výchozím nastavení vybráni zprostředkovatelé identity, které tyto aplikace předávající strany používají.
Poznámka
Pro WS-Federation zprostředkovatelů identity se vytvoří pravidlo pro každý typ deklarace identity, který se nabízí v metadatech poskytovatele identity WS-Federation a toto pravidlo projde typem a hodnotou deklarace identity. U jiných zprostředkovatelů identity se předávací pravidla generují na základě seznamu předem určených typů deklarací identity.
Zobrazení, přidávání a úpravy pravidel
Na stránce Upravit skupinu pravidel na portálu pro správu služby ACS se zobrazí všechna pravidla v tabulce, kde sloupce obsahují výstupní deklaraci identity pro pravidlo, vystavitele deklarace identity (může být zprostředkovatel identity nebo ACS) a popis.
Pokud kliknete na dané pravidlo v tabulce, budete přesměrováni na stránku Upravit pravidlo deklarace identity , kde může být pravidlo upraveno. Pokud chcete nové pravidlo přidat ručně, můžete kliknout na Přidat.
Pravidla deklarací identity
Pravidla deklarací identity popisují logiku transformace vstupních deklarací identity na výstupní deklarace identity. Pravidla jsou obsažena ve skupinách pravidel, které jsou přidruženy k aplikacím předávající strany a spouští se při každém vydání tokenu službou ACS pro aplikaci. Pokud skupina pravidel neobsahuje žádná pravidla, pro aplikaci předávající strany se nevystaví žádný token. Obvykle se vyžaduje jedno pravidlo pro každý typ deklarace identity, který chcete vydat pro aplikaci předávající strany. Je možné vytvořit a použít pouze jedno pravidlo pro předávání všech typů a hodnot deklarací identity. Použití pravidla pro každý typ deklarace identity ale zlepšuje zabezpečení a poskytuje větší kontrolu nad daty předávanými vaší aplikaci.
V ACS můžete nakonfigurovat pravidlo pro předání deklarace identity přijaté od zprostředkovatele identity nebo klienta do aplikace předávající strany beze změny typu, vystavitele nebo hodnoty deklarace identity. Tato pravidla se nazývají předávací pravidla. Například tokeny vystavené Windows Live ID (účet Microsoft) obsahují typ deklarace identity nameidentifier. Pokud chcete předat tuto deklaraci identity beze změny v aplikaci předávající strany, musíte nakonfigurovat předávací pravidlo, které zpracuje typ deklarace identity input nameidentifier od vystavitele deklarace identity, Windows Live ID a vytvoří stejnou výstupní deklaraci identity.
Následující tabulka ukazuje, jak se deklarace identity předávají z fiktivního zprostředkovatele identity AD FS 2.0 s názvem Contoso.com.
| Vstupní deklarace identity | Výstupní deklarace identity | ||||
|---|---|---|---|---|---|
|
Emitenta |
Typ |
Hodnota |
Emitenta |
Typ |
Hodnota |
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
123456789 |
služba Access Control |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
123456789 |
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
john@contoso.com |
služba Access Control |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
john@contoso.com |
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
John Doe |
služba Access Control |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
John Doe |
Modul pravidel služby ACS také poskytuje možnost transformovat vstupní deklarace na zcela odlišné výstupní deklarace na základě vystavitele deklarace identity, typu vstupní deklarace identity a hodnoty. Jinými slovy, modul pravidel služby ACS umožňuje transformovat vstupní tokeny na různé výstupní tokeny přidáním, odebráním nebo změnou deklarací identity, které tokeny obsahují. Tato forma transformace deklarací identity umožňuje službě ACS implementovat základní autorizaci na základě vstupních hodnot deklarací identity. Následující příklad ukazuje typ deklarace identity role s hodnotou "administrator", která je výstupem, pokud vstupní deklarace identity nameidentifier odpovídá určité hodnotě.
| Vstupní deklarace identity | Výstupní deklarace identity | ||||
|---|---|---|---|---|---|
|
Emitenta |
Typ |
Hodnota |
Emitenta |
Typ |
Hodnota |
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
123456789 |
služba Access Control |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
správce |
Modul pravidel služby ACS také poskytuje možnost vytvářet výstupní deklarace identity na základě spojení dvou vstupních deklarací identity. V následujícím příkladu je výstupní deklarace identity typu "action" s hodnotou "write", pokud vstupní deklarace identity "nameidentifier" i "role" z Contoso.com odpovídají konkrétním hodnotám. Pokud jsou v pravidle zadány dvě vstupní deklarace identity, musí se obě hodnoty shodovat, aby se vygenerovaly výstupní deklarace identity.
| Vstupní deklarace identity | Ouutput Claims | ||||
|---|---|---|---|---|---|
|
Emitenta |
Typ |
Hodnota |
Emitenta |
Typ |
Hodnota |
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
123456789 |
služba Access Control
|
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/action
|
zápis
|
|
Contoso.com |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/role |
správce |
|||
Další informace a postup implementace transformace tokenů pomocí pravidel najdete v tématu Postupy: Implementace logiky transformace tokenu pomocí pravidel.
Když přidáte nová nebo upravíte stávající pravidla deklarací identity pomocí portálu pro správu služby ACS, musíte nakonfigurovat následující nastavení:
Podmínky pravidla (if) – přidání vstupní deklarace identity
Tato část obsahuje podmínky, které musí být pravdivé, aby pravidlo vydalo výstupní deklaraci identity. Mezi tyto podmínky patří:
Vystavitel deklarace – odkazuje na entitu, která vydala vstupní deklaraci identity. Může se jednat o nakonfigurovaného zprostředkovatele identity (například) nebo ACS. Služba ACS je vystavitelem, pokud vstupní deklarace identity pochází z identity služby nebo vstupní deklarace identity pochází z jiného pravidla deklarace identity. Další informace najdete v tématu Identity služeb.
Vstupní typ deklarace – Odkazuje na vstupní typ deklarace identity přijatý od vystavitele deklarací identity. Například úplný typ deklarace identity pro "nameidentifier" je https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Mezi možnosti tohoto pole patří:
Any – vrátí hodnotu true, pokud od vystavitele obdrží nějaký typ deklarace identity.
Vyberte typ – Vrátí hodnotu true, pokud vstupní typ deklarace identity odpovídá typu vybranému v rozevírací nabídce. Tato nabídka se naplní dostupnými typy deklarací identity pro vybraného vystavitele deklarací identity.
Zadejte typ – Vrátí hodnotu true, pokud vstupní typ deklarace identity odpovídá přesné hodnotě zadané v poli.
Důležité
Toto pole se rozlišují malá a velká písmena.
Vstupní hodnota deklarace identity – Odkazuje na hodnotu přijaté vstupní deklarace identity. Například typ deklarace identity nameidentifier používá jako jeho hodnotu e-mailovou adresu a toto pole se dá použít ke kontrole konkrétní e-mailové adresy. Mezi možnosti tohoto pole patří:
Any – vrátí hodnotu true, pokud je od vystavitele přijata nějaká hodnota deklarace identity.
Zadejte hodnotu – vrátí hodnotu true, pokud vstupní typ deklarace identity odpovídá přesné hodnotě zadané v poli. Tato možnost vyžaduje, aby byl vybraný nebo zadaný konkrétní typ vstupní deklarace identity do pole Typ vstupní deklarace identity .
Důležité
Toto pole se rozlišují malá a velká písmena.
Podmínky pravidla (if) – Přidání druhé vstupní deklarace identity
Pokud chcete do pravidla přidat druhou deklaraci identity, klikněte na Přidat druhou vstupní deklaraci identity. To vám umožní zadat další podmínky uvedené níže. Všimněte si, že v pravidle se dvěma vstupními deklaracemi identity musí být všechny podmínky pravdivé, aby se vygenerovala výstupní deklarace identity.
Vystavitel deklarací identity – odkazuje na entitu, která vydala druhou vstupní deklaraci identity. Může se jednat o stejného zprostředkovatele identity vybraného pro první deklaraci identity, nebo to může být služba ACS. Výběrem služby ACS určete deklarace identity vygenerované z jiných pravidel deklarací identity během zpracování pravidel.
Důležité
Pro první a druhou deklaraci identity nelze vybrat dva různé zprostředkovatele identity, protože zpracování pravidel probíhá pouze pro jeden token vydaný od jednoho zprostředkovatele identity současně.
Vstupní typ deklarace – Odkazuje na vstupní typ deklarace identity přijatý od vystavitele deklarací identity. Například úplný typ deklarace identity pro "nameidentifier" je https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Mezi možnosti tohoto pole patří:
Vyberte typ – Vrátí hodnotu true, pokud vstupní typ deklarace identity odpovídá typu vybranému v rozevírací nabídce. Tato nabídka se naplní dostupnými typy deklarací identity pro vybraného vystavitele deklarací identity.
Zadejte typ – Vrátí hodnotu true, pokud vstupní typ deklarace identity odpovídá přesné hodnotě zadané v poli.
Důležité
Toto pole se rozlišují malá a velká písmena.
Vstupní hodnota deklarace identity – Odkazuje na hodnotu přijaté vstupní deklarace identity. Například typ deklarace identity nameidentifier používá jako jeho hodnotu e-mailovou adresu a toto pole se dá použít ke kontrole konkrétní e-mailové adresy. To vrátí hodnotu true, pokud vstupní typ deklarace identity odpovídá přesné hodnotě zadané v poli.
Důležité
Toto pole se rozlišují malá a velká písmena.
Akce pravidel (pak)
Tato část určuje výstupní deklaraci identity, která je vydána službou ACS, pokud jsou splněné podmínky v části If pravidla. Mezi možnosti výstupní deklarace identity patří následující:
Typ výstupní deklarace identity – Typ deklarace identity, který je vystaven službou ACS. Mezi možnosti tohoto pole patří následující:
Předávací vstupní typ deklarace identity – Vydává výstupní deklaraci identity, která je stejného typu jako vstupní deklarace identity.
Vyberte typ – Vydá výstupní deklaraci identity zadaného typu. Rozevírací nabídka obsahuje seznam běžných typů deklarací identity.
Zadejte typ – Vydá deklaraci identity zadaného typu. Pokud se výstupní deklarace identity nachází v tokenu SAML, musí být tato hodnota identifikátorem URI (například https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier).
Důležité
Toto pole se rozlišují malá a velká písmena.
Výstupní hodnota deklarace identity – Odkazuje na hodnotu výstupní deklarace identity vydané službou ACS. Mezi možnosti tohoto pole patří následující:
Předávací vstupní hodnota deklarace identity – Vydá výstupní deklaraci identity s hodnotou identickou s hodnotou vstupní deklarace identity.
Zadejte hodnotu – Vydá deklaraci identity, která má hodnotu zadaná v tomto poli. Tato možnost vyžaduje výběr nebo zadání konkrétního vstupního typu deklarace identity do pole Typ výstupní deklarace identity .
Důležité
Toto pole se rozlišují malá a velká písmena.
Informace o pravidlech
Tento oddíl můžete použít k vytvoření popisu pravidla.
Poznámka
V ACS nejsou popisy pravidel automaticky vytvořeny pro vygenerovaná pravidla.
Konfigurace pravidel pomocí služby ACS Management Service
Pravidla v oboru názvů Access Control je možné konfigurovat programově pomocí služby ACS Management Service. Příklad konfigurace pravidel pomocí ASP.NET najdete v tématu Ukázka kódu: Služba pro správu. Níže jsou důležité položky, které je potřeba vzít v úvahu při použití služby ACS Management Service ke konfiguraci pravidel:
Při úpravách a odstraňování pravidel ve skupině pravidel se doporučuje nejprve dotazovat služby ACS na všechna pravidla v rámci této skupiny pravidel a používat ID pravidel, která dotaz vrátí, k provádění operací úprav nebo odstranění. Pro budoucí operace se nedoporučuje ukládat ID vrácená službou pro správu, protože tyto ID se nezaručují k zachování.
Pokud píšete automatickou logiku opakování pro vytváření pravidel (například v případě časového limitu), doporučujeme nejprve zadat dotaz na existenci identického pravidla v aktuální skupině pravidel, než se pokusíte přidat druhé pravidlo.