Postupy: Implementace logiky transformace tokenů pomocí pravidel

Aktualizováno: 19. června 2015

Platí pro: Azure

Platí pro

• Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS)

Souhrn

Toto téma popisuje, jak pomocí portálu pro správu služby ACS vytvořit pravidla, která transformují vstupní deklarace identity na výstupní deklarace identity.

Obsah

• Cíle

• Přehled

• Přehled kroků

• Krok 1 – přejděte na stránku Skupiny pravidel portálu pro správu.

• Krok 2 – automatické generování nových pravidel

• Krok 3 – Vytvoření pravidel Pass-Through

• Krok 4 – Vytvoření rozšířených pravidel transformace

• Krok 5 – Kontrola dostupných skupin pravidel

• Krok 6 – Konfigurace předávající strany pro konkrétní skupiny pravidel

Cíle

• Seznamte se s oddílem portálu pro správu Access Control souvisejícími s pravidly transformace deklarací identity.

• Vytvořte základní pravidla.

• Vytvořte pokročilá pravidla.

• Vytvořte pravidla na základě deklarací identity zprostředkovatele identity.

• Vytváření pravidel na základě deklarací identity služby ACS

Přehled

Pravidla deklarací identity popisují logiku transformace vstupních deklarací identity služby ACS na výstupní deklarace identity. Pravidla jsou obsažena ve skupinách pravidel, které jsou přidružené k aplikacím předávající strany. Pravidla se provádějí při každém vydání tokenu službě ACS pro aplikaci předávající strany. Pokud skupina pravidel neobsahuje žádná pravidla, služba ACS neprovádí tokeny pro aplikaci předávající strany.

Přehled kroků

Pokud chcete vytvořit pravidla pro transformaci deklarací tokenů, postupujte následovně. Všimněte si, že některé kroky jsou v některých scénářích volitelné.

• Krok 1 – přejděte na stránku Skupiny pravidel portálu pro správu.

• Krok 2 – automatické generování nových pravidel

• Krok 3 – Vytvoření pravidel Pass-Through

• Krok 4 – Vytvoření rozšířených pravidel transformace

• Krok 5 – Kontrola dostupných skupin pravidel

• Krok 6 – Konfigurace předávající strany pro konkrétní skupiny pravidel

Krok 1 – přejděte na stránku Skupiny pravidel portálu pro správu.

Tento krok ukazuje, jak přejít na stránku Skupiny pravidel portálu pro správu, kde se pravidla vytvářejí a přidávají do skupin pravidel.

Přechod na stránku Skupiny pravidel na portálu pro správu

1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

2. Chcete-li vytvořit obor názvů Access Control, klikněte na Tlačítko Nový, klikněte na App Services, klikněte na Access Control a potom klikněte na Rychlé vytvoření. (Nebo klikněte na Access Control Obory názvů předtím, než kliknete na Nový.)

3. Pokud chcete spravovat Access Control obor názvů, vyberte obor názvů a klikněte na Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

4. Na stránce Access Control Služba klikněte na skupiny pravidel.

Krok 2 – automatické generování nových pravidel

Tento krok ukazuje, jak vygenerovat základní výchozí pravidla.

Automatické generování základních pravidel

1. Klikněte na skupiny pravidel.

2. Pokud chcete vytvořit novou skupinu pravidel, klikněte na stránce Skupiny pravidel na tlačítko Přidat.

3. Zadejte název nové skupiny pravidel a klepněte na tlačítko Uložit.

4. Pokud chcete automaticky generovat základní pravidla, klikněte na Tlačítko Generovat pravidla.

5. Na stránce Generovat pravidla zadejte zprostředkovatele identity do zaškrtávacího políčka vedle pravidla, které chcete vygenerovat, a klepněte na tlačítko Generovat.

6. Zkontrolujte automaticky generovaná pravidla. Například pravidla generovaná automaticky pro Google a Windows Live ID (účet Microsoft) by vypadala podobně jako výsledky v následující tabulce.) Pokud se zobrazí zprostředkovatel identity, klikněte na Uložit.

   Výstupní deklarace identity	Vystavitel deklarací identity	Popis pravidla
   Emailaddress	Google	Předávací deklarace identity "emailaddress" od Googlu jako "emailaddress"
   name	Google	Předávací deklarace identity "name" od Googlu jako "name"
   nameidentifier	Google	Předávací deklarace identity nameidentifier od Googlu jako "nameidentifier"
   nameidentifier	Windows Live ID	Předávací deklarace identity nameidentifier z Windows Live ID jako nameidentifier

7. Pokud nevidíte požadovaného zprostředkovatele identity, měli byste se vrátit na stránku Zprostředkovatele identit na portálu pro správu a zadat ho.

8. Pokud chcete přidat zprostředkovatele identit, postupujte podle kroků uvedených v následujících How-To tématech:

   • Postupy: Konfigurace Google jako zprostředkovatele identity

   • Postupy: Konfigurace Yahoo! jako zprostředkovatel identity

   • Postupy: Konfigurace Facebooku jako zprostředkovatele identity

   • Postupy: Konfigurace služby AD FS 2.0 jako zprostředkovatele identity

Krok 3 – Vytvoření pravidel Pass-Through

V tomto kroku se dozvíte, jak vytvořit předávací pravidla. Předávací pravidlo je jedno, kde se odchozí deklarace identity přesně shodují s příchozími deklaracemi.

Vytvoření předávacího pravidla

1. Klikněte na skupiny pravidel.

2. Na stránce Skupiny pravidel klikněte na požadovanou skupinu pravidel a potom klepněte na tlačítko Přidat.

3. Na stránce Přidat pravidlo deklarace identity zadejte následující atributy:

   • Vystavitel deklarací identity – V rozevíracím seznamu zvolte požadovaného zprostředkovatele identity (například Google nebo Windows Live ID) nebo klikněte na přepínač Access Control Služba.

   • (A) Typ vstupní deklarace identity – Zadejte buď libovolný pro všechny příchozí deklarace identity, nebo zvolte konkrétní typ deklarace identity z rozevíracího seznamu.

   • (A) Vstupní hodnota deklarace identity – Určete všechny hodnoty deklarací identity, které mají být předány, nebo zadejte konkrétní hodnotu deklarace identity v poli Zadat hodnotu , která se má předat pouze v zadaném poli.

   • Typ výstupní deklarace identity – Zadáním konkrétního typu deklarace identity vyberte přepínač Předávat vstupní typ deklarace identity .

   • Výstupní hodnota deklarace identity – Zadejte konkrétní hodnotu deklarace identity tak, že vyberete přepínač Předávací vstupní hodnotu deklarace identity .

   • Volitelně můžete přidat popis pravidla (doporučeno) a potom kliknout na Uložit.

Krok 4 – Vytvoření rozšířených pravidel transformace

Tento krok ukazuje, jak vytvořit pokročilá transformační pravidla na rozdíl od automaticky generovaných a předávaných pravidel.

Vytvoření rozšířených pravidel transformace

1. Klikněte na skupiny pravidel.

2. Na stránce Skupiny pravidel klikněte na požadovanou skupinu pravidel a potom klepněte na tlačítko Přidat.

3. Na stránce Přidat pravidlo deklarace identity zadejte následující atributy:

   • Vystavitel deklarací identity – Pokud chcete transformovat deklarace identity od zprostředkovatelů identity, jako je Windows Live ID, Google, Facebook a Yahoo! Vyberte službu Access Control, pokud chcete transformovat deklarace identit služeb (v případě webových služeb) nebo výstup deklarací identity z jiných pravidel.

   • (A) Typ vstupní deklarace identity – Vyberte typ deklarace identity, kterou chcete transformovat z rozevíracího seznamu, nebo pokud tam není uvedený, zadejte typ deklarace do textového pole Zadat typ.

   • (A) Vstupní hodnota deklarace identity – Zadejte konkrétní hodnotu do textového pole Zadat hodnotu , pokud chcete transformovat deklaraci identity, která odpovídá pouze této hodnotě.

   • Výstupní typ deklarace identity – Vyberte typ výstupní deklarace identity, kterou chcete namapovat na příchozí deklaraci identity, nebo pokud tam není uvedena, zadejte typ deklarace do textového pole Zadat typ .

   • Výstupní hodnota deklarace identity – Pokud chcete ve výstupní deklaraci identity vygenerovat konstantní hodnotu, zadejte do textového pole Zadat hodnotu.

Krok 5 – kontrola dostupných skupin pravidel

Tento krok ukazuje, jak zkontrolovat skupiny pravidel, které obsahují pravidla transformace deklarací identity. Skupiny pravidel jsou přidružené přímo k aplikacím předávající strany. Skupinu pravidel může používat více než jedna aplikace předávající strany a aplikace předávající strany může odkazovat na více než jednu skupinu pravidel. Pokud chcete zkontrolovat dostupné skupiny pravidel, postupujte podle kroků uvedených výše v kroku 1 – přejděte na stránku Skupiny pravidel na portálu pro správu.

Krok 6 – Konfigurace předávající strany pro konkrétní skupiny pravidel

V tomto kroku se dozvíte, jak nastavit konkrétní skupiny pravidel pro předávající stranu (webovou aplikaci nebo webovou službu RESTful).

Konfigurace předávající strany pro konkrétní skupiny pravidel

1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

3. Klikněte na aplikace předávající strany.

4. Na stránce aplikace předávající strany klikněte na požadovanou předávající stranu.

5. Posuňte se dolů do části Skupiny pravidel a zkontrolujte všechny skupiny pravidel, které chcete použít pro tuto předávající stranu.

6. Klikněte na Uložit.