Implémentation de la logique de transformation de jetons à l'aide de règles
Mise à jour : 19 juin 2015
S’applique à : Azure
S'applique à
- Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS)
Résumé
Cette rubrique explique comment utiliser le portail de gestion ACS pour créer des règles qui transforment les revendications d’entrée en revendications de sortie.
Contenu
Objectifs
Vue d’ensemble
Résumé des étapes
Étape 1 : accès à la page Groupes de règles du portail de gestion
Étape 2: génération automatique de nouvelles règles
Étape 3: création de règles directes
Étape 4 : création de règles de transformation avancées
Étape 5: examen des groupes de règles disponibles
Étape 6 : configuration de la partie de confiance pour utiliser pour des groupes de règles spécifiques
Objectifs
Se familiariser avec la section Contrôle d'accès du portail de gestion concernant les règles de transformation des revendications.
Créer des règles de base.
Créer des règles avancées.
Créer des règles basées sur des revendications de fournisseur d'identité.
Créez des règles basées sur les revendications ACS.
Vue d’ensemble
Les règles de revendication décrivent la logique de transformation des revendications d’entrée ACS en revendications de sortie. Les règles sont contenues dans des groupes associés à des applications par partie de confiance. Les règles sont exécutées chaque fois qu’un jeton est émis à ACS pour l’application de partie de confiance. Si un groupe de règles ne contient aucune règle, ACS n’émet pas de jetons à l’application de partie de confiance.
Résumé des étapes
Pour créer des règles de transformation de revendications de jeton, procédez comme suit. Notez que certaines étapes sont facultatives dans certains scénarios.
Étape 1 : accès à la page Groupes de règles du portail de gestion
Étape 2: génération automatique de nouvelles règles
Étape 3: création de règles directes
Étape 4 : création de règles de transformation avancées
Étape 5: examen des groupes de règles disponibles
Étape 6 : configuration de la partie de confiance pour utiliser pour des groupes de règles spécifiques
Étape 1 : accès à la page Groupes de règles du portail de gestion
Cette étape montre comment accéder à la page Groupes de règles du portail de gestion, où les règles sont créées et ajoutées pour les groupes de règles.
Accès à la page Groupes de règles du portail de gestion
Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)
Pour créer un espace de noms Access Control, cliquez sur Nouveau, Services d'application, Access Control, puis cliquez sur Création rapide. (Ou cliquez sur Espaces de noms Access Control avant de cliquer sur Nouveau.)
Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)
Dans la page Access Control Service, cliquez sur Groupes de règles.
Étape 2: génération automatique de nouvelles règles
Cette étape montre comment générer des règles de base par défaut.
Pour générer automatiquement des règles de base
Cliquez sur Groupes de règles.
Pour créer un groupe de règles, dans la page Groupes de règles, cliquez sur Ajouter.
Tapez un nom pour le nouveau groupe de règles, puis cliquez sur Enregistrer.
Pour générer automatiquement des règles de base, cliquez sur Générer des règles.
Dans la page Générer des règles, spécifiez le fournisseur d'identité dans la case à cocher en regard de la règle que vous voulez générer, puis cliquez sur Générer.
Examinez les règles générées automatiquement. Par exemple, les règles générées automatiquement pour Google et Windows Live ID (compte Microsoft) ressemblent aux résultats du tableau suivant.) Si le fournisseur d'identité s'affiche, cliquez sur Enregistrer.
Revendication de sortie Émetteur de la revendication Description de la règle emailaddress
Google
Transmet la revendication « emailaddress » en provenance de Google en tant que « emailaddress »
name
Google
Transmet la revendication « name » en provenance de Google en tant que « name »
nameidentifier
Google
Transmet la revendication « nameidentifier » en provenance de Google en tant que « nameidentifier »
nameidentifier
Windows Live ID
Transmet la revendication « nameidentifier » en provenance de Windows Live ID en tant que « nameidentifier »
Si vous ne voyez pas le fournisseur d'identité souhaité, vous devez revenir à la page Fournisseurs d'identité du portail de gestion pour le spécifier.
Pour ajouter des fournisseurs d'identité, suivez les étapes décrites dans les rubriques de procédures suivantes :
Étape 3: création de règles directes
Cette étape montre comment créer des règles directes. Dans une règle directe, les revendications sortantes sont exactement les mêmes que les revendications entrantes.
Pour créer des règles directe
Cliquez sur Groupes de règles.
Dans la page Groupes de règles, cliquez sur le groupe de règles souhaité, puis sur Ajouter.
Dans la page Ajouter une règle de revendication, spécifiez les attributs suivants :
Émetteur de revendication : choisissez le fournisseur d'identité souhaité dans la liste déroulante (par exemple, Google ou Windows Live ID), ou cliquez sur la case d'option Access Control Service.
Type de revendication d'entrée (Et) : spécifiez Toute pour toutes les revendications entrantes, ou choisissez un type de revendication spécifique dans la liste déroulante.
Valeur de revendication d'entrée (Et) : spécifiez Toute pour transférer toutes les valeurs de revendication, ou spécifiez une valeur de revendication spécifique dans le champ Entrer une valeur afin de ne transférer que la valeur spécifiée.
Type de revendication de sortie : spécifiez un type de revendication spécifique en activant la case d'option Type de revendication d'entrée directe.
Valeur de revendication de sortie : spécifiez une valeur de revendication spécifique en activant la case d'option Valeur de revendication d'entrée directe.
Vous pouvez également (comme recommandé), ajouter une description pour une règle, puis cliquer sur Enregistrer.
Étape 4 : création de règles de transformation avancées
Cette étape montre comment créer des règles de transformation avancées au lieu de règles générées automatiquement et directes.
Pour créer des règles de transformation avancées
Cliquez sur Groupes de règles.
Dans la page Groupes de règles, cliquez sur le groupe de règles souhaité, puis sur Ajouter.
Dans la page Ajouter une règle de revendication, spécifiez les attributs suivants :
Émetteur de revendication : sélectionnez la case d'option fournisseur d'identité spécifique si vous souhaitez transformer des revendications en provenance de fournisseurs d'identité, tels que Windows Live ID, Google, Facebook et Yahoo! Sélectionnez Access Control Service si vous souhaitez transformer des revendications d'identités de service (dans le cas de services Web) ou les revendications provenant d'autres règles.
Type de revendication d'entrée (Et) : sélectionnez le type de la revendication que vous voulez transformer dans la zone de liste déroulante ou, s'il n'y figure pas, entrez-le dans la zone de texte Entrer un type.
Valeur de revendication d'entrée (Et) : spécifiez une valeur spécifique dans la zone de texte Entrer une valeur si vous voulez transformer une revendication uniquement si elle correspond à cette seule valeur.
Type de revendication de sortie : sélectionnez le type de la revendication de sortie que vous voulez mapper à la revendication entrante ou, s'il n'est pas répertorié, entrez-le dans la zone de texte Entrer un type.
Valeur de revendication de sortie : spécifiez une valeur spécifique dans la zone de texte Entrer une valeur si vous voulez générer une valeur constante dans la revendication de sortie.
Étape 5: examen des groupes de règles disponibles
Cette étape montre comment examiner les groupes de règles qui contiennent des règles de transformation des revendications. Les groupes de règles sont associés directement à des applications par partie de confiance. Un groupe de règles peut être utilisé par plusieurs applications par partie de confiance, et une application par partie de confiance peut faire référence à plusieurs groupes de règles. Pour passer en revue les groupes de règles disponibles, suivez les étapes décrites précédemment à l’étape 1 : accédez à la page Groupes de règles du portail de gestion.
Étape 6 : configuration d'une partie de confiance pour utiliser pour des groupes de règles spécifiques
Cette étape montre comment définir des groupes de règles spécifiques pour une partie de confiance (application web ou un service web RESTful).
Pour configurer une partie de confiance afin d'utiliser des groupes de règles spécifiques
Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)
Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)
Cliquez sur Applications par partie de confiance.
Dans la page Applications par partie de confiance, cliquez sur la partie de confiance souhaitée.
Faites défiler jusqu'à la section Groupes de règles, puis cochez tous les groupes de règles à appliquer pour cette partie de confiance.
Cliquez sur Enregistrer.