Procedure: Transformatielogica voor tokens implementeren met behulp van regels

Bijgewerkt: 19 juni 2015

Van toepassing op: Azure

Van toepassing op

• Microsoft Azure Active Directory Access Control (ook wel bekend als Access Control Service of ACS)

Samenvatting

In dit onderwerp wordt beschreven hoe u de ACS-beheerportal gebruikt om regels te maken waarmee invoerclaims worden omgezet in uitvoerclaims.

Inhoud

• Doelen

• Overzicht

• Samenvatting van de stappen

• Stap 1: ga naar de pagina Regelgroepen van de beheerportal

• Stap 2: nieuwe regels automatisch genereren

• Stap 3: Pass-Through regels maken

• Stap 4: Geavanceerde transformatieregels maken

• Stap 5: de beschikbare regelgroepen controleren

• Stap 6: de Relying Party configureren die moet worden gebruikt voor specifieke regelgroepen

Doelen

• Raak vertrouwd met de sectie Access Control Beheerportal met betrekking tot claimtransformatieregels.

• Basisregels maken.

• Geavanceerde regels maken.

• Regels maken op basis van claims van id-providers.

• Regels maken op basis van ACS-claims.

Overzicht

Claimregels beschrijven de logica voor het transformeren van ACS-invoerclaims naar uitvoerclaims. Regels zijn opgenomen in regelgroepen die zijn gekoppeld aan relying party-toepassingen. De regels worden uitgevoerd wanneer een token wordt uitgegeven aan ACS voor de relying party-toepassing. Als een regelgroep geen regels bevat, geeft ACS geen tokens uit aan de relying party-toepassing.

Samenvatting van de stappen

Gebruik de volgende stappen om regels te maken voor tokenclaimtransformatie. Houd er rekening mee dat sommige van de stappen in sommige scenario's optioneel zijn.

• Stap 1: ga naar de pagina Regelgroepen van de beheerportal

• Stap 2: nieuwe regels automatisch genereren

• Stap 3: Pass-Through regels maken

• Stap 4: Geavanceerde transformatieregels maken

• Stap 5: de beschikbare regelgroepen controleren

• Stap 6: de Relying Party configureren die moet worden gebruikt voor specifieke regelgroepen

Stap 1: ga naar de pagina Regelgroepen van de beheerportal

In deze stap ziet u hoe u naar de pagina Regelgroepen van de beheerportal navigeert waar regels worden gemaakt en toegevoegd aan de regelgroepen.

Ga naar de pagina Regelgroepen van de beheerportal

1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

2. Als u een Access Control naamruimte wilt maken, klikt u op Nieuw, klikt u op App Services, klikt u op Access Control en vervolgens op Snel maken. (Of klik op Access Control naamruimten voordat u op Nieuw klikt.)

3. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

4. Klik op de pagina Access Control Service op Regelgroepen.

Stap 2: nieuwe regels automatisch genereren

In deze stap ziet u hoe u standaardregels genereert.

Basisregels automatisch genereren

1. Klik op Regelgroepen.

2. Als u een nieuwe regelgroep wilt maken, klikt u op de pagina Regelgroepen op Toevoegen.

3. Typ een naam voor de nieuwe regelgroep en klik op Opslaan.

4. Als u basisregels automatisch wilt genereren, klikt u op Regels genereren.

5. Geef op de pagina Regels genereren de id-provider op in het selectievakje naast de regel die u wilt genereren en klik vervolgens op Genereren.

6. Controleer de automatisch gegenereerde regels. De regels die automatisch worden gegenereerd voor Google en Windows Live ID (Microsoft-account)zien er bijvoorbeeld ongeveer uit als de resultaten in de volgende tabel.) Als de id-provider wordt weergegeven, klikt u op Opslaan.

   Uitvoerclaim	Claimverlener	Regelbeschrijving
   emailaddress	Google	Pass-through-claim 'emailaddress' van Google als 'e-mailadres'
   naam	Google	Passthrough-claim 'naam' van Google als 'naam'
   nameidentifier	Google	Pass-through"nameidentifier" claim van Google als "nameidentifier"
   nameidentifier	Windows live-id	Passthrough-claim 'nameidentifier' van Windows Live ID als 'nameidentifier'

7. Als u de gewenste id-provider niet ziet, gaat u terug naar de pagina Identity Providers van de beheerportal en geeft u deze op.

8. Volg de stappen in de volgende How-To onderwerpen om id-providers toe te voegen:

   • Procedure: Google configureren als id-provider

   • Procedure: Yahoo! configureren als id-provider

   • Procedure: Facebook configureren als id-provider

   • Procedure: AD FS 2.0 configureren als id-provider

Stap 3: Pass-Through regels maken

In deze stap ziet u hoe u passthrough-regels maakt. Een passthrough-regel is een regel waarbij de uitgaande claims precies hetzelfde zijn als binnenkomende claims.

PassThrough-regels maken

1. Klik op Regelgroepen.

2. Klik op de pagina Regelgroepen op de gewenste regelgroep en klik vervolgens op Toevoegen.

3. Geef op de pagina Claimregel toevoegen de volgende kenmerken op:

   • Claimverlener: kies de gewenste id-provider in de vervolgkeuzelijst (bijvoorbeeld Google of Windows Live ID) of klik op het keuzerondje Access Control Service.

   • (En) Invoerclaimtype: geef Een op voor alle binnenkomende claims of kies een specifiek claimtype in de vervolgkeuzelijst.

   • (En) Invoerclaimwaarde: geef een waarde op voor alle claims die moeten worden doorgegeven of geef een specifieke claimwaarde op in het vak Waarde invoeren om alleen de opgegeven waarde door te geven.

   • Uitvoerclaimtype: geef een specifiek claimtype op door het keuzerondje Pass through invoerclaim te selecteren.

   • Uitvoerclaimwaarde: geef een specifieke claimwaarde op door het keuzerondje Pass through invoerclaimwaarde te selecteren.

   • U kunt desgewenst (aanbevolen) een beschrijving voor de regel toevoegen en vervolgens op Opslaan klikken.

Stap 4: Geavanceerde transformatieregels maken

In deze stap ziet u hoe u geavanceerde transformatieregels maakt in plaats van automatisch gegenereerde en passthrough-regels.

Geavanceerde transformatieregels maken

1. Klik op Regelgroepen.

2. Klik op de pagina Regelgroepen op de gewenste regelgroep en klik vervolgens op Toevoegen.

3. Geef op de pagina Claimregel toevoegen de volgende kenmerken op:

   • Claimverlener: selecteer het keuzerondje van de specifieke id-provider als u claims van id-providers wilt transformeren, zoals Windows Live ID, Google, Facebook en Yahoo! Selecteer Access Control Service als u claims van service-id's (in het geval van webservices) of de claimuitvoer van andere regels wilt transformeren.

   • (En) Invoerclaimtype: selecteer het type claim dat u wilt transformeren vanuit de vervolgkeuzelijst of voer het claimtype in het tekstvak Enter in.

   • (En) Invoerclaimwaarde: geef een specifieke waarde op in het tekstvak Waarde invoeren als u een claim wilt transformeren die alleen overeenkomt met deze waarde.

   • Uitvoerclaimtype: selecteer het type uitvoerclaim dat u wilt toewijzen aan de binnenkomende claim of voer het claimtype in het tekstvak Enter in als deze niet wordt vermeld.

   • Uitvoerclaimwaarde: geef een specifieke waarde op in het tekstvak Waarde invoeren als u een constante waarde wilt genereren in de uitvoerclaim.

Stap 5: de beschikbare regelgroepen controleren

In deze stap ziet u hoe u regelgroepen controleert die claimtransformatieregels bevatten. Regelgroepen zijn rechtstreeks gekoppeld aan relying party-toepassingen. Een regelgroep kan worden gebruikt door meer dan één relying party-toepassing en een relying party-toepassing kan verwijzen naar meer dan één regelgroep. Als u de beschikbare regelgroepen wilt bekijken, volgt u de stappen die eerder in stap 1 zijn beschreven: ga naar de pagina Regelgroepen van de beheerportal.

Stap 6: een relying party configureren die moet worden gebruikt voor specifieke regelgroepen

Met deze stap wordt uitgelegd hoe u specifieke regelgroepen instelt voor een relying party (een webtoepassing of RESTful-webservice).

Een relying party configureren die moet worden gebruikt voor specifieke regelgroepen

1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control Naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

3. Klik op Relying Party-toepassingen.

4. Klik op de pagina Toepassingen van Relying Party op de gewenste relying party.

5. Schuif omlaag naar de sectie Regelgroepen en controleer vervolgens alle regelgroepen die u wilt toepassen op deze relying party.

6. Klik op Opslaan.