Řízení přístupu ke službě Azure IoT Hub Device Provisioning Service (DPS) pomocí Microsoft Entra ID (Preview)
Microsoft Entra ID můžete použít k ověřování požadavků na rozhraní API služby Azure IoT Hub Device Provisioning Service (DPS), jako je vytvoření identity zařízení a vyvolání přímé metody. K autorizaci stejných rozhraní API služeb můžete použít také řízení přístupu na základě role v Azure (Azure RBAC). Pomocí těchto technologií můžete udělit oprávnění pro přístup k rozhraním API služby Azure IoT Hub Device Provisioning Service (DPS) k objektu zabezpečení Microsoft Entra. Tento objekt zabezpečení může být uživatel, skupina nebo instanční objekt aplikace.
Ověřování přístupu pomocí Microsoft Entra ID a řízení oprávnění pomocí Azure RBAC poskytuje lepší zabezpečení a snadné použití tokenů zabezpečení. Pokud chcete minimalizovat potenciální problémy se zabezpečením, které jsou součástí tokenů zabezpečení, doporučujeme použít ID Microsoft Entra se službou Azure IoT Hub Device Provisioning Service (DPS), kdykoli je to možné.
Poznámka:
Ověřování pomocí Microsoft Entra ID se nepodporuje pro rozhraní API služby Azure IoT Hub Device Provisioning Service (DPS) (jako je registrace zařízení nebo vyhledávání stavu registrace zařízení). K ověření zařízení ve službě Azure IoT Hub Device Provisioning Service (DPS) použijte symetrické klíče, X.509 nebo TPM .
Ověřování a autorizace
Když objekt zabezpečení Microsoft Entra požádá o přístup k rozhraní API služby Azure IoT Hub Device Provisioning Service (DPS), identita instančního objektu se nejprve ověří. Pro ověření musí požadavek obsahovat přístupový token OAuth 2.0 za běhu. Název prostředku pro vyžádání tokenu je https://azure-devices-provisioning.net. Pokud aplikace běží v prostředku Azure, jako je virtuální počítač Azure, aplikace Azure Functions nebo aplikace služby Aplikace Azure Service, může být reprezentovaná jako spravovaná identita.
Po ověření objektu zabezpečení Microsoft Entra je dalším krokem autorizace. V tomto kroku služba Azure IoT Hub Device Provisioning Service (DPS) pomocí služby přiřazení role Microsoft Entra určí, jaká oprávnění má objekt zabezpečení. Pokud oprávnění instančního objektu odpovídají požadovanému prostředku nebo rozhraní API, služba Azure IoT Hub Device Provisioning Service (DPS) žádost autorizuje. Tento krok proto vyžaduje přiřazení jedné nebo více rolí Azure k objektu zabezpečení. Služba Azure IoT Hub Device Provisioning Service (DPS) poskytuje některé předdefinované role, které mají společné skupiny oprávnění.
Správa přístupu ke službě Azure IoT Hub Device Provisioning Service (DPS) pomocí přiřazení role Azure RBAC
U Microsoft Entra ID a RBAC vyžaduje služba Azure IoT Hub Device Provisioning Service (DPS) instanční objekt, který žádá o rozhraní API, odpovídající úroveň oprávnění pro autorizaci. Pokud chcete objektu zabezpečení udělit oprávnění, dejte mu přiřazení role.
- Pokud je objekt zabezpečení uživatelem, skupinou nebo instančním objektem aplikace, postupujte podle pokynů v tématu Přiřazení rolí Azure pomocí webu Azure Portal.
- Pokud je objekt zabezpečení spravovanou identitou, postupujte podle pokynů v tématu Přiřazení přístupu spravované identity k prostředku pomocí webu Azure Portal.
Abyste zajistili nejnižší úroveň oprávnění, vždy přiřaďte odpovídající roli s nejnižším možným oborem prostředků, což je pravděpodobně obor služby Azure IoT Hub Device Provisioning Service (DPS).
Azure IoT Hub Device Provisioning Service (DPS) poskytuje následující předdefinované role Azure pro autorizaci přístupu k rozhraním DPS API pomocí Microsoft Entra ID a RBAC:
| Role | Popis |
|---|---|
| Přispěvatel dat služby Device Provisioning | Umožňuje úplný přístup k operacím roviny dat služby Device Provisioning. |
| Čtečka dat služby Device Provisioning | Umožňuje úplný přístup pro čtení k vlastnostem roviny dat služby Device Provisioning. |
Můžete také definovat vlastní role, které se mají použít se službou Azure IoT Hub Device Provisioning Service (DPS), a to zkombinováním potřebných oprávnění . Další informace najdete v tématu Vytvoření vlastních rolí pro řízení přístupu na základě role v Azure.
Obor prostředku
Před přiřazením role Azure RBAC k objektu zabezpečení určete rozsah přístupu, který má mít objekt zabezpečení. Vždy je nejlepší udělit pouze nejužší možný rozsah. Role Azure RBAC definované v širším rozsahu jsou zděděné prostředky pod nimi.
Tento seznam popisuje úrovně, na kterých můžete omezit přístup ke službě IoT Hub, počínaje nejužším oborem:
- Služba Azure IoT Hub Device Provisioning (DPS). V tomto oboru se přiřazení role vztahuje na službu Azure IoT Hub Device Provisioning Service (DPS). Přiřazení role v menších oborech, jako je skupina registrací nebo jednotlivá registrace, se nepodporuje.
- Požadovaná skupina prostředků. V tomto oboru se přiřazení role vztahuje na všechna centra IoT ve skupině prostředků.
- Předplatné. V tomto oboru se přiřazení role vztahuje na všechna centra IoT ve všech skupinách prostředků v předplatném.
- Skupina pro správu. V tomto oboru se přiřazení role vztahuje na všechny centra IoT ve všech skupinách prostředků ve všech předplatných ve skupině pro správu.
Oprávnění pro rozhraní API služby Azure IoT Hub Device Provisioning Service (DPS)
Následující tabulka popisuje oprávnění dostupná pro operace rozhraní API služby Azure IoT Hub Device Provisioning Service (DPS). Pokud chcete klientovi povolit volání konkrétní operace, ujistěte se, že přiřazená role RBAC klienta nabízí dostatečná oprávnění pro danou operaci.
| Akce RBAC | Popis |
|---|---|
Microsoft.Devices/provisioningServices/attestationmechanism/details/action |
Podrobnosti o mechanismu ověření identity pro načtení |
Microsoft.Devices/provisioningServices/enrollmentGroups/read |
Čtení skupin registrací |
Microsoft.Devices/provisioningServices/enrollmentGroups/write |
Zápis skupin registrací |
Microsoft.Devices/provisioningServices/enrollmentGroups/delete |
Odstranění skupin registrací |
Microsoft.Devices/provisioningServices/enrollments/read |
Čtení registrací |
Microsoft.Devices/provisioningServices/enrollments/write |
Zápis registrací |
Microsoft.Devices/provisioningServices/enrollments/delete |
Odstranění registrací |
Microsoft.Devices/provisioningServices/registrationStates/read |
Stavy registrace pro čtení |
Microsoft.Devices/provisioningServices/registrationStates/delete |
Odstranění stavů registrace |
Rozšíření Azure IoT pro Azure CLI
Většina příkazů vůči službě Azure IoT Hub Device Provisioning Service (DPS) podporuje ověřování Microsoft Entra. Typ ověřování, který se používá ke spouštění příkazů, můžete řídit pomocí parametru --auth-type , který přijímá key nebo login hodnoty. Hodnota key je výchozí.
Když
--auth-typemá tatokeyhodnota hodnotu, rozhraní příkazového řádku automaticky zjistí vhodnou zásadu při interakci se službou Azure IoT Hub Device Provisioning Service (DPS).Pokud
--auth-typemáloginhodnotu, použije se pro operaci přístupový token z Azure CLI přihlášeného v objektu zabezpečení.Následující příkazy aktuálně podporují
--auth-type:az iot dps enrollmentaz iot dps enrollment-groupaz iot dps registration
Další informace najdete na stránce s rozšířením Azure IoT pro azure CLI.
Sady SDK a ukázky
- Sady AZURE IoT SDK pro službu zřizování Node.js
- Verze Preview sady Azure IoT SDK pro Javu
- • Verze Microsoft Azure IoT SDK pro .NET Preview
Přístup k ID Microsoft Entra z webu Azure Portal
Poznámka:
Přístup k ID Microsoft Entra z webu Azure Portal není v současné době k dispozici ve verzi Preview.
Další kroky
- Další informace o výhodách použití Microsoft Entra ID ve vaší aplikaci naleznete v tématu Integrace s Microsoft Entra ID.
- Další informace o vyžádání přístupových tokenů z ID Microsoft Entra pro uživatele a instanční objekty naleznete v tématu Scénáře ověřování pro Microsoft Entra ID.