Azure RBAC a Azure Device Update pro IoT Hub

Aby uživatelé a aplikace měli přístup ke službě Azure Device Update pro IoT Hub, musí mít udělený přístup k prostředku služby Device Update. Instanční objekt služby Device Update musí také získat přístup k přidruženému centru IoT, aby bylo potřeba nasadit aktualizace a spravovat zařízení.

Tento článek vysvětluje, jak služba Device Update a Azure IoT Hub používají řízení přístupu na základě role v Azure (Azure RBAC) k zajištění ověřování a autorizace pro uživatele a rozhraní API služeb. Tento článek také popisuje ověřování Microsoft Entra ID pro rozhraní REST API služby Device Update a podporu spravovaných identit ve službě Device Update a Azure IoT Hubu.

Role řízení přístupu ke službě Device Update

Aktualizace zařízení podporuje následující role RBAC. Další informace najdete v tématu Konfigurace řízení přístupu k účtu Device Update.

Název role	Popis
Správce aktualizace zařízení	Má přístup ke všem prostředkům služby Device Update.
Čtečka aktualizací zařízení	Může zobrazit všechny aktualizace a nasazení.
Správce obsahu aktualizace zařízení	Může zobrazit, importovat a odstranit aktualizace.
Čtečka obsahu aktualizace zařízení	Může zobrazit aktualizace
Správce nasazení aktualizací zařízení	Může spravovat nasazení aktualizací do zařízení.
Čtenář nasazení aktualizací zařízení	Může zobrazit nasazení aktualizací na zařízení.

Můžete přiřadit kombinaci rolí, abyste zajistili správnou úroveň přístupu. K importu a správě aktualizací můžete například použít roli Správce obsahu služby Device Update, ale k zobrazení průběhu aktualizace potřebujete roli Čtenář nasazení služby Device Update. Naopak s rolí Čtenář aktualizace zařízení můžete zobrazit všechny aktualizace, ale potřebujete roli Správce nasazení aktualizace zařízení k nasazení aktualizace do zařízení.

Přístup instančního objektu služby Device Update ke službě IoT Hub

Služba Device Update komunikuje s přidruženým centrem IoT za účelem nasazení a správy aktualizací ve velkém měřítku. Pokud chcete tuto komunikaci povolit, musíte instančnímu objektu služby Device Update udělit přístup ke službě IoT Hub pomocí role Přispěvatel dat služby IoT Hub.

Udělení tohoto oprávnění umožňuje následující akce nasazení, správy zařízení a aktualizací a diagnostických akcí:

• Vytvoření nasazení
• Zrušení nasazení
• Opakovat nasazení
• Získání zařízení

Toto oprávnění můžete nastavit na stránce Řízení přístupu ke službě IoT Hub (IAM ). Další informace najdete v tématu Konfigurace přístupu k centru IoT pro instanční objekt služby Aktualizace zařízení.

Rozhraní REST API služby Device Update

Služba Device Update používá k ověřování rozhraní REST API microsoft Entra ID. Abyste mohli začít, musíte vytvořit a nakonfigurovat klientskou aplikaci.

Vytvoření klientské aplikace Microsoft Entra

Pokud chcete integrovat aplikaci nebo službu s ID Microsoft Entra, nejprve zaregistrujte klientskou aplikaci v Microsoft Entra ID. Nastavení klientské aplikace se liší v závislosti na toku autorizace, který potřebujete: uživatele, aplikace nebo spravované identity. Příklad:

• Pokud chcete volat službu Device Update z mobilní nebo desktopové aplikace, vyberte v části Vyberte platformu a zadejte https://login.microsoftonline.com/common/oauth2/nativeclient identifikátor URI přesměrování.

• Pokud chcete volat službu Device Update z webu s implicitními přihlašováními, použijte webovou platformu. V části Implicitní udělení a hybridní toky vyberte Přístupové tokeny (používané pro implicitní toky).

  Poznámka:

  Použijte nejbezpečnější dostupný tok ověřování. Implicitní ověřování toku vyžaduje vysokou míru důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky, jako jsou spravované identity, nejsou přijatelné.

Konfigurace oprávnění

Dále udělte aplikaci oprávnění k volání aktualizace zařízení.

1. Přejděte na stránku oprávnění rozhraní API vaší aplikace a vyberte Přidat oprávnění.
2. Přejděte na rozhraní API, která moje organizace používá , a vyhledejte Azure Device Update.
3. Vyberte user_impersonation oprávnění a vyberte Přidat oprávnění.

Vyžádání autorizačního tokenu

Rozhraní REST API služby Device Update vyžaduje autorizační token OAuth 2.0 v hlavičce požadavku. Následující části ukazují příklady některých způsobů, jak požádat o autorizační token.

Azure CLI

az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'

Knihovna MSAL v PowerShellu

MSAL.PS Modul PowerShellu je obálka knihovny Microsoft Authentication Library pro .NET (MSAL .NET), která podporuje různé metody ověřování.

• Přihlašovací údaje uživatele:

  $clientId = '<app_id>'
  $tenantId = '<tenant_id>'
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/user_impersonation'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
  

• Přihlašovací údaje uživatele s kódem zařízení:

  $clientId = '<app_id>’
  $tenantId = '<tenant_id>’
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/user_impersonation'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
  

• Přihlašovací údaje aplikace:

  $clientId = '<app_id>’
  $tenantId = '<tenant_id>’
  $cert = '<client_certificate>'
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/.default'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
  

Podpora spravovaných identit

Spravované identity poskytují služby Azure se zabezpečenými a automaticky spravovanými identitami ID Microsoft Entra. Spravované identity eliminují potřebu vývojářů spravovat přihlašovací údaje tím, že poskytují identity. Aktualizace zařízení podporuje spravované identity přiřazené systémem.

Přidání spravované identity přiřazené systémem pro službu Device Update:

1. Na webu Azure Portal přejděte na svůj účet Device Update.
2. V levém navigačním panelu vyberte Identitu nastavení>.
3. V části Systém přiřazený na stránce Identita nastavte stav na Zapnuto.
4. Vyberte Uložit a pak vyberte Ano.

Přidání spravované identity přiřazené systémem pro IoT Hub:

1. Na webu Azure Portal přejděte do centra IoT.
2. V levém navigačním panelu vyberte Identitu nastavení>zabezpečení.
3. V části Systém přiřazený na stránce Identita vyberte v části Stav.
4. Vyberte Uložit a pak vyberte Ano.

Pokud chcete odebrat spravovanou identitu přiřazenou systémem z účtu služby Device Update nebo centra IoT, nastavte nebo vyberte Vypnuto na stránce Identita a pak vyberte Uložit.

Související obsah

• Vytvoření služby Azure Device Update pro prostředky ioT Hubu
• Konfigurace řízení přístupu pro prostředky služby Device Update