Řízení přístupu na základě role ve službě Azure Digital Twins
Důležité
Byla vydána nová verze služby Azure Digital Twins. Vzhledem k rozšířeným funkcím nové služby byla původní služba Azure Digital Twins (popsaná v této sadě dokumentace) vyřazena.
Pokud chcete zobrazit dokumentaci k nové službě, navštivte aktivní dokumentaci ke službě Azure Digital Twins.
Azure Digital Twins umožňuje přesnou kontrolu přístupu nad konkrétními daty, prostředky a akcemi v prostorovém grafu. Provede to prostřednictvím podrobné role a správy oprávnění označované jako řízení přístupu na základě role (RBAC). RBAC se skládá z rolí a přiřazení rolí. Role identifikují úroveň oprávnění. Přiřazení rolí přidružují roli k uživateli nebo zařízení.
Pomocí RBAC je možné udělit oprávnění:
- Uživatel.
- Zařízení.
- Instanční objekt.
- Uživatelem definovaná funkce.
- Všichni uživatelé, kteří patří do domény.
- Tenant.
Stupeň přístupu je také možné vyladit.
RBAC je jedinečný v tom, že oprávnění se dědí v prostorovém grafu.
Co mi RBAC umožňuje?
Vývojář může použít RBAC k:
- Udělte uživateli možnost spravovat zařízení pro celou budovu nebo jenom pro konkrétní místnost nebo podlahu.
- Udělte správci globální přístup ke všem uzlům prostorového grafu pro celý graf nebo jenom pro oddíl grafu.
- Udělte specialistovi podpory přístup ke čtení grafu s výjimkou přístupových klíčů.
- Udělte každému členu domény přístup ke čtení všech objektů grafu.
Osvědčené postupy řízení přístupu na základě role
Řízení přístupu na základě role je strategie zabezpečení řízená dědičností pro správu přístupu, oprávnění a rolí. Sestupné role dědí oprávnění z nadřazených rolí. Oprávnění je také možné přiřadit bez dědění z nadřazené role. Dají se také přiřadit k přizpůsobení role podle potřeby.
Správce prostoru může například potřebovat globální přístup ke spuštění všech operací pro zadaný prostor. Access zahrnuje všechny uzly pod nebo v prostoru. Instalační program zařízení může potřebovat jenom oprávnění ke čtení a aktualizaci zařízení a senzorů.
V každém případě jsou role uděleny přesně a ne více než přístup potřebný k plnění svých úkolů podle zásady nejnižších oprávnění. Podle tohoto principu je identita udělena pouze:
- Množství přístupu potřebné k dokončení úlohy.
- Role vhodná a omezená na provádění své práce.
Důležité
Vždy dodržujte zásadu nejnižších oprávnění.
Další důležité postupy řízení přístupu na základě role:
- Pravidelně auditujte přiřazení rolí, abyste ověřili, že každá role má správná oprávnění.
- Vyčistěte role a přiřazení, když jednotlivci mění role nebo přiřazení.
Role
Definice rolí
Definice role je kolekce oprávnění a dalších atributů, které představují roli. Definice role obsahuje seznam povolených operací, mezi které patří CREATE, READ, UPDATE a DELETE , které mohou provádět všechny objekty s danou rolí. Určuje také, na které typy objektů se oprávnění vztahují.
Následující tabulka popisuje role, které jsou k dispozici ve službě Azure Digital Twins:
| Role | Popis | Identifikátor |
|---|---|---|
| Správce prostoru | OPRÁVNĚNÍ CREATE, READ, UPDATE a DELETE pro zadaný prostor a všechny uzly pod nimi. Globální oprávnění. | 98e4ad7-28d4-4007-853b-b9968ad132d1 |
| Správce uživatelů | OPRÁVNĚNÍ CREATE, READ, UPDATE a DELETE pro uživatele a objekty související s uživatelem. Oprávnění ČÍST pro mezery | dfaac54c-f583-4dd2-b45d-8d4bbc0aa1ac |
| Správce zařízení | OPRÁVNĚNÍ CREATE, READ, UPDATE a DELETE pro zařízení a objekty související se zařízeními. Oprávnění ČÍST pro mezery | 3cdfde07-bc16-40d9-bed3-66d49a8f52ae |
| Správce klíčů | Oprávnění CREATE, READ, UPDATE a DELETE pro přístupové klíče Oprávnění ČÍST pro mezery | 5a0b1afc-e118-4068-969f-b50efb8e5da6 |
| Správce tokenů | Oprávnění READ a UPDATE pro přístupové klíče Oprávnění ČÍST pro mezery | 38a3bb21-5424-43b4-b0bf-78ee228840c3 |
| Uživatel | Oprávnění READ pro prostory, senzory a uživatele, které zahrnují odpovídající související objekty. | b1ffdb77-c635-4e7e-ad25-948237d85b30 |
| Specialista podpory | Oprávnění ČÍST pro všechno kromě přístupových klíčů. | 6e46958b-dc62-4e7c-990c-c3da2e030969 |
| Instalační program zařízení | Oprávnění READ a UPDATE pro zařízení a senzory, které zahrnují odpovídající související objekty. Oprávnění ČÍST pro mezery | b16dd9fe-4efe-467b-8c8c-720e2ff8817c |
| Zařízení brány | OPRÁVNĚNÍ CREATE pro senzory. Oprávnění READ pro zařízení a senzory, které zahrnují odpovídající související objekty. | d4c69766-e9bd-4e61-bfc1-d8b6e686c7a8 |
Poznámka
Pokud chcete načíst úplné definice předchozích rolí, dotazujte se na rozhraní API systému nebo rolí. Další informace najdete v článku Vytváření a správa přiřazení rolí.
Typy identifikátorů objektů
Typ objectIdType (nebo typ identifikátoru objektu) odkazuje na typ identity, která je udělena roli.
DeviceId Kromě typů a UserDefinedFunctionId typů odpovídají typy identifikátorů objektů vlastnostem Azure Active Directory objektů.
Následující tabulka obsahuje podporované typy identifikátorů objektů ve službě Azure Digital Twins:
| Typ | Description |
|---|---|
| UserId | Přiřadí uživateli roli. |
| DeviceId | Přiřadí k zařízení roli. |
| DomainName | Přiřadí roli k názvu domény. Každý uživatel se zadaným názvem domény má přístupová práva odpovídající role. |
| TenantId | Přiřadí roli tenantovi. Každý uživatel, který patří do zadaného ID tenanta Azure AD, má přístupová práva odpovídající role. |
| ServicePrincipalId | Přiřadí roli k ID objektu instančního objektu. |
| UserDefinedFunctionId | Přiřadí roli k uživatelem definované funkci (UDF). |
Tip
Přečtěte si, jak udělit oprávnění k instančnímu objektu. Přečtěte si článek Vytvoření a správa přiřazení rolí.
Následující referenční články dokumentace popisují:
- Dotazování nebo ID objektu pro uživatele
- Jak získat ID objektu pro instanční objekt.
- Jak načíst ID objektu pro tenanta Azure AD.
Přiřazení rolí
Přiřazení role Azure Digital Twins přidruží objekt, například uživatele nebo tenanta Azure AD, k roli a prostoru. Oprávnění jsou udělena všem objektům, které patří do daného prostoru. Prostor obsahuje celý prostorový graf pod ním.
Uživatel má například přiřazení role s rolí DeviceInstaller pro kořenový uzel prostorového grafu, který představuje budovu. Uživatel pak může číst a aktualizovat zařízení pro tento uzel a všechny ostatní podřízené prostory v budově.
Pokud chcete příjemci udělit oprávnění, vytvořte přiřazení role. Pokud chcete odvolat oprávnění, odeberte přiřazení role.
Důležité
Další informace o přiřazení rolí najdete v tématu Vytváření a správa přiřazení rolí.
Další kroky
Další informace o vytváření a správě přiřazení rolí Služby Azure Digital Twins najdete v tématu Vytvoření a správa přiřazení rolí.
Přečtěte si další informace o RBAC pro Azure.