Řízení přístupu na základě role v Azure (RBAC) a aktualizace zařízení
Služba Device Update používá Azure RBAC k poskytování ověřování a autorizace pro uživatele a rozhraní API služeb. Aby k aktualizaci zařízení měli přístup jiní uživatelé a aplikace, musí mít uživatelé nebo aplikace přístup k tomuto prostředku. Pro úspěšné nasazení aktualizací a správu zařízení je také potřeba nakonfigurovat přístup k instančnímu objektu Azure Device Update .
Konfigurace rolí řízení přístupu
Aktualizace zařízení podporuje tyto role:
| Název role | Description |
|---|---|
| Správce aktualizací zařízení | Má přístup ke všem prostředkům služby Device Update |
| Čtečka aktualizací zařízení | Může zobrazit všechny aktualizace a nasazení |
| Správce obsahu aktualizace zařízení | Může zobrazovat, importovat a odstraňovat aktualizace. |
| Čtečka obsahu aktualizace zařízení | Může zobrazit aktualizace |
| Správce nasazení aktualizací zařízení | Může spravovat nasazení aktualizací do zařízení. |
| Čtečka nasazení aktualizací zařízení | Může zobrazit nasazení aktualizací do zařízení. |
K zajištění správné úrovně přístupu je možné použít kombinaci rolí. Vývojář může například importovat a spravovat aktualizace pomocí role Správce obsahu aktualizace zařízení, ale k zobrazení průběhu aktualizace potřebuje roli Čtenář nasazení aktualizací zařízení. Naopak operátor řešení s rolí Čtenář aktualizací zařízení může zobrazit všechny aktualizace, ale k nasazení konkrétní aktualizace do zařízení musí použít roli Správce nasazení aktualizací zařízení.
Konfigurace přístupu pro instanční objekt Azure Device Update v IoT Hub
Device Update for IoT Hub komunikuje s IoT Hub pro nasazení a správu aktualizací ve velkém. Aby to mohli uživatelé povolit službě Device Update, musí v oprávněních IoT Hub nastavit přístup přispěvatele dat IoT Hub pro instanční objekt služby Azure Device Update.
Následující akce budou v nadcházející verzi zablokované, pokud nejsou nastavená tato oprávnění:
- Vytvoření nasazení
- Zrušit nasazení
- Nasazení zopakování
- Získat zařízení
- Přejděte na IoT Hub připojenou k instanci aktualizace zařízení. Klikněte na Access Control(IAM)
- Klikněte na + Přidat ->Přidat přiřazení role.
- Na kartě Role vyberte Přispěvatel dat IoT Hub.
- Klikněte na Next (Další). V části Přiřadit přístup k vyberte Uživatel, skupina nebo instanční objekt. Klikněte na + Vybrat členy a vyhledejte Azure Device Update.
- Klikněte na Další ->Zkontrolovat a přiřadit.
Ověření, že jste správně nastavili oprávnění:
- Přejděte na IoT Hub připojenou k instanci aktualizace zařízení. Klikněte na Access Control(IAM)
- Klikněte na Zkontrolovat přístup.
- Vyberte Uživatel, skupina nebo instanční objekt a vyhledejte Azure Device Update.
- Po kliknutí na Azure Device Update ověřte, že je v části Přiřazení rolí uvedená role Přispěvatel dat IoT Hub.
Ověřování v rozhraníCH REST API aktualizace zařízení
Služba Device Update používá azure Active Directory (AD) k ověřování ve svých rozhraních REST API. Abyste mohli začít, musíte vytvořit a nakonfigurovat klientskou aplikaci.
Vytvoření klientské aplikace Azure AD
Pokud chcete integrovat aplikaci nebo službu se Azure AD, nejprve zaregistrujte klientskou aplikaci v Azure AD. Nastavení klientské aplikace se bude lišit v závislosti na autorizačním toku, který budete potřebovat (uživatelé, aplikace nebo spravované identity). Například volání aktualizace zařízení z:
- Mobilní nebo desktopovou aplikaci, přidejte platformu mobilních a desktopových aplikací s
https://login.microsoftonline.com/common/oauth2/nativeclientpro identifikátor URI přesměrování. - Web s implicitními přihlášeními, přidejte webovou platformu a vyberte Přístupové tokeny (používané pro implicitní toky).
Konfigurace oprávnění
Dále do aplikace přidejte oprávnění pro volání aktualizace zařízení:
- Přejděte na stránku oprávnění rozhraní API vaší aplikace a vyberte Přidat oprávnění.
- Přejděte na rozhraní API, která používá moje organizace , a vyhledejte Azure Device Update.
- Vyberte user_impersonation oprávnění a vyberte Přidat oprávnění.
Žádost o autorizační token
Rozhraní REST API služby Device Update vyžaduje v hlavičce požadavku autorizační token OAuth 2.0. V následujících částech najdete několik příkladů způsobů, jak požádat o autorizační token.
Použití Azure CLI
az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'
Použití powershellové knihovny MSAL
MSAL.PS Modul PowerShellu je obálka knihovny Microsoft Authentication Library for .NET (MSAL .NET). Podporuje různé metody ověřování.
Použití přihlašovacích údajů uživatele:
$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
Použití přihlašovacích údajů uživatele s kódem zařízení:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
Použití přihlašovacích údajů aplikace:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
Podpora spravovaných identit
Spravované identity poskytují službám Azure automaticky spravovanou identitu v Azure AD zabezpečeným způsobem. To eliminuje potřebu vývojářů spravovat přihlašovací údaje poskytnutím identity. Aktualizace zařízení pro IoT Hub podporuje spravované identity přiřazené systémem.
Spravovaná identita přiřazená systémem
Přidání a odebrání spravované identity přiřazené systémem v Azure Portal:
- Přihlaste se k Azure Portal a přejděte na požadovaný účet Device Update pro IoT Hub.
- Na portálu IoT Hub přejděte na Identita.
- Na portálu IoT Hub přejděte na Identita.
- Na kartě Přiřazený systém vyberte Zapnuto a klikněte na Uložit.
Pokud chcete odebrat spravovanou identitu přiřazenou systémem z účtu Device Update for IoT Hub, vyberte Vypnuto a klikněte na Uložit.