Einrichten einer Azure Digital Twins-Instanz und der Authentifizierung (Portal)
Dieser Artikel beschreibt die Schritte zum Einrichten einer neuen Azure Digital Twins-Instanz, einschließlich des Erstellens der Instanz und des Einrichtens der Authentifizierung. Nachdem Sie die Schritte in diesem Artikel durchgeführt haben, verfügen Sie über eine Azure Digital Twins-Instanz, die zum Programmieren bereitsteht.
In dieser Version dieses Artikels werden diese Schritte manuell nacheinander mithilfe des Azure-Portals durchlaufen. Das Azure-Portal ist eine webbasierte, zentrale Konsole, die eine Alternative zu Befehlszeilentools darstellt.
Das vollständige Setup für eine neue Azure Digital Twins-Instanz umfasst zwei Teile:
- Erstellen der Instanz
- Einrichten von Benutzerzugriffsberechtigungen: Azure-Benutzer müssen über die Rolle Azure Digital Twins-Datenbesitzer für die Azure Digital Twins-Instanz verfügen, um die Instanz und ihre Daten verwalten zu können. In diesem Schritt weisen Sie als Besitzer/Administrator des Azure-Abonnements diese Rolle der Person zu, die Ihre Azure Digital Twins-Instanz verwalten soll. Dies können Sie selbst sein oder eine andere Person in Ihrer Organisation.
Wichtig
Um diesen vollständigen Artikel abzuschließen und eine verwendbare Instanz vollständig einzurichten, benötigen Sie Berechtigungen zum Verwalten von Ressourcen und Benutzerzugriff für das Azure-Abonnement. Der erste Schritt kann von allen Personen ausgeführt werden, die Ressourcen für das Abonnement erstellen können, aber der zweite Schritt erfordert Berechtigungen für die Benutzerzugriffsverwaltung (oder die Zusammenarbeit eines Benutzers mit diesen Berechtigungen). Weitere Informationen hierzu finden Sie im Abschnitt Voraussetzungen: Erforderliche Berechtigungen für den Schritt „Benutzerzugriffsberechtigung“.
Erstellen der Azure Digital Twins-Instanz
In diesem Abschnitt erstellen Sie eine neue Azure Digital Twins-Instanz über das Azure-Portal. Navigieren Sie zum Portal, und melden Sie sich mit Ihren Anmeldeinformationen an.
Sobald Sie im Portal sind, wählen Sie im Menü auf der Homepage der Azure-Dienste Ressource erstellen aus.
Suchen Sie im Suchfeld nach Azure Digital Twins, und wählen Sie den Dienst Azure Digital Twins aus den Ergebnissen aus.
Lassen Sie das Feld Plan auf Azure Digital Twins festgelegt, und klicken Sie auf die Schaltfläche Erstellen, um mit dem Erstellen einer neuen Instanz des Diensts zu beginnen.
Geben Sie auf der folgenden Seite Ressource erstellen die unten angegebenen Werte ein:
- Abonnement: Das Azure-Abonnement, das Sie verwenden
- Ressourcengruppe: Eine Ressourcengruppe, in der die Instanz bereitgestellt werden soll. Wenn Sie nicht bereits eine vorhandene Ressourcengruppe in Erwägung ziehen, können Sie hier eine Ressourcengruppe erstellen, indem Sie den Link Neu erstellen auswählen und einen Namen für eine neue Ressourcengruppe eingeben
- Standort: Eine für Azure Digital Twins aktivierte Region für die Bereitstellung. Weitere Informationen zur regionalen Unterstützung finden Sie unter Verfügbare Azure-Produkte nach Region (Azure Digital Twins).
- Ressourcenname: Ein Name für Ihre Azure Digital Twins-Instanz. Wenn in Ihrem Abonnement für die Region eine weitere Azure Digital Twins-Instanz vorhanden ist, die den angegeben Namen bereits verwendet, werden Sie aufgefordert, einen anderen Namen auszuwählen.
- Zugriff auf Ressource gewähren: Wenn Sie das Kontrollkästchen in diesem Abschnitt aktivieren, erhält Ihr Azure-Konto die Berechtigung, auf Daten in der Instanz zuzugreifen und diese zu verwalten. Wenn Sie die Person sind, die die Instanz verwaltet, sollten Sie dieses Kontrollkästchen jetzt aktivieren. Wenn es ausgegraut ist, weil Sie über keine Berechtigung im Abonnement verfügen, können Sie die Erstellung der Ressource fortsetzen und sich die Rolle später von einer Person mit den erforderlichen Berechtigungen zuweisen lassen. Weitere Informationen zu dieser Rolle und zum Zuweisen von Rollen zu Ihrer Instanz finden Sie im nächsten Abschnitt Einrichten von Benutzerzugriffsberechtigungen.
- Abonnement: Das Azure-Abonnement, das Sie verwenden
Wenn Sie fertig sind, können Sie auf Überprüfen + erstellen klicken, wenn Sie keine weiteren Einstellungen für Ihre Instanz konfigurieren möchten. Dadurch gelangen Sie zu einer Zusammenfassungsseite, auf der Sie die eingegebenen Instanzdetails überprüfen und den Vorgang durch Klicken auf Erstellen abschließen können.
Wenn Sie weitere Details für Ihre Instanz konfigurieren möchten, finden Sie Informationen zu den übrigen Registerkarten für die Einrichtung im nächsten Abschnitt.
Zusätzliche Optionen für die Einrichtung
Im Folgenden finden Sie die zusätzlichen Optionen, die Sie während der Einrichtung mithilfe der anderen Registerkarten im Prozess Ressource erstellen verwenden können.
- Netzwerk: Auf dieser Registerkarte können Sie private Endpunkte mithilfe von Azure Private Link aktivieren, um zu verhindern, dass über ein öffentliches Netzwerk auf Ihre Instanz zugegriffen werden kann. Anweisungen dazu finden Sie unter Aktivieren des privaten Zugriffs mit Private Link.
- Erweitert: Auf dieser Registerkarte können Sie eine systemseitig zugewiesene verwaltete Identität für Ihre Instanz aktivieren. Wenn diese aktiviert ist, erstellt Azure automatisch eine Identität für die Instanz in Microsoft Entra ID, die zur Authentifizierung bei anderen Diensten verwendet werden kann. Sie können diese systemseitig zugewiesene verwaltete Identität aktivieren, während Sie die Instanz hier oder später in einer vorhandenen Instanz erstellen. Wenn Sie stattdessen eine benutzerseitig zugewiesene verwaltete Identität aktivieren möchten, müssen Sie dies später in einer vorhandenen Instanz tun.
- Tags: Auf dieser Registerkarte können Sie Ihrer Instanz Tags hinzufügen, die Ihnen dabei helfen, die Instanz und andere Azure-Ressourcen zu verwalten. Weitere Informationen zu den Azure-Ressourcentags finden Sie unter Verwenden von Tags zum Organisieren von Azure-Ressourcen und Verwaltungshierarchie.
Überprüfen des Erfolgs und Erfassen wichtiger Werte
Nachdem Sie die Einrichtung Ihrer Instanz durch das Klicken auf Erstellen abgeschlossen haben, können Sie in Ihren Azure-Benachrichtigungen auf der Symbolleiste des Portals den Bereitstellungsstatus Ihrer Instanz anzeigen. In der Benachrichtigung wird angezeigt, wenn die Bereitstellung erfolgreich war, und Sie können die Schaltfläche Zu Ressource wechseln auswählen, um Ihre erstellte Instanz anzuzeigen.
Wenn bei der Bereitstellung ein Fehler auftritt, wird in der Benachrichtigung die Ursache angegeben. Beachten Sie die Ratschläge in der Fehlermeldung, und versuchen Sie dann erneut, die Instanz zu erstellen.
Tipp
Nachdem die Instanz erstellt wurde, können Sie jederzeit zu ihrer Seite zurückkehren, indem Sie in der Suchleiste des Azure-Portals nach dem Namen Ihrer Instanz suchen.
Notieren Sie sich von der Seite Übersicht der Instanz den Namen, die Ressourcengruppe und den Hostnamen. Diese Werte sind alle wichtig. Sie benötigen Sie möglicherweise, wenn Sie mit Ihrer Azure Digital Twins-Instanz weiterarbeiten. Wenn andere Benutzer in der Instanz programmieren, sollten Sie diese Werte mit ihnen teilen.
Die Azure Digital Twins-Instanz ist jetzt einsatzbereit. Im nächsten Schritt stellen Sie die entsprechenden Azure-Benutzerberechtigungen für die Verwaltung der Instanz zur Verfügung.
Einrichten von Benutzerzugriffsberechtigungen
Azure Digital Twins verwendet Microsoft Entra ID für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). Dies bedeutet, dass einem Benutzer eine Rolle mit entsprechenden Berechtigungen zugewiesen werden muss, bevor er Aufrufe auf Datenebene an Ihre Azure Digital Twins-Instanz richten kann.
Bei Azure Digital Twins ist dies die Rolle Azure Digital Twins Data Owner (Azure Digital Twins-Datenbesitzer). Weitere Informationen zu Rollen und Sicherheit finden Sie unter Sicherheit für Azure Digital Twins-Lösungen.
Hinweis
Diese Rolle unterscheidet sich von der Microsoft Entra ID-Rolle Besitzer, die ebenfalls im Bereich der Azure Digital Twins-Instanz zugewiesen werden kann. Es handelt sich hierbei um zwei unterschiedliche Verwaltungsrollen. Die Rolle „Besitzer“ gewährt keinen Zugriff auf Features der Datenebene, während dieser Zugriff mit Azure Digital Twins-Datenbesitzer gewährt wird.
In diesem Abschnitt erfahren Sie, wie Sie eine Rollenzuweisung für einen Benutzer in Ihrer Azure Digital Twins-Instanz erstellen, indem Sie die E-Mail-Adresse dieses Benutzers im Microsoft Entra ID-Mandanten in Ihrem Azure-Abonnement verwenden. Je nach Ihrer Rolle in Ihrer Organisation können Sie diese Berechtigung für sich selbst oder für eine andere Person einrichten, die die Azure Digital Twins-Instanz verwaltet.
Es gibt zwei Möglichkeiten zum Erstellen einer Rollenzuweisung für einen Benutzer in Azure Digital Twins:
- Während Azure Digital Twins-Instanzerstellung
- Verwenden von Azure Identity & Access Management (IAM)
Beide erfordern die gleichen Berechtigungen.
Voraussetzungen: Erforderliche Benutzerberechtigungen
Damit Sie alle folgenden Schritte ausführen können, benötigen Sie eine Rolle mit den folgenden Berechtigungen für Ihr Abonnement:
- Erstellen und Verwalten von Azure-Ressourcen
- Verwalten des Benutzerzugriffs auf Azure-Ressourcen (einschließlich erteilen und delegieren von Berechtigungen)
Allgemeine Rollen, die diese Anforderung erfüllen, heißen Besitzer oder Kontoadministrator. Ebenso können die beiden Rollen Benutzerzugriffsadministrator und Mitwirkender kombiniert werden. Ausführliche Informationen zu den Rollen und Berechtigungen, einschließlich der Berechtigungen, die für andere Rollen freigeschaltet sind, finden Sie in der Dokumentation zu Azure RBAC unter Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements.
Wenn Sie herausfinden möchten, welche Rolle Ihnen für Ihr Abonnement zugewiesen ist, erhalten Sie weitere Informationen auf der Seite Abonnements im Azure-Portal. Sie können entweder diesen Link verwenden oder über die Suchleiste des Portals nach Abonnements suchen. Suchen Sie nach dem Namen des Abonnements, das Sie verwenden, und prüfen Sie Ihre Rolle in der Spalte Meine Rolle:
Wenn Sie feststellen, dass Ihnen die Rolle Mitwirkender oder eine andere Rolle zugewiesen ist, die nicht die erforderlichen Berechtigungen beinhaltet, können Sie einen Benutzer Ihres Abonnements kontaktieren, der über diese Berechtigungen verfügt (z. B. der Besitzer oder der Kontoadministrator des Abonnements), und dann eine der folgenden Möglichkeiten auswählen, um fortzufahren:
- Bitten Sie den Benutzer darum, die Schritte zur Rollenzuweisung in Ihrem Namen auszuführen.
- Bitten Sie darum, dass der Benutzer Ihnen eine höhere Rolle zuweist, damit Sie über die benötigten Berechtigungen verfügen, um selbst fortzufahren. Ob diese Vorgehensweise angemessen ist, hängt von Ihrer Organisation und Ihrer Rolle in dieser Organisation ab.
Zuweisen der Rolle während der Instanzerstellung
Bei der Erstellung Ihrer Azure Digital Twins-Ressource durch den weiter oben in diesem Artikel beschriebenen Prozess wählen Sie unter Zugriff auf Ressource gewähren die Option Azure Digital Twins Rolle „Datenbesitzer“ zuweisen aus. Dadurch erhalten Sie Vollzugriff auf die APIs der Datenebene.
Wenn Sie nicht über die Berechtigung zum Zuweisen einer Rolle zu einer Identität verfügen, wird das Feld ausgegraut angezeigt.
In diesem Fall können Sie die Azure Digital Twins-Ressource weiterhin erfolgreich erstellen, aber jemand mit den entsprechenden Berechtigungen muss Ihnen oder der Person, die die Daten der Instanz verwalten wird, diese Rolle zuweisen.
Zuweisen der Rolle mithilfe von Azure Identity & Access Management (IAM)
Sie können die Rolle Azure Digital Twins-Datenbesitzer auch mithilfe der Zugriffssteuerungsoptionen in Azure Identity & Access Management (IAM) zuweisen.
Öffnen Sie zunächst die Seite für Ihre Azure Digital Twins-Instanz im Azure-Portal.
Wählen Sie die Option Zugriffssteuerung (IAM) aus.
Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus, um den Bereich „Rollenzuweisung hinzufügen“ zu öffnen.
Weisen Sie die Rolle Azure Digital Twins-Datenbesitzer zu. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Einstellung Wert Rolle Azure Digital Twins Data Owner (Azure Digital Twins-Datenbesitzer) Zugriff zuweisen zu Benutzer, Gruppe oder Dienstprinzipal Member Suchen Sie nach dem Namen oder der E-Mail-Adresse des Benutzers, der zugewiesen werden soll.
Überprüfen des erfolgreichen Abschlusses
Sie können die Rollenzuweisung, die Sie eingerichtet haben, unter Zugriffssteuerung (IAM) > Rollenzuweisungen anzeigen. Der Benutzer sollte in der Liste mit der Rolle Azure Digital Twins Data Owner (Azure Digital Twins-Datenbesitzer) angezeigt werden.
Sie verfügen nun über eine einsatzbereite Azure Digital Twins-Instanz und haben Berechtigungen zugewiesen, um diese zu verwalten.
Aktivieren/Deaktivieren der verwalteten Identität für die Instanz
In diesem Abschnitt erfahren Sie, wie Sie einer vorhandenen Azure Digital Twins-Instanz eine (systemseitig oder benutzerseitig zugewiesene) verwaltete Identität hinzufügen. Sie können auf dieser Seite auch die verwaltete Identität einer Instanz deaktivieren, für die sie bereits aktiviert ist.
Öffnen Sie als Erstes das Azure-Portal in einem Browser.
Suchen Sie über die Suchleiste des Portals nach dem Namen Ihrer Instanz, und wählen Sie diesen aus, um die Details anzuzeigen.
Klicken Sie im linken Menü auf Identität.
Verwenden Sie die Registerkarten, um den Typ der verwalteten Identität auszuwählen, den Sie hinzufügen oder entfernen möchten.
Systemseitig zugewiesen: Nachdem Sie diese Registerkarte ausgewählt haben, wählen Sie die Option Ein aus, um dieses Feature zu aktivieren, oder Aus, um es zu entfernen.
Wählen Sie Speichern und zum Bestätigen Ja aus. Nachdem die systemseitig zugewiesene Identität aktiviert wurde, werden auf dieser Seite weitere Felder mit der Objekt-ID und den Berechtigungen (Azure-Rollenzuweisungen) der neuen Identität angezeigt.
Benutzerseitig zugewiesen (Vorschau): Wählen Sie nach Auswahl dieser Registerkarte Eine benutzerseitig zugewiesene verwaltete Identität zuordnen aus, und folgen Sie den Anweisungen, um eine Identität auszuwählen, die der Instanz zugeordnet werden soll.
Oder wenn hier bereits eine Identität aufgeführt ist, die Sie deaktivieren möchten, können Sie das Kontrollkästchen daneben in der Liste aktivieren und Entfernen auswählen.
Sobald eine Identität hinzugefügt wurde, können Sie deren Namen hier aus der Liste auswählen, um ihre Details zu öffnen. Auf der Seite mit den Details können Sie die Objekt-ID der Identität anzeigen und das linke Menü verwenden, um deren Azure-Rollenzuweisungen anzuzeigen.
Überlegungen zum Deaktivieren verwalteter Identitäten
Es ist wichtig, die Auswirkungen zu berücksichtigen, die Änderungen an der Identität oder ihren Rollen auf die Ressourcen haben können, die sie verwenden. Wenn Sie verwaltete Identitäten mit Ihren Azure Digital Twins-Endpunkten oder für den Datenverlauf verwenden und die Identität deaktiviert wird oder eine notwendige Rolle entfernt wird, kann die Verbindung mit dem Endpunkt oder Datenverlauf fehlschlagen, und der Ereignisfluss wird unterbrochen.
Nächste Schritte
Testen Sie einzelne REST-API-Aufrufe für Ihre Instanz mithilfe der Befehle der Azure Digital Twins-CLI:
Sie können auch eine Verbindung zwischen Ihrer Clientanwendung und Ihrer Instanz herstellen, indem Sie Authentifizierungscode verwenden: