Configuración de una instancia de Azure Digital Twins y autenticación (portal)
En este artículo se describen los pasos para configurar una nueva instancia de Azure Digital Twins, incluidas la creación de la instancia y la configuración de la autenticación. Después de realizar los pasos de este artículo, tendrá una instancia de Azure Digital Twins lista para empezar a programar.
En esta versión de este artículo se realizan los pasos manualmente, uno por uno, mediante Azure Portal. Azure Portal es una consola unificada basada en web que proporciona una alternativa a las herramientas de línea de comandos.
La configuración completa de una instancia nueva de Azure Digital Twins consta de dos partes:
- Creación de la instancia
- Configuración de permisos de acceso de usuarios: los usuarios de Azure deben tener el rol Propietario de Azure Digital Twins en la instancia de Azure Digital Twins para poder administrarla y administrar sus datos. En este paso, como propietario o administrador de la suscripción de Azure, se asignará este rol a la persona que vaya a administrar la instancia de Azure Digital Twins. Puede ser usted mismo o alguna otra persona de la organización.
Importante
Para completar este artículo completo y configurar completamente una instancia utilizable, necesita permisos para administrar los recursos y el acceso de usuarios en la suscripción de Azure. El primer paso lo puede completar cualquier persona que pueda crear recursos en la suscripción, pero el segundo paso requiere permisos de administración de acceso de usuarios (o la cooperación de alguien con estos permisos). Puede obtener más información sobre este asunto en la sección Requisitos previos: permisos necesarios para el paso de permisos de acceso de usuarios.
Creación de una instancia de Azure Digital Twins
En esta sección, creará una instancia de Azure Digital Twins mediante Azure Portal. Vaya al portal e inicie sesión con sus credenciales.
Una vez en el portal, seleccione Crear un recurso en el menú de la página principal de servicios de Azure, para comenzar.
Busque Azure Digital Twins en el cuadro de búsqueda y elija el servicio Azure Digital Twins en los resultados.
Deje el campo Plan establecido en Azure Digital Twins y seleccione el botónCrear para empezar a crear una nueva instancia del servicio.
En la siguiente página Crear recurso, rellene los valores indicados a continuación:
- Suscripción: la suscripción Azure que está utilizando
- Grupo de recursos: un grupo de recursos en el que implementar la instancia. Si aún no tiene un grupo de recursos existente en mente, puede crear uno aquí mediante la selección del vínculo Crear nuevo y la introducción de un nombre para el nuevo grupo de recursos.
- Ubicación: una región habilitada para Azure Digital Twins para la implementación. Para obtener más información sobre la compatibilidad regional, visite Productos de Azure disponibles por región (Azure Digital Twins).
- Nombre del recurso: un nombre para su instancia de Azure Digital Twins. Si su suscripción tiene otra instancia de Azure Digital Twins en la región que ya usa el nombre especificado, se le pedirá que elija un nombre diferente.
- Conceder acceso al recurso: al marcar la casilla de esta sección se concederá permiso a la cuenta de Azure para acceder a los datos de la instancia y administrarlos. Si es quien va a administrar la instancia, debe marcar esta casilla ahora. Si está atenuada porque no tiene permiso en la suscripción, puede seguir creando el recurso y hacer que alguien con los permisos necesarios le conceda el rol más adelante. Para obtener más información sobre este rol y la asignación de roles a la instancia, consulte la sección siguiente Configuración de permisos de acceso de usuarios.
- Suscripción: la suscripción Azure que está utilizando
Cuando haya terminado, puede seleccionar Revisar y crear si no quiere configurar más opciones para la instancia. Esta acción le llevará a una página de resumen, donde puede revisar los detalles de la instancia que ha introducido y finalizar con Crear.
Si quiere configurar más detalles para la instancia, en la sección siguiente se describen las pestañas de configuración restantes.
Opciones de configuración adicionales
Estas son las opciones adicionales que puede configurar durante la instalación, mediante las demás pestañas del proceso Crear recurso.
- Redes: En esta pestaña, puede habilitar puntos de conexión privados con Azure Private Link para eliminar la exposición de la red pública a su instancia. Para obtener instrucciones, consulte Habilitación del acceso privado con Private Link.
- Avanzado: en esta pestaña, puede habilitar una identidad administrada asignada por el sistema para la instancia. Cuando esta opción está habilitada, Azure crea automáticamente una identidad para la instancia en Microsoft Entra ID, que puede utilizarse para autenticarse en otros servicios. Puede habilitar esa identidad administrada asignada por el sistema mientras crea la instancia aquí o más adelante en una instancia existente. Si en su lugar quiere habilitar una identidad administrada asignada por el usuario, deberá hacerlo más adelante en una instancia existente.
- Etiquetas: en esta pestaña, puede agregar etiquetas a su instancia para ayudarle a organizarla entre sus recursos Azure. Para obtener más información sobre las etiquetas de recurso de Azure, vea Etiquetado de recursos, grupos de recursos y suscripciones para una organización lógica.
Comprobación de que la operación es correcta y recopilación de valores importantes
Después de finalizar la configuración de la instancia con la selección de Crear, puede ver el estado de la implementación en las notificaciones de Azure que hay en la barra de iconos del portal. La notificación le indicará cuándo se ha realizado la implementación correctamente, momento en el cual podrá seleccionar el botón Ir al recurso para ver la instancia creada.
Si se produce un error con la implementación, la notificación le indicará el motivo. Observe el consejo del mensaje de error y vuelva a intentar crear la instancia.
Sugerencia
Una vez creada la instancia, para volver a su página en cualquier momento, busque el nombre de la instancia en la barra de búsqueda de Azure Portal.
A partir de la página Información general de la instancia, anote su Nombre, Grupo de recursos y Nombre de host. Estos son todos los valores importantes que puede necesitar a medida que siga trabajando con la instancia de Azure Digital Twins. Si otros usuarios van a programar en la instancia, debe compartirlos con ellos.
Ahora tiene lista una instancia de Azure Digital Twins. A continuación, debe proporcionar los permisos de usuario de Azure adecuados para administrarla.
Configuración de permisos de acceso de usuarios
Azure Digital Twins utiliza Microsoft Entra ID para el control de acceso basado en roles (RBAC). Esto significa que antes de que un usuario pueda hacer llamadas al plano de datos a la instancia de Azure Digital Twins, se debe asignar un rol a ese usuario con los permisos adecuados.
En el caso de Azure Digital Twins, este rol es Propietario de datos de Azure Digital Twins. Puede obtener más información sobre los roles y la seguridad en Seguridad para las soluciones de Azure Digital Twins.
Nota:
Este rol es diferente del rol de Propietario de Microsoft Entra ID, que también puede asignarse en el ámbito de la instancia de Azure Digital Twins. Se trata de dos roles de administración distintos y el rol Propietario no concede acceso a las características del plano de datos que se conceden con Propietario de datos de Azure Digital Twins.
Esta sección le mostrará cómo crear una asignación de rol para un usuario en su instancia Azure Digital Twins, utilizando el correo electrónico de ese usuario en el espacio empresarial de Microsoft Entra en su suscripción Azure. En función del rol de su organización, puede configurar este permiso para usted mismo o en nombre de otra persona que vaya a administrar la instancia de Azure Digital Twins.
Hay dos maneras de crear una asignación de roles para un usuario en Azure Digital Twins:
Ambas opciones requieren los mismos permisos.
Requisitos previos: requisitos de admisión
Para poder realizar todos los pasos siguientes, debe tener un rol en la suscripción que tenga los permisos siguientes:
- Crear y administrar recursos de Azure
- Administrar el acceso de los usuarios a los recursos de Azure (incluida la concesión y delegación de permisos)
Los roles comunes que cumplen este requisito son propietario, administrador de cuentas o la combinación de administrador de acceso de usuarios y colaborador. Para obtener una explicación completa de las roles y los permisos, incluidos los permisos que se incluyen con otros roles, visite Roles de Azure, Roles de Microsoft Entra y Roles de administrador de suscripción clásica en la documentación de Azure RBAC.
Para ver el rol de la suscripción, visite la página de suscripciones en Azure Portal (puede usar este vínculo o buscar Suscripciones con la barra de búsqueda del portal). Busque el nombre de la suscripción que usa y vea el rol que tiene en la columna Mi rol:
Si encuentra que el valor es Colaborador, u otro rol que no tiene los permisos requeridos descritos anteriormente, puede ponerse en contacto con el usuario de su suscripción que sí tiene estos permisos (como el Propietario de la suscripción o el Administrador de la cuenta) y proceder de una de las siguientes maneras:
- Solicite que realicen los pasos de asignación de roles en su nombre.
- Solicite que eleven los privilegios de su rol en la suscripción para que tenga los permisos necesarios para continuar por su cuenta. Que esto sea adecuado depende de la organización y del rol que tenga.
Asignación del rol durante la creación de la instancia
Al crear el recurso de Azure Digital Twins mediante el proceso descrito anteriormente en este artículo, seleccione Asignar rol de propietario de datos de Azure Digital Twins en Conceder acceso al recurso. Esta opción le concederá acceso completo a las API del plano de datos.
Si no tiene permiso para asignar un rol a una identidad, el cuadro aparecerá atenuado.
En ese caso, todavía puede continuar con la creación correcta del recurso de Azure Digital Twins, pero alguien con los permisos adecuados deberá asignarle este rol o a la persona que va a administrar los datos de la instancia.
Asignación del rol mediante Azure Identity Management (IAM)
También puede asignar el rol de propietario de datos de Azure Digital Twins mediante las opciones de control de acceso de Azure Identity Management (IAM).
En primer lugar, abra la página de la instancia de Azure Digital Twins en Azure Portal.
Seleccione Access Control (IAM) .
Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.
Asigne el rol Propietario de datos de Azure Digital Twins. Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.
Configuración Valor Role Propietario de datos de Azure Digital Twins Asignar acceso a Usuario, grupo o entidad de servicio Miembros Busque el nombre o la dirección de correo electrónico del usuario para realizar la asignación.
Comprobación de que la operación se ha completado correctamente
Puede ver la asignación de roles que ha configurado en Control de acceso (IAM) > Asignaciones de roles. El usuario debe aparecer en la lista con el rol Propietario de datos de Azure Digital Twins.
Ahora tiene lista una instancia de Azure Digital Twins y los permisos asignados para administrarla.
Habilitar/deshabilitar una identidad administrada para la instancia
En esta sección se muestra cómo agregar una identidad administrada (asignada por el sistema o por el usuario) a una instancia existente de Azure Digital Twins. También puede usar esta página para deshabilitar la identidad administrada en una instancia que ya la tiene.
Pare empezar, abra Azure Portal en el explorador.
Busque el nombre de la instancia en la barra de búsqueda del portal y selecciónela para ver sus detalles.
Seleccione Identidad en el menú de la izquierda.
Use las pestañas para seleccionar qué tipo de identidad administrada quiere agregar o quitar.
Asignada por el sistema: después de seleccionar esta pestaña, seleccione la opción Activar para activar esta característica o Desactivar para quitarla.
Seleccione el botón Guardar y Sí para confirmar. Una vez activada la identidad asignada por el sistema, se mostrarán más campos en esta página en los que se muestran el Id. de objeto y los Permisos de la nueva identidad (Asignaciones de roles de Azure).
Asignada por el usuario (versión preliminar): después de seleccionar esta pestaña, seleccione Associate a user-assigned managed identity (Asociar una identidad administrada asignada por el usuario) y siga las indicaciones para elegir una identidad a fin de asociarla a la instancia.
O bien, si ya hay una identidad enumerada aquí que quiere deshabilitar, puede activar la casilla situada junto a ella en la lista y Quitarla.
Una vez agregada una identidad, puede seleccionar su nombre en la lista aquí para abrir sus detalles. En su página de detalles, puede ver su Id. de objeto y usar el menú izquierdo para ver sus Asignaciones de roles de Azure.
Consideraciones para deshabilitar las identidades administradas
Es importante tener en cuenta los efectos que pueden tener los cambios en la identidad o sus roles en los recursos que la usan. Si usa identidades administradas con puntos de conexión de Azure Digital Twins o con el historial de datos y la identidad está deshabilitada, o se ha quitado de un rol necesario, el punto de conexión o la conexión del historial de datos podría dejar de estar accesible y el flujo de eventos se interrumpirá.
Pasos siguientes
Pruebe las llamadas individuales de la API de REST en su instancia mediante los comandos de la CLI de Azure Digital Twins:
O bien consulte cómo conectar una aplicación cliente a la instancia mediante el código de autenticación: