Compartir vía


Almacenar y usar sus propias claves de licencia

Azure Data Manager for Agriculture admite una gran variedad de conectores de entrada de datos para centralizar las cuentas fragmentadas. Estas conexiones requieren que el cliente rellene sus credenciales en un modelo traiga su propia licencia (BYOL), para que el administrador de datos pueda recuperar datos en nombre del cliente.

Nota:

Microsoft Azure Data Manager for Agriculture se encuentra actualmente en versión preliminar. Para conocer los términos legales que se aplican a las características que se encuentran en versión beta, versión preliminar o que todavía no están disponibles con carácter general, consulte: Términos de uso complementarios para las versiones preliminares de Microsoft Azure.

Microsoft Azure Data Manager for Agriculture requiere registro previo y actualmente solo está disponible para los clientes y asociados aprobados durante el período de versión preliminar. Para solicitar el acceso a Microsoft Data Manager for Agriculture durante el período de versión preliminar, use este formulario.

Requisitos previos

Para usar BYOL, necesita una suscripción de Azure. Si todavía no tiene una suscripción, cree una cuenta gratuita antes de empezar.

Información general

En el modelo BYOL, usted es el responsable de proporcionar sus propias licencias para los conectores de datos satélite y meteorológicos. En este modelo, almacenará la parte secreta de las credenciales en un almacén de claves administrado por el cliente de Azure. El URI del secreto debe compartirse con la instancia de Azure Data Manager for Agriculture. La instancia de Azure Data Manager for Agriculture debe tener permisos de lectura de secretos para que las API puedan funcionar sin problemas. Este proceso es una configuración única para cada conector. A continuación, nuestro Data Manager consulta y lee el secreto del almacén de claves de los clientes como parte de la llamada API sin exponerlo.

Diagrama de flujo que muestra la creación y el uso compartido de credenciales. Captura de pantalla que muestra el flujo del uso compartido de credenciales.

Opcionalmente, el cliente puede invalidar las credenciales que se van a usar para una solicitud del plano de datos proporcionando credenciales como parte de la solicitud de API del plano de datos.

Secuencia de pasos para configurar conectores

Paso 1: Creación o uso del Key Vault existente

Los clientes pueden crear un almacén de claves o usar uno que ya exista para compartir credenciales de licencia para servicios de satélite (Sentinel Hub) y meteorológicos (IBM Weather). El cliente crea Azure Key Vault o reutiliza un almacén de claves existente.

Habilite las siguientes propiedades:

Captura de pantalla que muestra las propiedades del almacén de claves.

Data Manager for Agriculture es un servicio de confianza de Microsoft y admite almacenes de claves de red privada además de almacenes de claves disponibles públicamente. Si pone su almacén de claves detrás de una red VNET, a continuación debe seleccionar la opción “Allow trusted Microsoft services to bypass this firewall."

Captura de pantalla que muestra el acceso al almacén de claves.

Paso 2: Almacenamiento de secretos en Azure Key Vault

Para compartir las credenciales del servicio satélite o meteorológico, almacene la parte secreta de las credenciales en el almacén de claves, por ejemplo, ClientSecret para SatelliteSentinelHub y APIKey para WeatherIBM. Los clientes controlan el nombre y la rotación del secreto.

Consulte esta guía para almacenar y recuperar el secreto del almacén.

Captura de pantalla que muestra el almacenamiento de los valores de clave.

Paso 3: Habilitación de la identidad del sistema

Como cliente, debe habilitar la identidad del sistema para la instancia de Data Manager for Agriculture. Esta identidad se usa mientras se conceden permisos de lectura de secretos para la instancia de Azure Data Manager for Agriculture.

Para habilitarlo, utilice uno de los métodos siguientes:

  1. A través de la interfaz de usuario de Azure Portal

    Captura de pantalla que muestra el uso de la interfaz de usuario para habilitar la clave.

  2. Con Azure CLI

    az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"
    

Paso 4: Directiva de acceso

Agregue una directiva de acceso en el almacén de claves para la instancia de Data Manager for Agriculture.

  1. Vaya a la pestaña Directivas de acceso en el almacén de claves.

    Captura de pantalla que muestra la selección de la directiva de acceso.

  2. Elija los permisos de secreto GET y LIST.

    Captura de pantalla que muestra la selección de los permisos.

  3. Seleccione la pestaña siguiente, seleccione el nombre de la instancia de Data Manager for Agriculture y, a continuación, la pestaña revisar y crear para crear la directiva de acceso.

    Captura de pantalla que muestra la pestaña de creación y revisión de la selección.

Paso 5: Invocar la llamada API del plano de control

Use la llamada API para especificar las credenciales del conector. El URI del almacén de claves, el nombre de clave o la versión de clave se pueden encontrar después de crear el secreto, como se muestra en la ilustración siguiente.

Nota:

Para realizar llamadas al plano de control, necesita acceso de propietario en el ámbito de recursos de ADMA.

Captura de pantalla que muestra dónde está disponible el nombre de clave y la versión de la clave.

Los siguientes valores deben usarse para los conectores al invocar las API anteriores:

Escenario DataConnectorName Credenciales
Para el conector Satellite SentinelHub SatelliteSentinelHub OAuthClientCredentials
Para el conector de Weather IBM WeatherIBM ApiKeyAuthCredentials

Invalidación de los detalles del conector

Como parte de las API del plano de datos, el cliente puede optar por invalidar los detalles del conector que deben usarse para esa solicitud.

El cliente puede consultar la documentación de la versión 2023-06-01-preview de la API en la que las API del plano de datos para los servicios de satélite y meteorológicos toman las credenciales como parte del cuerpo de la solicitud.

Cómo Azure Data Manager for Agriculture accede al secreto

En el flujo siguiente se muestra cómo Azure Data Manager for Agriculture accede al secreto. Captura de pantalla que muestra cómo el administrador de datos accede a las credenciales.

Si deshabilita y vuelve a habilitar la identidad del sistema, tendrá que eliminar la directiva de acceso en el almacén de claves y agregarla de nuevo.

Conclusión

Puede usar las claves de licencia de forma segura almacenando los secretos en Azure Key Vault, lo que permite la identidad del sistema y proporciona acceso de lectura a nuestro Data Manager. Las soluciones de ISV disponibles con nuestro Data Manager también usan estas credenciales.

Puede usar nuestras API del plano de datos y hacer referencia a las claves de licencia en el almacén de claves. También puede reemplazar las credenciales de licencia predeterminadas de manera dinámica en nuestras llamadas API del plano de datos. Nuestro Data Manager realiza validaciones básicas, por ejemplo, comprueba si se puede acceder al secreto especificado en el objeto de credenciales o no.

Pasos siguientes

  • Pruebe nuestras API aquí.