Controllare l'accesso a hub IoT di Azure servizio Device Provisioning (DPS) usando Microsoft Entra ID (anteprima)

È possibile usare Microsoft Entra ID per autenticare le richieste per hub IoT di Azure API del servizio Device Provisioning( DPS), ad esempio creare un'identità del dispositivo e richiamare il metodo diretto. È anche possibile usare il controllo degli accessi in base al ruolo di Azure per autorizzare le stesse API del servizio. Usando queste tecnologie insieme, è possibile concedere le autorizzazioni per accedere alle API del servizio Device Provisioning (DPS) hub IoT di Azure a un'entità di sicurezza Di Microsoft Entra. Questa entità di sicurezza può essere un utente, un gruppo o un'entità servizio dell'applicazione.

L'autenticazione dell'accesso tramite Microsoft Entra ID e il controllo delle autorizzazioni tramite il controllo degli accessi in base al ruolo di Azure offre una maggiore sicurezza e facilità d'uso sui token di sicurezza. Per ridurre al minimo i potenziali problemi di sicurezza intrinseci nei token di sicurezza, è consigliabile usare Microsoft Entra ID con il servizio Device Provisioning (DPS) hub IoT di Azure, quando possibile.

Nota

L'autenticazione con Microsoft Entra ID non è supportata per le API del dispositivo del servizio Device Provisioning (DPS) hub IoT di Azure (ad esempio registrare lo stato di registrazione del dispositivo o del dispositivo). Usare chiavi simmetriche, X.509 o TPM per autenticare i dispositivi per hub IoT di Azure servizio Device Provisioning.Use symmetric keys, X.509 or TPM to authenticate devices to hub IoT di Azure Device Provisioning Service (DPS).

Autenticazione e autorizzazione

Quando un'entità di sicurezza Di Microsoft Entra richiede l'accesso a un'API del servizio Device Provisioning (DPS) hub IoT di Azure, l'identità dell'entità viene prima autenticata. Per l'autenticazione, la richiesta deve contenere un token di accesso OAuth 2.0 in fase di esecuzione. Il nome della risorsa per la richiesta del token è https://azure-devices-provisioning.net. Se l'applicazione viene eseguita in una risorsa di Azure come una macchina virtuale di Azure, un'app Funzioni di Azure o un'app del servizio app Azure, può essere rappresentata come identità gestita.

Dopo l'autenticazione dell'entità microsoft Entra, il passaggio successivo è l'autorizzazione. In questo passaggio, hub IoT di Azure servizio Device Provisioning usa il servizio di assegnazione dei ruoli Microsoft Entra per determinare quali autorizzazioni dispone dell'entità. Se le autorizzazioni dell'entità corrispondono alla risorsa o all'API richiesta, hub IoT di Azure Servizio Device Provisioning autorizza la richiesta. Questo passaggio richiede quindi l'assegnazione di uno o più ruoli di Azure all'entità di sicurezza. hub IoT di Azure servizio Device Provisioning fornisce alcuni ruoli predefiniti che dispongono di gruppi comuni di autorizzazioni.

Gestire l'accesso al servizio Device Provisioning di hub IoT di Azure usando l'assegnazione di ruolo controllo degli accessi in base al ruolo di Azure

Con Microsoft Entra ID e controllo degli accessi in base al ruolo, hub IoT di Azure Servizio Device Provisioning richiede all'entità di sicurezza che richiede all'API di disporre del livello di autorizzazione appropriato. Per concedere all'entità l'autorizzazione, assegnargli un'assegnazione di ruolo.

• Se l'entità è un utente, un gruppo o un'entità servizio dell'applicazione, seguire le indicazioni in Assegnare ruoli di Azure usando il portale di Azure.
• Se l'entità è un'identità gestita, seguire le indicazioni riportate in Assegnare un accesso all'identità gestita a una risorsa usando il portale di Azure.

Per garantire il privilegio minimo, assegnare sempre il ruolo appropriato all'ambito di risorsa più basso possibile, probabilmente l'ambito del servizio Device Provisioning (DPS) hub IoT di Azure.

hub IoT di Azure servizio Device Provisioning fornisce i ruoli predefiniti di Azure seguenti per autorizzare l'accesso alle API DPS usando Microsoft Entra ID e controllo degli accessi in base al ruolo:

Ruolo	Descrizione
Collaboratore ai dati del servizio Device Provisioning	Consente l'accesso completo alle operazioni del piano dati del servizio Device Provisioning.
Lettore dati del servizio Device Provisioning	Consente l'accesso in lettura completo alle proprietà del piano dati del servizio Device Provisioning.

È anche possibile definire ruoli personalizzati da usare con hub IoT di Azure servizio Device Provisioning combinando le autorizzazioni necessarie. Per altre informazioni, vedere Creare ruoli personalizzati per il controllo degli accessi in base al ruolo di Azure.

Ambito risorsa

Prima di assegnare un ruolo controllo degli accessi in base al ruolo di Azure a un'entità di sicurezza, determinare l'ambito di accesso che l'entità di sicurezza deve avere. È sempre consigliabile concedere solo l'ambito più ristretto possibile. I ruoli controllo degli accessi in base al ruolo di Azure definiti in un ambito più ampio vengono ereditati dalle risorse sottostanti.

Questo elenco descrive i livelli in cui è possibile definire l'ambito dell'accesso a hub IoT, a partire dall'ambito più ristretto:

• Servizio Device Provisioning (DPS) hub IoT di Azure. In questo ambito, un'assegnazione di ruolo si applica al servizio Device Provisioning (DPS) hub IoT di Azure. L'assegnazione di ruolo in ambiti più piccoli, ad esempio il gruppo di registrazione o la registrazione singola, non è supportata.
• Il gruppo di risorse. In questo ambito, un'assegnazione di ruolo si applica a tutti gli hub IoT nel gruppo di risorse.
• La sottoscrizione. In questo ambito, un'assegnazione di ruolo si applica a tutti gli hub IoT in tutti i gruppi di risorse nella sottoscrizione.
• Un gruppo di gestione. In questo ambito, un'assegnazione di ruolo si applica a tutti gli hub IoT in tutti i gruppi di risorse in tutte le sottoscrizioni nel gruppo di gestione.

Autorizzazioni per hub IoT di Azure API del servizio Device Provisioning

Nella tabella seguente vengono descritte le autorizzazioni disponibili per le operazioni API Device Provisioning Service (DPS) hub IoT di Azure. Per consentire a un client di chiamare una determinata operazione, assicurarsi che il ruolo controllo degli accessi in base al ruolo assegnato al client offra autorizzazioni sufficienti per l'operazione.

Azione controllo degli accessi in base al ruolo	Descrizione
Microsoft.Devices/provisioningServices/attestationmechanism/details/action	Recuperare i dettagli del meccanismo di attestazione
Microsoft.Devices/provisioningServices/enrollmentGroups/read	Leggere i gruppi di registrazione
Microsoft.Devices/provisioningServices/enrollmentGroups/write	Scrivere gruppi di registrazioni
Microsoft.Devices/provisioningServices/enrollmentGroups/delete	Eliminare i gruppi di registrazione
Microsoft.Devices/provisioningServices/enrollments/read	Leggere le iscrizioni
Microsoft.Devices/provisioningServices/enrollments/write	Scrivere registrazioni
Microsoft.Devices/provisioningServices/enrollments/delete	Eliminare le registrazioni
Microsoft.Devices/provisioningServices/registrationStates/read	Legge gli stati di registrazione
Microsoft.Devices/provisioningServices/registrationStates/delete	Eliminare gli stati di registrazione

Estensione Azure IoT per l'interfaccia della riga di comando di Azure

La maggior parte dei comandi per hub IoT di Azure Device Provisioning Service (DPS) supporta l'autenticazione di Microsoft Entra. È possibile controllare il tipo di autenticazione usato per eseguire i comandi usando il --auth-type parametro , che accetta o login valorikey. Il key valore è il valore predefinito.

• Quando --auth-type ha il key valore , l'interfaccia della riga di comando individua automaticamente un criterio appropriato quando interagisce con hub IoT di Azure servizio Device Provisioning (DPS).

• Quando --auth-type ha il login valore , viene usato un token di accesso dall'interfaccia della riga di comando di Azure connesso all'entità per l'operazione.

• I comandi seguenti supportano --auth-typeattualmente :

  • az iot dps enrollment
  • az iot dps enrollment-group
  • az iot dps registration

Per altre informazioni, vedere la pagina relativa alla versione dell'estensione Azure IoT per l'interfaccia della riga di comando di Azure.

SDK ed esempi

• Sdk di Azure IoT per il servizio di provisioning Node.js
  • Esempio
• Versione di anteprima di Azure IoT SDK per Java
  • Esempio
• • Microsoft Azure IoT SDK per la versione di anteprima di .NET

Accesso all'ID Microsoft Entra dal portale di Azure

Nota

L'accesso a Microsoft Entra ID dal portale di Azure non è attualmente disponibile durante l'anteprima.

Passaggi successivi

• Per altre informazioni sui vantaggi dell'uso di Microsoft Entra ID nell'applicazione, vedere Integrazione con Microsoft Entra ID.
• Per altre informazioni sulla richiesta di token di accesso da Microsoft Entra ID per utenti e entità servizio, vedere Scenari di autenticazione per Microsoft Entra ID.