Controllo degli accessi in base al ruolo di Azure e Aggiornamento dei dispositivi
Aggiornamento dispositivi usa il controllo degli accessi in base al ruolo di Azure per fornire l'autenticazione e l'autorizzazione per gli utenti e le API del servizio. Per consentire ad altri utenti e applicazioni di avere accesso a Aggiornamento dispositivi, agli utenti o alle applicazioni deve essere concesso l'accesso a questa risorsa. È anche necessario configurare l'accesso per l'entità servizio Aggiornamento dispositivi di Azure per distribuire correttamente gli aggiornamenti e gestire i dispositivi.
Configurare i ruoli di controllo di accesso
Questi sono i ruoli supportati da Aggiornamento dispositivi:
| Nome ruolo | Descrizione |
|---|---|
| Amministratore aggiornamento dispositivi | Ha accesso a tutte le risorse di Aggiornamento dispositivi |
| Lettore aggiornamento dispositivi | Può visualizzare tutti gli aggiornamenti e le distribuzioni |
| Amministratore del contenuto di Aggiornamento dispositivi | Può visualizzare, importare ed eliminare gli aggiornamenti |
| Lettore contenuto aggiornamento dispositivo | Può visualizzare gli aggiornamenti |
| Amministratore distribuzioni aggiornamento dispositivi | Può gestire la distribuzione degli aggiornamenti nei dispositivi |
| Lettore distribuzioni di aggiornamenti del dispositivo | Può visualizzare le distribuzioni degli aggiornamenti nei dispositivi |
Una combinazione di ruoli può essere usata per fornire il livello di accesso corretto. Ad esempio, uno sviluppatore può importare e gestire gli aggiornamenti usando il ruolo Amministratore contenuto aggiornamento dispositivi, ma richiede un ruolo lettore distribuzioni aggiornamento dispositivo per visualizzare lo stato di avanzamento di un aggiornamento. Viceversa, un operatore di soluzione con il ruolo Lettore aggiornamento dispositivi può visualizzare tutti gli aggiornamenti, ma deve usare il ruolo Amministratore distribuzioni aggiornamento dispositivi per distribuire un aggiornamento specifico ai dispositivi.
Configurazione dell'accesso per l'entità servizio Aggiornamento dispositivi di Azure nella hub IoT
Aggiornamento del dispositivo per hub IoT comunica con il hub IoT per le distribuzioni e gestisce gli aggiornamenti su larga scala. Per abilitare Aggiornamento dispositivi a tale scopo, gli utenti devono impostare l'accesso hub IoT Collaboratore dati per l'entità servizio Aggiornamento dispositivi di Azure nelle autorizzazioni di hub IoT.
La distribuzione, la gestione dei dispositivi e gli aggiornamenti e le azioni di diagnostica non saranno consentite se queste autorizzazioni non sono impostate. Le operazioni che verranno bloccate includono:
- Crea distribuzione
- Annullare la distribuzione
- Riprovare a eseguire la distribuzione
- Ottenere il dispositivo
L'autorizzazione può essere impostata da hub IoT Controllo di accesso (IAM). Vedere Configurare l'entità servizio di aggiornamento dei dispositivi di Azure nell'hub IoT collegato
Eseguire l'autenticazione alle API REST di Aggiornamento dispositivi
Device Update usa l'ID Microsoft Entra per l'autenticazione nelle API REST. Per iniziare, è necessario creare e configurare un'applicazione client.
Creare un'app Microsoft Entra client
Per integrare un'applicazione o un servizio con Microsoft Entra ID, registrare prima un'applicazione client con Microsoft Entra ID. La configurazione dell'applicazione client varia a seconda del flusso di autorizzazione necessario (utenti, applicazioni o identità gestite). Ad esempio, per chiamare Device Update da:
- Applicazione per dispositivi mobili o desktop, aggiungere la piattaforma applicazioni per dispositivi mobili e desktop con
https://login.microsoftonline.com/common/oauth2/nativeclientper l'URI di reindirizzamento. - Sito Web con accesso implicito, aggiungere la piattaforma Web e selezionare Token di accesso (usati per i flussi impliciti).
Nota
Microsoft consiglia di usare il flusso di autenticazione più sicuro disponibile. L'autenticazione implicita del flusso richiede un livello di attendibilità molto elevato nell'applicazione e comporta rischi che non sono presenti in altri flussi. Si consiglia di usare questo flusso solo quando altri flussi più sicuri, come le identità gestite, non sono validi.
Configura autorizzazioni
Aggiungere quindi le autorizzazioni per chiamare Aggiornamento dispositivi all'app:
- Passare alla pagina Autorizzazioni API dell'app e selezionare Aggiungi un'autorizzazione.
- Passare alle API usate dall'organizzazione e cercare Aggiornamento dispositivi di Azure.
- Selezionare user_impersonation autorizzazione e selezionare Aggiungi autorizzazioni.
Richiedere il token di autorizzazione
L'API REST di Aggiornamento dispositivi richiede un token di autorizzazione OAuth 2.0 nell'intestazione della richiesta. Le sezioni seguenti illustrano alcuni esempi di modi per richiedere un token di autorizzazione.
Uso dell'interfaccia della riga di comando di Azure
az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'
Uso della libreria MSAL di PowerShell
MSAL.PS modulo di PowerShell è un wrapper su Microsoft Authentication Library per .NET (MSAL .NET). Supporta vari metodi di autenticazione.
Uso delle credenziali utente:
$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
Uso delle credenziali utente con il codice del dispositivo:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
Uso delle credenziali dell'app:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
Supporto per le identità gestite
Le identità gestite offrono ai servizi di Azure un'identità gestita automaticamente in Microsoft Entra ID in modo sicuro. In questo modo, gli sviluppatori devono gestire le credenziali fornendo un'identità. Aggiornamento del dispositivo per hub IoT supporta le identità gestite assegnate dal sistema.
Identità gestita assegnata dal sistema
Per aggiungere e rimuovere un'identità gestita assegnata dal sistema in portale di Azure:
- Accedere al portale di Azure e passare all'aggiornamento del dispositivo desiderato per hub IoT account.
- Passare a Identity (Identità) nell'aggiornamento del dispositivo per hub IoT portale
- Nel portale dell'hub IoT passare a Identità.
- Nella scheda Assegnata dal sistema selezionare Sì e fare clic su Salva.
Per rimuovere l'identità gestita assegnata dal sistema da un account dell'hub IoT, selezionare No e fare clic su Salva.