Controllo degli accessi in base al ruolo in Gemelli digitali di Azure
Importante
È stata rilasciata una nuova versione del servizio Gemelli digitali di Azure. Alla luce delle funzionalità espanse del nuovo servizio, il servizio Gemelli digitali di Azure originale (descritto in questo set di documentazione) è stato ritirato.
Per visualizzare la documentazione per il nuovo servizio, vedere la documentazione attiva di Gemelli digitali di Azure.
Gemelli digitali di Azure consente un controllo di accesso preciso su dati, risorse e azioni specifici nel grafico spaziale. Questa operazione viene eseguita tramite una gestione granulare dei ruoli e delle autorizzazioni denominata controllo degli accessi in base al ruolo . Il controllo degli accessi in base al ruolo legge i ruoli e le assegnazioni di ruoli. I ruoli identificano il livello di autorizzazioni, mentre le assegnazioni di ruolo associano un ruolo a un utente o un dispositivo.
Con il controllo degli accessi in base al ruolo, è possibile concedere un'autorizzazione a:
- Utente.
- Un dispositivo.
- Un'entità servizio.
- Una funzione definita dall'utente.
- Tutti gli utenti che appartengono a un dominio.
- Un tenant.
È anche possibile ottimizzare il livello di accesso.
Il controllo degli accessi in base al ruolo permette l'ereditarietà delle autorizzazioni verso il basso nel grafico spaziale.
Quali operazioni si possono eseguire con il controllo degli accessi in base al ruolo?
Uno sviluppatore può usare il controllo degli accessi in base al ruolo per:
- Concedere a un utente la possibilità di gestire i dispositivi per un intero edificio o solo per una stanza o un piano specifico.
- Concedere a un amministratore l'accesso globale a tutti i nodi del grafico spaziale per un intero grafico oppure solo per una sezione del grafico.
- Concedere a uno specialista del supporto l'accesso in lettura al grafico, ad eccezione che per le chiavi di accesso.
- Concedere a ogni membro di un dominio l'accesso in lettura a tutti gli oggetti del grafico.
Procedure consigliate per il controllo degli accessi in base al ruolo
Il controllo degli accessi in base al ruolo è una strategia di sicurezza basata sull'ereditarietà per la gestione degli accessi, delle autorizzazioni e dei ruoli. I ruoli discendenti ereditano le autorizzazioni dai ruoli padre. Le autorizzazioni, tuttavia, possono essere assegnate anche se non sono state ereditate da un ruolo padre e possono essere assegnate anche per personalizzare un ruolo in base alle esigenze.
È possibile, ad esempio, che un amministratore dello spazio richieda l'accesso globale per poter eseguire qualsiasi operazione in uno spazio specifico. L'accesso include tutti i nodi sottostanti. Per un installatore di dispositivi possono essere sufficienti le autorizzazioni di lettura e aggiornamento per i dispositivi e i sensori.
In ogni caso, ai ruoli sono concesse le autorizzazioni di accesso strettamente necessarie per completare le attività assegnate in base al principio del privilegio minimo. In base a questo principio, a un'identità è concesso solamente:
- Il livello di accesso necessario per completare il processo assegnato.
- Un ruolo appropriato e limitato allo svolgimento del processo assegnato.
Importante
Seguire sempre il principio del privilegio minimo.
Di seguito sono riportate altre due procedure importanti relative al controllo degli accessi in base al ruolo:
- Controllare periodicamente le assegnazioni di ruolo per verificare che ogni ruolo disponga delle autorizzazioni corrette.
- Pulire i ruoli e le assegnazioni in caso di variazione dei ruoli o delle assegnazioni degli utenti.
Ruoli
Definizioni dei ruoli
Una definizione di ruolo è una raccolta di autorizzazioni e altri attributi che costituiscono un ruolo. Una definizione del ruolo elenca le operazioni consentite che possono essere effettuate da qualsiasi oggetto con quel ruolo, tra cui CREATE, READ, UPDATE e DELETE. Specifica inoltre a quali tipi di oggetto si applicano le autorizzazioni.
La tabella seguente descrive i ruoli disponibili in Gemelli digitali di Azure:
| Ruolo | Descrizione | Identificatore |
|---|---|---|
| Amministratore dello spazio | Autorizzazioni di CREAZIONE, LETTURA, AGGIORNAMENTO ed ELIMINAZIONE per lo spazio specificato e tutti i nodi sottostanti. Autorizzazione globale. | 98e44ad7-28d4-4007-853b-b9968ad132d1 |
| Amministratore utenti | Autorizzazioni di CREAZIONE, LETTURA, AGGIORNAMENTO ed ELIMINAZIONE per gli utenti e gli oggetti correlati agli utenti. Autorizzazione di LETTURA per gli spazi. | dfaac54c-f583-4dd2-b45d-8d4bbc0aa1ac |
| Amministratore del dispositivo | Autorizzazioni di CREAZIONE, LETTURA, AGGIORNAMENTO ed ELIMINAZIONE per i dispositivi e gli oggetti correlati ai dispositivi. Autorizzazione di LETTURA per gli spazi. | 3cdfde07-bc16-40d9-bed3-66d49a8f52ae |
| Amministratore delle chiavi | Autorizzazione CREATE, READ, UPDATE e DELETE per le chiavi di accesso. Autorizzazione di LETTURA per gli spazi. | 5a0b1afc-e118-4068-969f-b50efb8e5da6 |
| Amministratore dei token | Autorizzazioni di LETTURA e AGGIORNAMENTO per le chiavi di accesso. Autorizzazione di LETTURA per gli spazi. | 38a3bb21-5424-43b4-b0bf-78ee228840c3 |
| User | Autorizzazione di LETTURA per gli spazi, i sensori e gli utenti, inclusi gli oggetti correlati corrispondenti. | b1ffdb77-c635-4e7e-ad25-948237d85b30 |
| Specialista del supporto tecnico | Autorizzazione di LETTURA per tutti gli elementi ad eccezione delle chiavi di accesso. | 6e46958b-dc62-4e7c-990c-c3da2e030969 |
| Programma di installazione dei dispositivi | Autorizzazioni di LETTURA e AGGIORNAMENTO per i dispositivi e i sensori, inclusi gli oggetti correlati corrispondenti. Autorizzazione di LETTURA per gli spazi. | b16dd9fe-4efe-467b-8c8c-720e2ff8817c |
| Dispositivo gateway | Autorizzazione di CREAZIONE per i sensori. Autorizzazione READ per dispositivi e sensori, che include gli oggetti correlati corrispondenti. | d4c69766-e9bd-4e61-bfc1-d8b6e686c7a8 |
Nota
Per recuperare le definizioni complete dei ruoli precedenti, eseguire una query sull'API di sistema/dei ruoli. Per altre informazioni, leggere Creazione e gestione delle assegnazioni di ruolo.
Tipi di identificatori di oggetto
objectIdType (o tipo di identificatore di oggetto) si riferisce al tipo di identità a cui viene assegnato un ruolo. Ad eccezione dei tipi DeviceId e UserDefinedFunctionId, i tipi di identificatore di oggetto corrispondono alle proprietà di oggetti di Azure Active Directory.
La tabella seguente elenca i tipi di identificatore di oggetto supportati in Gemelli digitali di Azure:
| Tipo | Descrizione |
|---|---|
| UserId | Assegna un ruolo a un utente. |
| DeviceId | Assegna un ruolo a un dispositivo. |
| DomainName | Assegna un ruolo a un nome di dominio. Ogni utente con il nome di dominio specificato ha i diritti di accesso del ruolo corrispondente. |
| TenantId | Assegna un ruolo a un tenant. Ogni utente appartenente all'ID tenant di Azure AD specificato ha i diritti di accesso del ruolo corrispondente. |
| ServicePrincipalId | Assegna un ruolo a un ID oggetto entità servizio. |
| UserDefinedFunctionId | Assegna un ruolo a una funzione definita dall'utente. |
Suggerimento
Per informazioni su come concedere le autorizzazioni all'entità servizio, leggere Creazione e gestione delle assegnazioni di ruolo.
Gli articoli della documentazione di riferimento seguenti descrivono:
- Come effettuare query per l'ID oggetto per un utente.
- Come ottenere l'ID oggetto per un'entità servizio.
- Come recuperare l'ID oggetto per un tenant di Azure AD.
Assegnazioni di ruoli
Un'assegnazione di ruolo di Gemelli digitali di Azure associa un oggetto, ad esempio un utente o un tenant di Azure AD, a un ruolo e a uno spazio. Vengono quindi concesse le autorizzazioni a tutti gli oggetti che appartengono a tale spazio, incluso l'intero grafico spaziale sottostante.
A un utente, ad esempio, viene concessa l'assegnazione di ruolo per il ruolo DeviceInstaller per il nodo radice di un grafico spaziale, che rappresenta un edificio. L'utente può quindi leggere e aggiornare i dispositivi per il nodo e per tutti gli altri spazi figlio nell'edificio.
Per concedere autorizzazioni a un destinatario, creare un'assegnazione di ruolo. Per revocare le autorizzazioni, rimuovere l'assegnazione di ruolo.
Importante
Per altre informazioni sulle assegnazioni di ruolo, leggere Creazione e gestione delle assegnazioni di ruolo.
Passaggi successivi
Per altre informazioni su creazione e gestione delle assegnazioni di ruolo di Gemelli digitali di Azure, leggere Creazione e gestione delle assegnazioni di ruolo.
Altre informazioni sul controllo degli accessi in base al ruolo per Azure.