Azure RBAC en Azure Device Update voor IoT Hub

Voor gebruikers en toepassingen voor toegang tot Azure Device Update voor IoT Hub moeten ze toegang krijgen tot de Device Update-resource. De service-principal Device Update moet ook toegang krijgen tot de bijbehorende IoT-hub om updates te implementeren en apparaten te beheren.

In dit artikel wordt uitgelegd hoe Device Update en Azure IoT Hub op rollen gebaseerd toegangsbeheer (Azure RBAC) gebruiken om verificatie en autorisatie te bieden voor gebruikers en service-API's. In het artikel worden ook Microsoft Entra ID-verificatie beschreven voor REST API's van Device Update en ondersteuning voor beheerde identiteiten in Device Update en Azure IoT Hub.

Rollen voor toegangsbeheer voor apparaatupdates

Device Update ondersteunt de volgende RBAC-rollen. Zie Toegangsbeheer configureren voor het Device Update-account voor meer informatie.

Rolnaam	Beschrijving
Apparaatupdatebeheerder	Heeft toegang tot alle Resources voor Apparaatupdate
Lezer voor apparaatupdates	Kan alle updates en implementaties bekijken
Inhoudsbeheerder voor apparaatupdates	Kan updates weergeven, importeren en verwijderen
Inhoudslezer voor apparaatupdates	Kan updates bekijken
Beheerder van implementaties voor apparaatupdates	Kan implementaties van updates voor apparaten beheren
Lezer voor implementaties van apparaatupdates	Kan implementaties van updates voor apparaten weergeven

U kunt een combinatie van rollen toewijzen om het juiste toegangsniveau te bieden. U kunt bijvoorbeeld de rol Inhoudsbeheerder voor apparaatupdates gebruiken om updates te importeren en beheren, maar u hebt de rol Lezer voor apparaatupdate-implementaties nodig om de voortgang van een update weer te geven. Omgekeerd kunt u met de rol Lezer voor apparaatupdates alle updates bekijken, maar u hebt de beheerdersrol Apparaatupdate-implementaties nodig om een update op apparaten te implementeren.

Toegang tot IoT Hub met service-principal van Device Update

Device Update communiceert met de bijbehorende IoT-hub om updates op schaal te implementeren en beheren. Als u deze communicatie wilt inschakelen, moet u de service-principal device update toegang verlenen tot de IoT-hub met de rol Inzender voor IoT Hub-gegevens.

Als u deze machtiging verleent, kunnen de volgende implementaties, apparaat- en updatebeheer en diagnostische acties worden uitgevoerd:

• Implementatie maken
• Implementatie annuleren
• Implementatie opnieuw proberen
• Apparaat ophalen

U kunt deze machtiging instellen op de pagina Toegangsbeheer voor IoT Hub (IAM ). Zie IoT Hub-toegang configureren voor de service-principal device update voor meer informatie.

REST API's voor apparaatupdates

Device Update maakt gebruik van Microsoft Entra ID voor verificatie bij de REST API's. Om aan de slag te gaan, moet u een clienttoepassing maken en configureren.

Een Microsoft Entra-client-app maken

Als u een toepassing of service wilt integreren met Microsoft Entra ID, moet u eerst een clienttoepassing registreren bij Microsoft Entra ID. De installatie van clienttoepassingen varieert afhankelijk van de autorisatiestroom die u nodig hebt: gebruikers, toepassingen of beheerde identiteiten. Voorbeeld:

• Als u Device Update wilt aanroepen vanuit een mobiele toepassing of desktoptoepassing, selecteert u Openbare client/systeemeigen (mobiel & desktop) in Selecteer een platform en voert u de https://login.microsoftonline.com/common/oauth2/nativeclientomleidings-URI in.

• Als u Device Update wilt aanroepen vanaf een website met impliciete aanmelding, gebruikt u het webplatform . Selecteer onder Impliciete toekenning en hybride stromen toegangstokens (gebruikt voor impliciete stromen).

  Notitie

  Gebruik de veiligste verificatiestroom die beschikbaar is. Impliciete stroomverificatie vereist een hoge mate van vertrouwen in de toepassing en draagt risico's die niet aanwezig zijn in andere stromen. U moet deze stroom alleen gebruiken wanneer andere veiligere stromen, zoals beheerde identiteiten, niet haalbaar zijn.

Machtigingen configureren

Geef vervolgens machtigingen aan uw app om Device Update aan te roepen.

1. Ga naar de pagina API-machtigingen van uw app en selecteer Een machtiging toevoegen.
2. Ga naar API's die mijn organisatie gebruikt en zoek naar Azure Device Update.
3. Selecteer user_impersonation machtiging en selecteer Machtigingen toevoegen.

Autorisatietoken aanvragen

Voor de REST API voor apparaatupdates is een OAuth 2.0-autorisatietoken in de aanvraagheader vereist. In de volgende secties ziet u voorbeelden van enkele manieren om een autorisatietoken aan te vragen.

Azure-CLI

az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'

Msal-bibliotheek voor PowerShell

MSAL.PS PowerShell-module is een wrapper via Microsoft Authentication Library voor .NET (MSAL .NET) die ondersteuning biedt voor verschillende verificatiemethoden.

• Gebruikersreferenties:

  $clientId = '<app_id>'
  $tenantId = '<tenant_id>'
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/user_impersonation'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
  

• Gebruikersreferenties met apparaatcode:

  $clientId = '<app_id>’
  $tenantId = '<tenant_id>’
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/user_impersonation'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
  

• App-referenties:

  $clientId = '<app_id>’
  $tenantId = '<tenant_id>’
  $cert = '<client_certificate>'
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/.default'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
  

Ondersteuning voor beheerde identiteiten

Beheerde identiteiten bieden Azure-services met veilige, automatisch beheerde Microsoft Entra ID-identiteiten. Beheerde identiteiten elimineren de noodzaak voor ontwikkelaars om referenties te beheren door identiteiten op te geven. Device Update ondersteunt door het systeem toegewezen beheerde identiteiten.

Een door het systeem toegewezen beheerde identiteit toevoegen voor Device Update:

1. Ga in Azure Portal naar uw Device Update-account.
2. Selecteer Instellingen-id> in het linkernavigatievenster.
3. Stel onder Systeem dat is toegewezen op de pagina Identiteit de status in op Aan.
4. Selecteer Opslaan en selecteer vervolgens Ja.

Een door het systeem toegewezen beheerde identiteit toevoegen voor IoT Hub:

1. Ga in Azure Portal naar uw IoT-hub.
2. Selecteer in het linkernavigatievenster de id van de beveiligingsinstellingen>.
3. Selecteer onder Systeem toegewezen op de pagina Identiteit de optie Aan onder Status.
4. Selecteer Opslaan en selecteer vervolgens Ja.

Als u door het systeem toegewezen beheerde identiteit wilt verwijderen uit een Device Update-account of IoT-hub, stelt of selecteert u Uit op de pagina Identiteit en selecteert u Opslaan.

Gerelateerde inhoud

• Azure Device Update voor IoT Hub-resources maken
• Toegangsbeheer configureren voor Resources voor Apparaatupdate