Delen via

Voorbeeld van RBAC-configuratie voor meerdere zakelijke gebruikers

  • Artikel

Veel Azure Sphere-klanten willen RBAC-toegang configureren om technische teams in staat te stellen ontwikkelingsgerelateerde functies uit te voeren op apparaten in technisch eigendom en apparaatgroepen, maar voorkomen dat technische teams rechtstreeks toegang hebben tot productieapparaatgroepen die doorgaans worden beheerd door een operationeel team. In het volgende scenario wordt beschreven hoe u een set RBAC-gebruikersgroepen en -machtigingen configureert om zowel het technische team als het operations-team alleen toegang te geven tot de functies en resources die ze nodig hebben. In dit scenario zijn er drie verschillende groepen zakelijke gebruikers met de volgende algemene taakverantwoordelijkheden:

  • Gebruikers van Azure Sphere-beheerders : de Azure Sphere-gebruikersgroep met de hoogste bevoegdheid voor gebruikers die nieuwe Azure Sphere-catalogi en hun onderliggende resources moeten maken, configureren en beheren, waaronder het claimen van apparaten naar catalogi (de geclaimde apparaten permanent koppelen aan alleen die catalogus) en het integreren van bestaande Azure Sphere-tenants (verouderde) met Azure Sphere-catalogi (geïntegreerd).
  • Gebruikers van het productteam: voor gebruikers die bevoegdheden nodig hebben voor items die behoren tot de catalogusresource zelf, zoals afbeeldingen en certificaten, maar die geen bevoegdheden mogen hebben voor alle apparaatgroepen die deel uitmaken van de catalogus, zoals de mogelijk gevoelige productieapparaatgroep. Deze gebruikersgroep is met name geschikt voor gebruikers van productontwikkeling die apparaatcapaciteitsbestanden downloaden, apparaten verplaatsen tussen de apparatengroepen Ontwikkeling, Veldtest en Evaluatie van besturingssysteem voor veldtest, en die nieuwe software implementeren en mogelijk crashdumpbestanden verzamelen in de apparaatgroepen Veldtest en Veldtest besturingssysteemevaluatie, maar die niet gemachtigd zijn om productieapparaten te beheren in de apparaatgroepen Evaluatie van productie- en productiebesturingssystemen.
  • Operations Team-gebruikers : voor gebruikers die het productieapparaat beheren, die machtigingen nodig hebben voor de productieapparaatgroep waar ze nieuwe software- en firmware-installatiekopieën implementeren, mogelijk crashdumpbestanden verzamelen inschakelen en valideren dat retail eval-releases van het besturingssysteem werken zoals verwacht in de apparaatgroep Evaluatie van productiebesturingssystemen.

Voorbeeld van RBAC-configuratie.

Waarschuwing

  • Gebruikers die Azure Sphere-tenants (verouderde) moeten integreren in Azure Sphere-catalogi (geïntegreerd), moeten de rol Azure Sphere-inzender hebben toegepast op de resourcegroep die eigenaar is van het abonnement waartoe de tenant behoort.

  • Hoewel het mogelijk is om een gebruiker alleen een RBAC-rol toe te wijzen aan een product of apparaatgroep, maar niet aan de bovenliggende catalogus, kan de gebruiker niet zoeken naar het product of de apparaatgroep, of de bovenliggende catalogus, vanuit het Azure-startscherm. Ze hebben alleen toegang tot het product of de apparaatgroep via een URL die er rechtstreeks naar verwijst. Voor het gemak van de gebruiker raden we aan dat alle gebruikers ten minste Azure Sphere Reader-toegang hebben tot de catalogus.