Op rollen gebaseerd toegangsbeheer van Azure (RBAC) en Apparaatupdate
Device Update maakt gebruik van Azure RBAC voor verificatie en autorisatie voor gebruikers en service-API's. Als u wilt dat andere gebruikers en toepassingen toegang hebben tot Device Update, moeten gebruikers of toepassingen toegang krijgen tot deze resource. Het is ook nodig om de toegang voor de service-principal van Azure Device Update te configureren voor het implementeren van updates en het beheren van uw apparaten.
Rollen voor toegangsbeheer configureren
Dit zijn de rollen die worden ondersteund door Device Update:
| Rolnaam | Beschrijving |
|---|---|
| Apparaatupdatebeheerder | Heeft toegang tot alle Resources voor Apparaatupdate |
| Lezer voor apparaatupdates | Kan alle updates en implementaties bekijken |
| Inhoudsbeheerder voor apparaatupdates | Kan updates weergeven, importeren en verwijderen |
| Inhoudslezer voor apparaatupdates | Kan updates bekijken |
| Beheerder van implementaties voor apparaatupdates | Kan de implementatie van updates op apparaten beheren |
| Lezer voor implementaties van apparaatupdates | Kan implementaties van updates voor apparaten weergeven |
Een combinatie van rollen kan worden gebruikt om het juiste toegangsniveau te bieden. Een ontwikkelaar kan bijvoorbeeld updates importeren en beheren met behulp van de rol Inhoudsbeheerder voor apparaatupdates, maar heeft de rol Lezer voor apparaatupdate-implementaties nodig om de voortgang van een update weer te geven. Omgekeerd kan een oplossingsoperator met de rol Lezer voor apparaatupdates alle updates bekijken, maar moet de beheerdersrol Apparaatupdate-implementaties gebruiken om een specifieke update op apparaten te implementeren.
Toegang configureren voor azure Device Update-service-principal in IoT Hub
Device Update voor IoT Hub communiceert met de IoT Hub voor implementaties en het beheren van updates op schaal. Als u wilt dat Device Update dit doet, moeten gebruikers de toegang van IoT Hub Data Contributor instellen voor de Service-principal van Azure Device Update in de IoT Hub-machtigingen.
Implementatie, apparaat- en updatebeheer en diagnostische acties zijn niet toegestaan als deze machtigingen niet zijn ingesteld. Bewerkingen die worden geblokkeerd, zijn onder andere:
- Implementatie maken
- Implementatie annuleren
- Implementatie opnieuw proberen
- Apparaat ophalen
De machtiging kan worden ingesteld vanuit IoT Hub Access Control (IAM). Raadpleeg De service-principal voor het bijwerken van Azure-apparaten configureren in gekoppelde IoT-hub
Verifiëren bij REST API's van Device Update
Device Update maakt gebruik van Microsoft Entra ID voor verificatie bij de REST API's. Om aan de slag te gaan, moet u een clienttoepassing maken en configureren.
Microsoft Entra-client-app maken
Als u een toepassing of service wilt integreren met Microsoft Entra ID, moet u eerst een clienttoepassing registreren bij Microsoft Entra ID. De installatie van clienttoepassingen varieert, afhankelijk van de autorisatiestroom die u nodig hebt (gebruikers, toepassingen of beheerde identiteiten). Als u bijvoorbeeld Device Update wilt aanroepen vanuit:
- Mobiele of desktoptoepassing, platform voor mobiele en bureaubladtoepassingen toevoegen voor
https://login.microsoftonline.com/common/oauth2/nativeclientde omleidings-URI. - Website met impliciete aanmelding, webplatform toevoegen en Toegangstokens (gebruikt voor impliciete stromen) selecteren.
Notitie
Microsoft raadt u aan de veiligste verificatiestroom te gebruiken die beschikbaar is. Impliciete stroomverificatie vereist een zeer hoge mate van vertrouwen in de toepassing en draagt risico's die niet aanwezig zijn in andere stromen. U moet deze stroom alleen gebruiken wanneer andere veiligere stromen, zoals beheerde identiteiten, niet haalbaar zijn.
Machtigingen configureren
Voeg vervolgens machtigingen toe voor het aanroepen van Device Update aan uw app:
- Ga naar de pagina API-machtigingen van uw app en selecteer Een machtiging toevoegen.
- Ga naar API's die mijn organisatie gebruikt en zoek naar Azure Device Update.
- Selecteer user_impersonation machtiging en selecteer Machtigingen toevoegen.
Autorisatietoken aanvragen
Voor de REST API voor apparaatupdates is een OAuth 2.0-autorisatietoken in de aanvraagheader vereist. In de volgende secties ziet u enkele voorbeelden van manieren om een autorisatietoken aan te vragen.
Azure CLI gebruiken
az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'
PowerShell MSAL-bibliotheek gebruiken
MSAL.PS PowerShell-module is een wrapper via Microsoft Authentication Library voor .NET (MSAL .NET). Het ondersteunt verschillende verificatiemethoden.
Gebruikersreferenties gebruiken:
$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
Gebruikersreferenties gebruiken met apparaatcode:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
App-referenties gebruiken:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
Ondersteuning voor beheerde identiteiten
Beheerde identiteiten leveren de Azure-services een automatisch beheerde identiteit in Microsoft Entra ID op een veilige manier. Dit elimineert de behoeften voor ontwikkelaars die referenties moeten beheren door een identiteit op te geven. Device Update voor IoT Hub ondersteunt door het systeem toegewezen beheerde identiteiten.
Door het systeem toegewezen beheerde identiteit
Een door het systeem toegewezen beheerde identiteit toevoegen en verwijderen in Azure Portal:
- Meld u aan bij Azure Portal en navigeer naar de gewenste apparaatupdate voor het IoT Hub-account.
- Navigeer naar identiteit in de Portal voor IoT Hub voor apparaatupdate
- Navigeren naar identiteit in uw IoT Hub-portal
- Selecteer Op het tabblad Systeem toegewezen de optie Aan en klik op Opslaan.
Als u door het systeem toegewezen beheerde identiteit wilt verwijderen uit een Apparaatupdate voor IoT Hub-account, selecteert u Uit en klikt u op Opslaan.