Op rollen gebaseerd toegangsbeheer van Azure (RBAC) en Device Update
Device Update maakt gebruik van Azure RBAC voor verificatie en autorisatie voor gebruikers en service-API's. Als andere gebruikers en toepassingen toegang willen hebben tot Device Update, moeten gebruikers of toepassingen toegang krijgen tot deze resource. Het is ook nodig om de toegang voor de service-principal van Azure Device Update te configureren om updates te implementeren en uw apparaten te beheren.
Toegangsbeheerrollen configureren
Dit zijn de rollen die worden ondersteund door Device Update:
| Naam rol | Beschrijving |
|---|---|
| Beheerder van apparaatupdates | Heeft toegang tot alle Device Update-resources |
| Lezer voor apparaatupdates | Kan alle updates en implementaties weergeven |
| Inhoudsbeheerder voor apparaatupdates | Kan updates weergeven, importeren en verwijderen |
| Inhoudslezer voor apparaatupdates | Kan updates weergeven |
| Beheerder van implementaties voor apparaatupdates | Kan de implementatie van updates op apparaten beheren |
| Lezer voor implementaties van apparaatupdates | Kan implementaties van updates op apparaten weergeven |
Een combinatie van rollen kan worden gebruikt om het juiste toegangsniveau te bieden. Een ontwikkelaar kan bijvoorbeeld updates importeren en beheren met de rol Inhoudsbeheerder voor apparaatupdates, maar heeft de rol Device Update Deployments Reader nodig om de voortgang van een update weer te geven. Omgekeerd kan een oplossingsoperator met de rol Lezer voor apparaatupdates alle updates bekijken, maar moet deze de rol Device Update Deployments Administrator gebruiken om een specifieke update op apparaten te implementeren.
Toegang configureren voor service-principal voor Azure Device Update in de IoT Hub
Device Update voor IoT Hub communiceert met de IoT Hub voor implementaties en het beheren van updates op schaal. Als u Device Update hiervoor wilt inschakelen, moeten gebruikers IoT Hub toegang tot gegevensbijdrager instellen voor de Azure Device Update-service-principal in de IoT Hub machtigingen.
Onderstaande acties worden geblokkeerd bij de komende release, als deze machtigingen niet zijn ingesteld:
- Implementatie maken
- Implementatie annuleren
- Implementatie opnieuw proberen
- Apparaat ophalen
- Ga naar de IoT Hub verbonden met uw Device Update Instance. Klik op Access Control(IAM)
- Klik op + Toevoegen ->Roltoewijzing toevoegen
- Selecteer op het tabblad Rol de optie IoT Hub Inzender voor gegevens
- Klik op Volgende. Voor Toegang toewijzen aan selecteert u Gebruiker, groep of service-principal. Klik op + Leden selecteren en zoek naar 'Azure Device Update'
- Klik op Volgende ->Controleren + Toewijzen
Ga als volgt te werk om te controleren of u machtigingen juist hebt ingesteld:
- Ga naar de IoT Hub verbonden met uw Device Update Instance. Klik op Access Control(IAM)
- Klik op Toegang controleren
- Selecteer Gebruiker, groep of service-principal en zoek naar 'Azure Device Update'
- Nadat u op Azure Device Update hebt geklikt, controleert u of de rol IoT Hub Gegevensbijdrager wordt vermeld onder Roltoewijzingen
Verifiëren bij REST API's voor apparaatupdates
Device Update maakt gebruik van Azure Active Directory (AD) voor verificatie bij de REST API's. Om aan de slag te gaan, moet u een clienttoepassing maken en configureren.
Client-Azure AD-app maken
Als u een toepassing of service wilt integreren met Azure AD, registreert u eerst een clienttoepassing bij Azure AD. De installatie van de clienttoepassing is afhankelijk van de autorisatiestroom die u nodig hebt (gebruikers, toepassingen of beheerde identiteiten). Bijvoorbeeld om Device Update aan te roepen vanuit:
- Mobiele of desktoptoepassing, platform voor mobiele en bureaubladtoepassingen toevoegen met
https://login.microsoftonline.com/common/oauth2/nativeclientvoor de omleidings-URI. - Website met impliciete aanmelding , webplatform toevoegen en toegangstokens selecteren (gebruikt voor impliciete stromen).
Machtigingen configureren
Voeg vervolgens machtigingen toe voor het aanroepen van Device Update aan uw app:
- Ga naar de pagina API-machtigingen van uw app en selecteer Een machtiging toevoegen.
- Ga naar API's die mijn organisatie gebruikt en zoek naar Azure Device Update.
- Selecteer user_impersonation machtiging en selecteer Machtigingen toevoegen.
Autorisatietoken aanvragen
De Device Update REST API vereist een OAuth 2.0-autorisatietoken in de aanvraagheader. In de volgende secties ziet u enkele voorbeelden van manieren om een autorisatietoken aan te vragen.
Azure CLI gebruiken
az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'
PowerShell MSAL-bibliotheek gebruiken
MSAL.PS PowerShell-module is een wrapper via Microsoft Authentication Library voor .NET (MSAL .NET). Het ondersteunt verschillende verificatiemethoden.
Gebruikersreferenties gebruiken:
$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
Gebruikersreferenties gebruiken met apparaatcode:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
App-referenties gebruiken:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
Ondersteuning voor beheerde identiteiten
Beheerde identiteiten bieden Azure-services met een automatisch beheerde identiteit in Azure AD op een veilige manier. Dit elimineert de noodzaak voor ontwikkelaars om referenties te beheren door een identiteit op te geven. Device Update voor IoT Hub ondersteunt door het systeem toegewezen beheerde identiteiten.
Door het systeem toegewezen beheerde identiteit
Een door het systeem toegewezen beheerde identiteit toevoegen en verwijderen in Azure Portal:
- Meld u aan bij de Azure Portal en navigeer naar de gewenste Apparaatupdate voor IoT Hub-account.
- Navigeer naar Identiteit in uw Apparaatupdate voor IoT Hub-portal
- Navigeer naar Identiteit in uw IoT Hub-portal
- Selecteer op het tabblad Door het systeem toegewezen de optie Aan en klik op Opslaan.
Als u een door het systeem toegewezen beheerde identiteit wilt verwijderen uit een Device Update for IoT Hub-account, selecteert u Uit en klikt u op Opslaan.