Konfigurowanie wystąpienia i uwierzytelniania usługi Azure Digital Twins (portal)
W tym artykule opisano kroki konfigurowania nowego wystąpienia usługi Azure Digital Twins, w tym tworzenia wystąpienia i konfigurowania uwierzytelniania. Po ukończeniu tego artykułu będziesz mieć wystąpienie usługi Azure Digital Twins gotowe do rozpoczęcia programowania.
W tej wersji tego artykułu opisano te kroki ręcznie, po jednym, przy użyciu witryny Azure Portal. Witryna Azure Portal to ujednolicona, oparta na sieci Web konsola, która stanowi alternatywę dla narzędzi wiersza polecenia.
Pełna konfiguracja nowego wystąpienia usługi Azure Digital Twins składa się z dwóch części:
- Tworzenie wystąpienia
- Konfigurowanie uprawnień dostępu użytkowników: użytkownicy platformy Azure muszą mieć rolę właściciela danych usługi Azure Digital Twins w wystąpieniu usługi Azure Digital Twins, aby móc zarządzać nim i jego danymi. W tym kroku jako właściciel/administrator subskrypcji platformy Azure przypiszesz tę rolę osobie, która będzie zarządzać wystąpieniem usługi Azure Digital Twins. Może to być ty lub ktoś inny w twojej organizacji.
Ważne
Aby ukończyć ten pełny artykuł i całkowicie skonfigurować wystąpienie do użytku, musisz mieć uprawnienia do zarządzania zarówno zasobami, jak i dostępem użytkowników w subskrypcji platformy Azure. Pierwszym krokiem może być każda osoba, która może tworzyć zasoby w ramach subskrypcji, ale drugi krok wymaga uprawnień do zarządzania dostępem użytkowników (lub współpracy kogoś z tymi uprawnieniami). Więcej informacji na ten temat można uzyskać w sekcji Wymagania wstępne: wymagane uprawnienia dla kroku uprawnień dostępu użytkownika.
Tworzenie wystąpienia usługi Azure Digital Twins
W tej sekcji utworzysz nowe wystąpienie usługi Azure Digital Twins przy użyciu witryny Azure Portal. Przejdź do portalu i zaloguj się przy użyciu swoich poświadczeń.
Po przejściu do portalu zacznij od wybrania pozycji Utwórz zasób w menu strony głównej usług platformy Azure.
Wyszukaj w polu wyszukiwania usługę Azure Digital Twins i wybierz usługę Azure Digital Twins z wyników.
W polu Plan pozostaw wartość Azure Digital Twins i wybierz przycisk Utwórz, aby rozpocząć tworzenie nowego wystąpienia usługi.
Na poniższej stronie Tworzenie zasobu wypełnij wartości podane poniżej:
- Subskrypcja: subskrypcja platformy Azure, której używasz
- Grupa zasobów: grupa zasobów, w której ma zostać wdrożone wystąpienie. Jeśli nie masz jeszcze istniejącej grupy zasobów, możesz utworzyć tę grupę, wybierając link Utwórz nową i wprowadzając nazwę nowej grupy zasobów
- Lokalizacja: region z obsługą usługi Azure Digital Twins dla wdrożenia. Aby uzyskać więcej informacji na temat pomocy technicznej regionalnej, odwiedź stronę Dostępność produktów platformy Azure według regionów (Azure Digital Twins).
- Nazwa zasobu: nazwa wystąpienia usługi Azure Digital Twins. Jeśli Twoja subskrypcja ma inne wystąpienie usługi Azure Digital Twins w regionie, w którym jest już używana określona nazwa, zostanie wyświetlony monit o wybranie innej nazwy.
- Udziel dostępu do zasobu: zaznaczenie pola w tej sekcji umożliwi Twojemu kontu platformy Azure dostęp do danych i zarządzanie nimi w wystąpieniu. Jeśli jesteś tym, który będzie zarządzać wystąpieniem, zaznacz to pole wyboru teraz. Jeśli jest wyszarzony, ponieważ nie masz uprawnień w subskrypcji, możesz kontynuować tworzenie zasobu i mieć osobę z wymaganymi uprawnieniami przyznać ci rolę później. Aby uzyskać więcej informacji na temat tej roli i przypisywania ról do wystąpienia, zobacz następną sekcję Konfigurowanie uprawnień dostępu użytkowników.
- Subskrypcja: subskrypcja platformy Azure, której używasz
Po zakończeniu możesz wybrać pozycję Przejrzyj i utwórz , jeśli nie chcesz konfigurować więcej ustawień dla wystąpienia. Spowoduje to przejście do strony podsumowania, na której można przejrzeć wprowadzone szczegóły wystąpienia i zakończyć je za pomocą polecenia Utwórz.
Jeśli chcesz skonfigurować więcej szczegółów dla wystąpienia, w następnej sekcji opisano pozostałe karty konfiguracji.
Dodatkowe opcje konfiguracji
Poniżej przedstawiono dodatkowe opcje, które można skonfigurować podczas instalacji, korzystając z innych kart w procesie tworzenia zasobu .
- Sieć: na tej karcie możesz włączyć prywatne punkty końcowe za pomocą usługi Azure Private Link , aby wyeliminować narażenie sieci publicznej na wystąpienie. Aby uzyskać instrukcje, zobacz Włączanie dostępu prywatnego za pomocą usługi Private Link.
- Zaawansowane: na tej karcie można włączyć tożsamość zarządzaną przypisaną przez system dla twojego wystąpienia. Po włączeniu tej opcji platforma Azure automatycznie tworzy tożsamość dla wystąpienia w usłudze Microsoft Entra ID, który może służyć do uwierzytelniania w innych usługach. Tę tożsamość zarządzaną przypisaną przez system można włączyć podczas tworzenia wystąpienia w tym miejscu lub później w istniejącym wystąpieniu. Jeśli zamiast tego chcesz włączyć tożsamość zarządzaną przypisaną przez użytkownika, musisz to zrobić później w istniejącym wystąpieniu.
- Tagi: na tej karcie można dodawać tagi do wystąpienia, aby ułatwić organizowanie ich między zasobami platformy Azure. Aby uzyskać więcej informacji na temat tagów zasobów platformy Azure, zobacz Tag resources, resource groups and subscriptions for logical organization (Tagowanie zasobów, grup zasobów i subskrypcji dla organizacji logicznej).
Weryfikowanie powodzenia i zbieranie ważnych wartości
Po zakończeniu konfiguracji wystąpienia, wybierając pozycję Utwórz, możesz wyświetlić stan wdrożenia wystąpienia w powiadomieniach platformy Azure na pasku ikony portalu. Powiadomienie będzie wskazywać, kiedy wdrożenie zakończyło się pomyślnie, w którym momencie możesz wybrać przycisk Przejdź do zasobu , aby wyświetlić utworzone wystąpienie.
Jeśli wdrożenie zakończy się niepowodzeniem, powiadomienie będzie wskazywać przyczynę. Zwróć uwagę na porady z komunikatu o błędzie i spróbuj ponownie utworzyć wystąpienie.
Napiwek
Po utworzeniu wystąpienia możesz wrócić do swojej strony w dowolnym momencie, wyszukując nazwę wystąpienia na pasku wyszukiwania w witrynie Azure Portal.
Na stronie Przegląd wystąpienia zanotuj jego nazwę, grupę zasobów i nazwę hosta. Te wartości są ważne i może być konieczne ich użycie podczas dalszej pracy z wystąpieniem usługi Azure Digital Twins. Jeśli inni użytkownicy będą programować względem wystąpienia, należy udostępnić im te wartości.
Masz teraz gotowe wystąpienie usługi Azure Digital Twins. Następnie przyznasz odpowiednie uprawnienia użytkownika platformy Azure do zarządzania nim.
Konfigurowanie uprawnień dostępu użytkowników
Usługa Azure Digital Twins używa identyfikatora Entra firmy Microsoft do kontroli dostępu opartej na rolach (RBAC). Oznacza to, że zanim użytkownik będzie mógł wykonywać wywołania płaszczyzny danych do wystąpienia usługi Azure Digital Twins, musi mieć przypisaną rolę z odpowiednimi uprawnieniami.
W przypadku usługi Azure Digital Twins ta rola jest właścicielem danych usługi Azure Digital Twins. Więcej informacji na temat ról i zabezpieczeń można uzyskać w temacie Zabezpieczenia dla rozwiązań usługi Azure Digital Twins.
Uwaga
Ta rola różni się od roli właściciela identyfikatora entra firmy Microsoft, którą można również przypisać w zakresie wystąpienia usługi Azure Digital Twins. Są to dwie odrębne role zarządzania, a właściciel nie udziela dostępu do funkcji płaszczyzny danych, które są przyznawane właścicielowi danych usługi Azure Digital Twins.
W tej sekcji pokazano, jak utworzyć przypisanie roli dla użytkownika w wystąpieniu usługi Azure Digital Twins przy użyciu poczty e-mail tego użytkownika w dzierżawie usługi Microsoft Entra w ramach subskrypcji platformy Azure. W zależności od twojej roli w organizacji możesz skonfigurować to uprawnienie dla siebie lub skonfigurować je w imieniu innej osoby, która będzie zarządzać wystąpieniem usługi Azure Digital Twins.
Istnieją dwa sposoby tworzenia przypisania roli dla użytkownika w usłudze Azure Digital Twins:
- Podczas tworzenia wystąpienia usługi Azure Digital Twins
- Korzystanie z usługi Azure Identity Management (IAM)
Oba te elementy wymagają tych samych uprawnień.
Wymagania wstępne: wymagania dotyczące uprawnień
Aby móc wykonać wszystkie poniższe kroki, musisz mieć rolę w subskrypcji , która ma następujące uprawnienia:
- Tworzenie zasobów platformy Azure i zarządzanie nimi
- Zarządzanie dostępem użytkowników do zasobów platformy Azure (w tym udzielanie i delegowanie uprawnień)
Typowe role spełniające to wymaganie to Właściciel, Administrator konta lub Kombinacja administratorów dostępu użytkowników i Współautor. Aby uzyskać pełne wyjaśnienie ról i uprawnień, w tym uprawnień uwzględnionych w innych rolach, odwiedź stronę Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji w dokumentacji RBAC platformy Azure.
Aby wyświetlić swoją rolę w subskrypcji, odwiedź stronę subskrypcji w witrynie Azure Portal (możesz użyć tego linku lub wyszukać subskrypcje z paskiem wyszukiwania portalu). Wyszukaj nazwę używanej subskrypcji i wyświetl swoją rolę w kolumnie Moja rola :
Jeśli okaże się, że wartość to Współautor lub inna rola, która nie ma wymaganych uprawnień opisanych powyżej, możesz skontaktować się z użytkownikiem subskrypcji, który ma te uprawnienia (np. właściciel subskrypcji lub administrator konta) i kontynuować jedną z następujących czynności:
- Poproś o ukończenie kroków przypisywania ról w Twoim imieniu.
- Poproś o podniesienie poziomu roli w subskrypcji, aby mieć uprawnienia do samodzielnego kontynuowania. To, czy jest to odpowiednie, zależy od organizacji i twojej roli w niej.
Przypisywanie roli podczas tworzenia wystąpienia
Podczas tworzenia zasobu usługi Azure Digital Twins za pomocą procesu opisanego wcześniej w tym artykule wybierz pozycję Przypisz rolę właściciela danych usługi Azure Digital Twins w obszarze Udzielanie dostępu do zasobu. Zapewni to sobie pełny dostęp do interfejsów API płaszczyzny danych.
Jeśli nie masz uprawnień do przypisywania roli do tożsamości, pole będzie wyświetlane jako wyszarzone.
W takim przypadku nadal możesz nadal pomyślnie utworzyć zasób usługi Azure Digital Twins, ale ktoś z odpowiednimi uprawnieniami będzie musiał przypisać tę rolę Tobie lub osobie, która będzie zarządzać danymi wystąpienia.
Przypisywanie roli przy użyciu usługi Azure Identity Management (IAM)
Rolę właściciela danych usługi Azure Digital Twins można również przypisać przy użyciu opcji kontroli dostępu w usłudze Azure Identity Management (IAM).
Najpierw otwórz stronę wystąpienia usługi Azure Digital Twins w witrynie Azure Portal.
Wybierz pozycję Kontrola dostępu (IAM) .
Kliknij pozycję Dodaj>Dodaj przypisanie roli, aby otworzyć stronę Dodawanie przypisania roli.
Przypisz rolę właściciela danych usługi Azure Digital Twins. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Ustawienie Wartość Rola Właściciel danych usługi Azure Digital Twins Przypisz dostęp do Użytkownik, grupa lub jednostka usługi Elementy członkowskie Wyszukaj nazwę lub adres e-mail użytkownika, który ma zostać przypisany
Weryfikowanie powodzenia
Możesz wyświetlić przypisanie roli skonfigurowane w obszarze Przypisania ról kontroli dostępu (IAM). > Użytkownik powinien zostać wyświetlony na liście z rolą właściciela danych usługi Azure Digital Twins.
Masz teraz gotowe wystąpienie usługi Azure Digital Twins do użycia i masz przypisane uprawnienia do zarządzania nim.
Włączanie/wyłączanie tożsamości zarządzanej dla wystąpienia
W tej sekcji pokazano, jak dodać tożsamość zarządzaną (przypisaną przez system lub przypisaną przez użytkownika) do istniejącego wystąpienia usługi Azure Digital Twins. Możesz również użyć tej strony, aby wyłączyć tożsamość zarządzaną w wystąpieniu, które ma już.
Zacznij od otwarcia witryny Azure Portal w przeglądarce.
Wyszukaj nazwę wystąpienia na pasku wyszukiwania portalu i wybierz je, aby wyświetlić jego szczegóły.
Wybierz pozycję Tożsamość w menu po lewej stronie.
Użyj kart, aby wybrać typ tożsamości zarządzanej, którą chcesz dodać lub usunąć.
Przypisane przez system: po wybraniu tej karty wybierz opcję Wł. , aby włączyć tę funkcję, lub Wyłącz , aby ją usunąć.
Wybierz przycisk Zapisz i tak, aby potwierdzić. Po włączeniu tożsamości przypisanej przez system na tej stronie zostanie wyświetlonych więcej pól z identyfikatorem obiektu i uprawnieniami nowej tożsamości (przypisania ról platformy Azure).
Przypisana przez użytkownika (wersja zapoznawcza): po wybraniu tej karty wybierz pozycję Skojarz tożsamość zarządzaną przypisaną przez użytkownika i postępuj zgodnie z monitami, aby wybrać tożsamość do skojarzenia z wystąpieniem.
Jeśli istnieje już tożsamość wymieniona w tym miejscu, którą chcesz wyłączyć, możesz zaznaczyć pole wyboru obok niej na liście i usunąć ją.
Po dodaniu tożsamości możesz wybrać jej nazwę z listy tutaj, aby otworzyć jej szczegóły. Na stronie szczegółów możesz wyświetlić jego identyfikator obiektu i użyć menu po lewej stronie, aby wyświetlić przypisania ról platformy Azure.
Zagadnienia dotyczące wyłączania tożsamości zarządzanych
Ważne jest, aby wziąć pod uwagę skutki, jakie mogą mieć jakiekolwiek zmiany w tożsamości lub jej rolach w zasobach, które go używają. Jeśli używasz tożsamości zarządzanych z punktami końcowymi usługi Azure Digital Twins lub historii danych , a tożsamość jest wyłączona lub z niej zostanie usunięta niezbędna rola, połączenie punktu końcowego lub historii danych może stać się niedostępne, a przepływ zdarzeń zostanie przerwany.
Następne kroki
Przetestuj poszczególne wywołania interfejsu API REST w wystąpieniu przy użyciu poleceń interfejsu wiersza polecenia usługi Azure Digital Twins:
Możesz też zobaczyć, jak połączyć aplikację kliencką z wystąpieniem przy użyciu kodu uwierzytelniania: