Kontrola dostępu oparta na rolach w usłudze Azure Digital Twins
Ważne
Wydano nową wersję usługi Azure Digital Twins. W świetle rozszerzonych możliwości nowej usługi oryginalna usługa Azure Digital Twins (opisana w tym zestawie dokumentacji) została wycofana.
Aby wyświetlić dokumentację nowej usługi, odwiedź aktywną dokumentację usługi Azure Digital Twins.
Usługa Azure Digital Twins umożliwia precyzyjną kontrolę dostępu nad określonymi danymi, zasobami i akcjami na wykresie przestrzennym. Robi to za pośrednictwem szczegółowego zarządzania rolami i uprawnieniami nazywanymi kontrolą dostępu opartą na rolach (RBAC). Kontrola dostępu oparta na rolach składa się z ról i przypisań ról. Role identyfikują poziom uprawnień. Przypisania ról kojarzą rolę z użytkownikiem lub urządzeniem.
Przy użyciu kontroli dostępu opartej na rolach można przyznać następujące uprawnienia:
- Użytkownik.
- Urządzenie.
- Jednostka usługi.
- Funkcja zdefiniowana przez użytkownika.
- Wszyscy użytkownicy, którzy należą do domeny.
- Dzierżawa.
Stopień dostępu można również dostosować.
Kontrola dostępu oparta na rolach jest unikatowa w tym, że uprawnienia są dziedziczone w dół grafu przestrzennego.
Co można zrobić za pomocą funkcji RBAC?
Deweloper może używać kontroli dostępu opartej na rolach w celu:
- Udziel użytkownikowi możliwości zarządzania urządzeniami dla całego budynku lub tylko dla określonego pokoju lub podłogi.
- Przyznaj administratorowi globalny dostęp do wszystkich węzłów grafu przestrzennego dla całego grafu lub tylko dla sekcji grafu.
- Przyznaj specjalistom pomocy technicznej dostęp do odczytu do grafu, z wyjątkiem kluczy dostępu.
- Udziel każdemu członkowi domeny dostępu do odczytu do wszystkich obiektów grafu.
Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach
Kontrola dostępu oparta na rolach to oparta na dziedziczeniu strategia zabezpieczeń do zarządzania dostępem, uprawnieniami i rolami. Role malejąco dziedziczą uprawnienia z ról nadrzędnych. Uprawnienia można również przypisywać bez dziedziczenia z roli nadrzędnej. Można je również przypisać, aby dostosować rolę zgodnie z potrzebami.
Na przykład administrator obszaru może potrzebować dostępu globalnego, aby uruchomić wszystkie operacje dla określonego miejsca. Dostęp obejmuje wszystkie węzły poniżej lub w przestrzeni. Instalator urządzenia może potrzebować tylko uprawnień do odczytu i aktualizacji dla urządzeń i czujników.
W każdym przypadku role są przyznawane dokładnie i nie więcej niż dostęp wymagany do realizacji swoich zadań zgodnie z zasadą najniższych uprawnień. Zgodnie z tą zasadą tożsamość jest udzielana tylko:
- Ilość dostępu wymagana do ukończenia zadania.
- Rola odpowiednia i ograniczona do wykonywania swojej pracy.
Ważne
Zawsze przestrzegaj zasady najniższych uprawnień.
Należy przestrzegać dwóch innych ważnych praktyk kontroli dostępu opartych na rolach:
- Okresowo przeprowadzaj inspekcję przypisań ról, aby sprawdzić, czy każda rola ma odpowiednie uprawnienia.
- Czyszczenie ról i przypisań, gdy poszczególne osoby zmieniają role lub przypisania.
Role
Definicje ról
Definicja roli to kolekcja uprawnień i innych atrybutów, które stanowią rolę. Definicja roli zawiera listę dozwolonych operacji, które obejmują operacje CREATE, READ, UPDATE i DELETE , które mogą wykonywać dowolne obiekty z tej roli. Określa również, do których typów obiektów mają zastosowanie uprawnienia.
W poniższej tabeli opisano role dostępne w usłudze Azure Digital Twins:
| Role | Opis | Identyfikator |
|---|---|---|
| Administrator obszaru | Uprawnienia CREATE, READ, UPDATE i DELETE dla określonego miejsca i wszystkich węzłów poniżej. Uprawnienia globalne. | 98e44ad7-28d4-4007-853b-b9968ad132d1 |
| Administrator użytkowników | Uprawnienia CREATE, READ, UPDATE i DELETE dla użytkowników i obiektów związanych z użytkownikiem. Uprawnienie DO ODCZYTU dla spacji. | dfaac54c-f583-4dd2-b45d-8d4bbc0aa1ac |
| Administrator urządzenia | Uprawnienia CREATE, READ, UPDATE i DELETE dla urządzeń i obiektów związanych z urządzeniami. Uprawnienie DO ODCZYTU dla spacji. | 3cdfde07-bc16-40d9-bed3-66d49a8f52ae |
| Administrator kluczy | Uprawnienia CREATE, READ, UPDATE i DELETE dla kluczy dostępu. Uprawnienie DO ODCZYTU dla spacji. | 5a0b1afc-e118-4068-969f-b50efb8e5da6 |
| Administrator tokenu | Uprawnienia DO ODCZYTU i AKTUALIZACJI dla kluczy dostępu. Uprawnienie DO ODCZYTU dla spacji. | 38a3bb21-5424-43b4-b0bf-78ee228840c3 |
| Użytkownik | Uprawnienia do odczytu dla przestrzeni, czujników i użytkowników, które obejmują odpowiednie powiązane obiekty. | b1ffdb77-c635-4e7e-ad25-948237d85b30 |
| Specjalista ds. pomocy technicznej | Uprawnienie DO ODCZYTU dla wszystkich elementów z wyjątkiem kluczy dostępu. | 6e46958b-dc62-4e7c-990c-c3da2e030969 |
| Instalator urządzenia | Uprawnienia DO ODCZYTU i AKTUALIZACJI dla urządzeń i czujników, które obejmują odpowiadające im obiekty pokrewne. Uprawnienie DO ODCZYTU dla spacji. | b16dd9fe-4efe-467b-8c8c-720e2ff8817c |
| Urządzenie bramy | Uprawnienie CREATE dla czujników. Uprawnienie DO ODCZYTU dla urządzeń i czujników, które obejmują odpowiadające im obiekty pokrewne. | d4c69766-e9bd-4e61-bfc1-d8b6e686c7a8 |
Uwaga
Aby pobrać pełne definicje dla poprzednich ról, wykonaj zapytanie względem interfejsu API systemu/ról. Dowiedz się więcej, czytając artykuł Tworzenie przypisań ról i zarządzanie nimi.
Typy identyfikatorów obiektów
Typ objectIdType (lub typ identyfikatora obiektu) odnosi się do typu tożsamości nadanej roli. Oprócz DeviceId typów i UserDefinedFunctionId typy typy identyfikatorów obiektów odpowiadają właściwościom obiektów Azure Active Directory.
Poniższa tabela zawiera obsługiwane typy identyfikatorów obiektów w usłudze Azure Digital Twins:
| Typ | Opis |
|---|---|
| UserId | Przypisuje rolę użytkownikowi. |
| DeviceId | Przypisuje rolę do urządzenia. |
| DomainName | Przypisuje rolę do nazwy domeny. Każdy użytkownik o określonej nazwie domeny ma prawa dostępu do odpowiedniej roli. |
| TenantId | Przypisuje rolę do dzierżawy. Każdy użytkownik należący do określonego identyfikatora dzierżawy usługi Azure AD ma prawa dostępu do odpowiedniej roli. |
| ServicePrincipalId | Przypisuje rolę do identyfikatora obiektu jednostki usługi. |
| UserDefinedFunctionId | Przypisuje rolę do funkcji zdefiniowanej przez użytkownika (UDF). |
Porada
Dowiedz się, jak udzielić uprawnień jednostce usługi, czytając artykuł Tworzenie przypisań ról i zarządzanie nimi.
Opisano następujące artykuły w dokumentacji referencyjnej:
- Jak wykonywać zapytania lub identyfikator obiektu dla użytkownika.
- Jak uzyskać identyfikator obiektu dla jednostki usługi.
- Jak pobrać identyfikator obiektu dla dzierżawy usługi Azure AD.
Przypisania ról
Przypisanie roli usługi Azure Digital Twins kojarzy obiekt, taki jak użytkownik lub dzierżawa usługi Azure AD, z rolą i miejscem. Uprawnienia są przyznawane wszystkim obiektom należącym do tego obszaru. Przestrzeń zawiera cały wykres przestrzenny pod nim.
Na przykład użytkownik otrzymuje przypisanie roli z rolą DeviceInstaller dla węzła głównego grafu przestrzennego, który reprezentuje budynek. Następnie użytkownik może odczytywać i aktualizować urządzenia dla tego węzła i wszystkich innych przestrzeni podrzędnych w budynku.
Aby udzielić uprawnień odbiorcy, utwórz przypisanie roli. Aby odwołać uprawnienia, usuń przypisanie roli.
Ważne
Dowiedz się więcej na temat przypisań ról, czytając artykuł Tworzenie przypisań ról i zarządzanie nimi.
Następne kroki
Aby dowiedzieć się więcej na temat tworzenia przypisań ról usługi Azure Digital Twins i zarządzania nimi, przeczytaj Tworzenie przypisań ról i zarządzanie nimi.
Przeczytaj więcej na temat kontroli dostępu opartej na rolach dla platformy Azure.