Udostępnij za pośrednictwem

Uprawnienia w witrynie azureiotsuite.com

  • Artykuł

Co się stanie po zalogowaniu

Przy pierwszym logowaniu w azureiotsuite.com lokacja określa poziomy uprawnień na podstawie aktualnie wybranej dzierżawy usługi Azure Active Directory (AAD) i subskrypcji platformy Azure.

  1. Najpierw, aby wypełnić listę dzierżaw widocznych obok nazwy użytkownika, witryna dowie się z platformy Azure, do której należą dzierżawy usługi AAD. Obecnie witryna może uzyskiwać tokeny użytkownika tylko dla jednej dzierżawy jednocześnie. W związku z tym po przełączeniu dzierżaw przy użyciu listy rozwijanej w prawym górnym rogu witryna loguje cię do tej dzierżawy, aby uzyskać tokeny dla tej dzierżawy.

  2. Następnie witryna dowie się z platformy Azure, które subskrypcje zostały skojarzone z wybraną dzierżawą. Podczas tworzenia nowego wstępnie skonfigurowanego rozwiązania są widoczne dostępne subskrypcje.

  3. Na koniec witryna pobiera wszystkie zasoby w subskrypcjach i grupach zasobów oznaczonych jako wstępnie skonfigurowane rozwiązania i wypełnia kafelki na stronie głównej.

W poniższych sekcjach opisano role kontrolujące dostęp do wstępnie skonfigurowanych rozwiązań.

Role usługi AAD

Role usługi AAD kontrolują możliwość aprowizowania wstępnie skonfigurowanych rozwiązań i zarządzania użytkownikami w wstępnie skonfigurowanym rozwiązaniu.

Więcej informacji na temat ról administratora w usłudze AAD można znaleźć w temacie Przypisywanie ról administratorów w Azure AD. Bieżący artykuł koncentruje się na rolach administratora globalnego i katalogu użytkowników używanych przez wstępnie skonfigurowane rozwiązania.

Administrator globalny

W dzierżawie usługi AAD może istnieć wielu administratorów globalnych:

  • Podczas tworzenia dzierżawy usługi AAD jesteś domyślnie administratorem globalnym tej dzierżawy.
  • Administrator globalny może aprowizować wstępnie skonfigurowane rozwiązanie i ma przypisaną rolę Administracja dla aplikacji wewnątrz dzierżawy usługi AAD.
  • Jeśli inny użytkownik w tej samej dzierżawie usługi AAD tworzy aplikację, domyślną rolą przyznawaną administratorowi globalnemu jest ReadOnly.
  • Administrator globalny może przypisywać użytkowników do ról dla aplikacji przy użyciu Azure Portal.

Użytkownik domeny

Może istnieć wielu użytkowników domeny na dzierżawę usługi AAD:

  • Użytkownik domeny może aprowizować wstępnie skonfigurowane rozwiązanie za pośrednictwem witryny azureiotsuite.com . Domyślnie użytkownik domeny ma przypisaną rolę Administracja w aprowizowanej aplikacji.
  • Użytkownik domeny może utworzyć aplikację przy użyciu skryptu build.cmd w repozytorium azure-iot-remote-monitoring, azure-iot-predictive-maintenance lub azure-iot-connected-factory . Jednak domyślna rola udzielona użytkownikowi domeny to ReadOnly, ponieważ użytkownik domeny nie ma uprawnień do przypisywania ról.
  • Jeśli inny użytkownik w dzierżawie usługi AAD utworzy aplikację, domyślnie do tej aplikacji zostanie przypisana rola ReadOnly .
  • Użytkownik domeny nie może przypisywać ról dla aplikacji; w związku z tym użytkownik domeny nie może dodawać użytkowników ani ról dla użytkowników dla aplikacji, nawet jeśli je zaaprowizować.

Użytkownik-gość

Może istnieć wielu użytkowników-gości na dzierżawę usługi AAD. Użytkownicy-goście mają ograniczony zestaw praw w dzierżawie usługi AAD. W związku z tym użytkownicy-goście nie mogą aprowizować wstępnie skonfigurowanego rozwiązania w dzierżawie usługi AAD.

Aby uzyskać więcej informacji na temat użytkowników i ról w usłudze AAD, zobacz następujące zasoby:

Role administratora subskrypcji platformy Azure

Role administratora platformy Azure kontrolują możliwość mapowania subskrypcji platformy Azure na dzierżawę usługi AD.

Dowiedz się więcej o rolach administratora platformy Azure w artykule Jak dodać lub zmienić rolę współadministratora platformy Azure, administratora usługi i administratora konta.

Role aplikacji

Role aplikacji kontrolują dostęp do urządzeń w wstępnie skonfigurowanym rozwiązaniu.

Istnieją dwie zdefiniowane role i jedna niejawna rola zdefiniowana w aprowizowanej aplikacji:

  • Administracja: ma pełną kontrolę nad dodawaniem, usuwaniem urządzeń i modyfikowaniem ustawień oraz zarządzanie nimi.
  • Readonly: Może wyświetlać urządzenia, reguły, akcje, zadania i dane telemetryczne.

Uprawnienia przypisane do każdej roli można znaleźć w pliku źródłowym RolePermissions.cs .

Zmienianie ról aplikacji dla użytkownika

Poniższa procedura umożliwia utworzenie użytkownika w usłudze Active Directory jako administratora wstępnie skonfigurowanego rozwiązania.

Aby zmienić role użytkownika, musisz być administratorem globalnym usługi AAD:

  1. Przejdź do witryny Azure Portal.
  2. Wybierz pozycję Azure Active Directory.
  3. Upewnij się, że używasz katalogu wybranego w azureiotsuite.com podczas aprowizowania rozwiązania. Jeśli masz wiele katalogów skojarzonych z subskrypcją, możesz przełączać się między nimi, jeśli klikniesz nazwę konta w prawym górnym rogu portalu.
  4. Kliknij pozycję Aplikacje dla przedsiębiorstw, a następnie pozycję Wszystkie aplikacje.
  5. Pokaż wszystkie aplikacje z dowolnym stanem. Następnie wyszukaj aplikację o nazwie wstępnie skonfigurowanego rozwiązania.
  6. Kliknij nazwę aplikacji zgodnej ze wstępnie skonfigurowaną nazwą rozwiązania.
  7. Kliknij pozycję Użytkownicy i grupy.
  8. Wybierz użytkownika, który chcesz przełączyć role.
  9. Kliknij przycisk Przypisz i wybierz rolę (na przykład Administracja), którą chcesz przypisać do użytkownika, kliknij znacznik wyboru.

Często zadawane pytania

Jestem administratorem usługi i chcę zmienić mapowanie katalogów między moją subskrypcją a określoną dzierżawą usługi AAD. Jak mogę wykonać to zadanie?

Zobacz Dodawanie istniejącej subskrypcji do katalogu Azure AD

Jestem użytkownikiem domeny/członkiem w dzierżawie usługi AAD i utworzono wstępnie skonfigurowane rozwiązanie. Jak mogę uzyskać przypisaną rolę dla mojej aplikacji?

Poproś administratora globalnego, aby administrator globalny w dzierżawie usługi AAD, a następnie przypisz role użytkownikom samodzielnie. Możesz też poprosić administratora globalnego o bezpośrednie przypisanie Ci roli. Jeśli chcesz zmienić dzierżawę usługi AAD, w której zostało wdrożone wstępnie skonfigurowane rozwiązanie, zobacz następne pytanie.

Jak mogę przełącz dzierżawę usługi AAD, do której przypisano wstępnie skonfigurowane rozwiązanie do monitorowania zdalnego i aplikację?

Wdrożenie w chmurze można uruchomić z https://github.com/Azure/azure-iot-remote-monitoring usługi i wdrożyć ponownie przy użyciu nowo utworzonej dzierżawy usługi AAD. Ponieważ domyślnie jesteś administratorem globalnym podczas tworzenia dzierżawy usługi AAD, masz uprawnienia do dodawania użytkowników i przypisywania ról do tych użytkowników.

  1. Utwórz katalog usługi AAD w Azure Portal.
  2. Przejdź do witryny https://github.com/Azure/azure-iot-remote-monitoring.
  3. Uruchom build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution} (na przykład build.cmd cloud debug myRMSolution)
  4. Po wyświetleniu monitu ustaw identyfikator tenantid na nowo utworzoną dzierżawę zamiast poprzedniej dzierżawy.

Chcę zmienić administratora usługi lub Co-Administrator po zalogowaniu się przy użyciu konta organizacyjnego

Zobacz artykuł pomocy technicznej Zmiana administratora usługi i Co-Administrator po zalogowaniu się przy użyciu konta organizacyjnego.

Dlaczego widzę ten błąd? "Twoje konto nie ma odpowiednich uprawnień do tworzenia rozwiązania. Skontaktuj się z administratorem konta lub spróbuj użyć innego konta.

Zapoznaj się z poniższym diagramem, aby uzyskać wskazówki:

Uwaga

Jeśli po zweryfikowaniu, czy jesteś administratorem globalnym w dzierżawie usługi AAD i współadministratorem subskrypcji, usuń użytkownika i ponownie przypisz niezbędne uprawnienia w tej kolejności. Najpierw dodaj użytkownika jako administratora globalnego, a następnie dodaj użytkownika jako współadministratora w subskrypcji platformy Azure. Jeśli problemy będą się powtarzać, skontaktuj się z pomocą techniczną &.

Dlaczego ten błąd występuje, gdy mam subskrypcję platformy Azure? "Do tworzenia wstępnie skonfigurowanych rozwiązań jest wymagana subskrypcja platformy Azure. Możesz utworzyć bezpłatne konto próbne w ciągu zaledwie kilku minut.

Jeśli masz pewność, że masz subskrypcję platformy Azure, zweryfikuj mapowanie dzierżawy dla subskrypcji i upewnij się, że na liście rozwijanej wybrano poprawną dzierżawę. Jeśli sprawdzono poprawność żądanej dzierżawy, postępuj zgodnie z powyższym diagramem i zweryfikuj mapowanie subskrypcji i tej dzierżawy usługi AAD.

Następne kroki

Aby kontynuować poznawanie pakietu IoT, zobacz, jak dostosować wstępnie skonfigurowane rozwiązanie.