Compartilhar via


RBAC (Controle de acesso baseado em função) do Azure e Atualização de Dispositivo

A Atualização de Dispositivo usa o RBAC do Azure para fornecer autenticação e autorização para usuários e APIs de serviço. Para que outros usuários e aplicativos tenham acesso à Atualização de Dispositivo, é necessário conceder acesso a esse recurso a eles. Também é necessário configurar o acesso para a entidade de serviço do Atualização de Dispositivo do Azure para implantar atualizações e gerenciar seus dispositivos com êxito.

Configurar as funções de controle de acesso

A Atualização de Dispositivo dá suporte a estas funções:

Nome da função Descrição
Administrador de Atualização de Dispositivo Tem acesso a todos os recursos de Atualização de Dispositivo
Leitor de Atualização de Dispositivo Pode exibir todas as atualizações e implantações
Administrador de Conteúdo de Atualização de Dispositivo Pode exibir, importar e excluir atualizações
Leitor de Conteúdo de Atualização de Dispositivo Pode exibir atualizações
Administrador de Implantações de Atualização de Dispositivo Pode gerenciar a implantação de atualizações em dispositivos
Leitor de Implantações de Atualização de Dispositivo Pode exibir a implantação de atualizações em dispositivos

Uma combinação de funções pode ser usada para fornecer o nível certo de acesso. Por exemplo, um desenvolvedor pode importar e gerenciar atualizações usando a função Administrador de Conteúdo de Atualização de Dispositivo, mas precisa de uma função de Leitor de Implantações de Atualização de Dispositivo para exibir o progresso de uma atualização. Por outro lado, um operador de solução com a função de Leitor de Atualização de Dispositivo pode exibir todas as atualizações, mas precisa usar a função de Administrador de Implantações de Atualização de Dispositivo para implantar uma atualização específica nos dispositivos.

Configurar o acesso para a entidade de serviço da Atualização de Dispositivo do Azure no Hub IoT

A Atualização de Dispositivo para Hub IoT se comunica com o Hub IoT para implantações e gerencia atualizações em escala. Para habilitar a Atualização de Dispositivo para fazer isso, é necessário que os usuários definam o acesso de Colaborador de Dados do Hub IoT para a Entidade de Serviço de Atualização de Dispositivo do Azure nas permissões do Hub IoT.

O gerenciamento de atualizações, dispositivos e implantações e as ações de diagnóstico não serão permitidos se essas permissões não estiverem definidas. As operações que serão bloqueadas incluirão:

  • Criar implantação
  • Cancelar implantação
  • Repita implantação
  • Obter dispositivo

É possível definir a permissão no Controle de Acesso do Hub IoT (IAM). Consulte Configurar o acesso para a entidade de serviço de atualização de Dispositivo do Azure no hub IoT vinculado

Autenticar para APIs REST da Atualização de Dispositivo

A Atualização do Dispositivo utiliza o Microsoft Entra ID para autenticação em suas APIs REST. Para começar, você precisa criar e configurar um aplicativo cliente.

Criar um aplicativo cliente do Microsoft Entra

Para integrar um aplicativo ou serviço ao Microsoft Entra ID, primeiro registre um aplicativo cliente no Microsoft Entra ID. A instalação do aplicativo cliente irá variar dependendo do fluxo de autorização que você precisa (usuários, aplicativos ou identidades gerenciadas). Por exemplo, para chamar a Atualização de Dispositivo de:

  • Aplicativo móvel ou de área de trabalho, adicione a plataforma de Aplicativos móveis e de área de trabalho com https://login.microsoftonline.com/common/oauth2/nativeclient para o URI de redirecionamento.
  • Site com logon implícito, adicione a plataforma Web e selecione tokens de acesso (usados para fluxos implícitos).

Observação

A Microsoft recomenda usar o fluxo de autenticação mais seguro disponível. A autenticação de fluxo implícito exige um grau muito alto de confiança no aplicativo e traz riscos que não estão presentes em outros fluxos. Você só deve usar esse fluxo quando outros fluxos mais seguros, como identidades gerenciadas, não forem viáveis.

Configurar permissões

Em seguida, adicione permissões para chamar a Atualização de Dispositivo para seu aplicativo:

  1. Acesse a página de permissões de API do seu aplicativo e selecione Adicionar uma permissão.
  2. Acesse APIs que minha organização usa e pesquise por Atualização de Dispositivo do Azure.
  3. Selecione a permissão user_impersonation e selecione Adicionar permissões.

Solicitar um token de autorização

A API REST da Atualização de Dispositivo exige um token de autorização OAuth 2.0 no cabeçalho da solicitação. As seções a seguir mostram alguns exemplos de maneiras de solicitar um token de autorização.

Usando a CLI do Azure

az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'

Usando a biblioteca MSAL do PowerShell

MSAL.PS O módulo do PowerShell é um wrapper da biblioteca de autenticação da Microsoft para .NET (MSAL .NET). Ele é compatível com os seguintes métodos de autenticação.

Usando credenciais de usuário:

$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope

Usando credenciais de usuário com o código do dispositivo:

$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode

Usando as credenciais do aplicativo:

$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert

Suporte para identidades gerenciadas

As identidades gerenciadas fornecem aos serviços do Azure uma identidade gerenciada automaticamente no Microsoft Entra ID de forma segura. Isso elimina a necessidade de que os desenvolvedores gerenciem credenciais fornecendo uma identidade. A Atualização de Dispositivo para Hub IoT dá suporte a identidades gerenciadas atribuídas pelo sistema.

Identidade gerenciada atribuída pelo sistema

Para adicionar e remover uma identidade gerenciada atribuída pelo sistema no portal do Azure:

  1. Entre no portal do Azure e navegue até a conta de Atualização de Dispositivo para Hub IoT desejada.
  2. Navegue até Identidade em seu portal de Atualização de Dispositivo para Hub IoT
  3. Vá para Identidade no portal do Hub IoT
  4. Na guia Atribuído pelo sistema, selecione Ligar e clique em Salvar.

Para remover a identidade gerenciada atribuída pelo sistema de uma conta de Atualização de Dispositivo para o hub IoT, selecione Desativar e clique em Salvar.

Próximas etapas