Permissões no site azureiotsuite.com
O que acontece quando você entra
Quando você entra pela primeira vez no azureiotsuite.com, o site determina os níveis de permissão que você tem com base no locatário do AAD (Azure Active Directory) e na assinatura do Azure selecionados no momento.
Primeiro, para preencher a lista de locatários logo ao lado de seu nome de usuário, site descobre a quais locatários do AAD no Azure você pertence. No momento, o site só consegue obter os tokens de usuário de um locatário por vez. Por isso, quando você alternar locatários usando o menu suspenso no canto superior direito, o site conectará você a esse locatário para obter os tokens para ele.
Em seguida, o site descobre no Azure quais assinaturas estão associadas ao locatário selecionado. Você verá as assinaturas quando criar uma nova solução pré-configurada.
Por fim, o site recuperará todos os recursos nas assinaturas e nos grupos de recursos marcados como soluções pré-configuradas e preencherá os blocos na home page.
As seções a seguir descrevem as funções que controlam o acesso às soluções pré-configuradas.
Funções do AAD
As funções do AAD controlam as soluções pré-configuradas de provisão de capacidade e gerenciam usuários em uma solução pré-configurada.
Saiba mais sobre funções de administrador no AAD em Atribuir funções de administrador no Azure AD. O artigo atual enfoca as funções do diretório Administrador Global e Usuário conforme utilizadas pelas soluções pré-configuradas.
Administrador global
Pode haver muitos administradores globais por locatário do AAD:
- Quando você cria um locatário do AAD, por padrão vira o administrador global desse locatário.
- O administrador global pode provisionar uma solução pré-configurada e recebe uma função de Administrador para o aplicativo dentro do seu locatário do AAD.
- Se outro usuário no mesmo locatário do AAD criar um aplicativo, a função padrão concedida ao administrador global será ReadOnly.
- Um administrador global pode atribuir usuários a funções para aplicativos usando o Portal do Azure.
Usuário de domínio
Pode haver muitos usuários de domínio por locatário do AAD:
- Um usuário do domínio pode provisionar uma solução pré-configurada por meio do site azureiotsuite.com. Por padrão, a função Admin é concedida ao usuário de domínio no aplicativo provisionado.
- Um usuário de domínio pode criar um aplicativo usando o script build.cmd no repositório azure-iot-remote-monitoring, azure-iot-predictive-maintenance ou azure-iot-connected-factory . No entanto, a função padrão concedida ao usuário de domínio é ReadOnly, porque um usuário de domínio não tem permissão para atribuir funções.
- Se outro usuário no locatário do AAD criar um aplicativo, o usuário de domínio será atribuído à função ReadOnly por padrão para esse aplicativo.
- O usuário de domínio não terá a capacidade de atribuir funções para aplicativos, portanto, não poderá adicionar usuários ou funções para usuários para um aplicativo, mesmo se o tiver provisionado.
Usuário Convidado
Pode haver muitos usuários convidados por locatário do AAD. Os usuários convidados têm um conjunto limitado de direitos no locatário do AAD. Como resultado, os usuários convidados não podem provisionar uma solução pré-configurada no locatário do AAD.
Para obter mais informações sobre usuários e funções no AAD, confira os seguintes recursos:
Funções de administrador da assinatura do Azure
As funções de administrador do Azure controlam a capacidade de mapear uma assinatura do Azure para um locatário do AD.
Descubra mais sobre as funções de administrador do Azure no artigo Como adicionar ou alterar o Coadministrador, o Administrador de Serviços e o Administrador da Conta do Azure.
Funções de aplicativo
As funções do aplicativo controlam o acesso a dispositivos em sua solução pré-configurada.
Há duas funções definidas e uma função implícita definida em um aplicativo provisionado:
- Administrador: tem controle total para adicionar, gerenciar, remover dispositivos e modificar configurações.
- Somente Leitura: pode exibir dispositivos, regras, ações, trabalhos e telemetria.
Você pode encontrar as permissões atribuídas a cada função no arquivo de origem RolePermissions.cs.
Alterando as funções de aplicativo para um usuário
Você pode usar o procedimento a seguir para tornar um usuário em seu Active Directory um administrador de sua solução pré-configurada.
Você deve ser um administrador global do AAD para alterar funções para um usuário:
- Acesse o portal do Azure.
- Selecione Azure Active Directory.
- Verifique se que você está usando o diretório que você escolheu em azureiotsuite.com ao provisionar sua solução. Se você tiver vários diretórios associados à sua assinatura, poderá alternar entre eles se clicar no nome da conta na parte superior direita do portal.
- Clique em Aplicativos empresariais e, em seguida, Todos os aplicativos.
- Mostrar Todos os aplicativos com Qualquer status. Então pesquise um aplicativo com o nome da sua solução pré-configurada.
- Clique no nome do aplicativo que corresponda ao nome da solução pré-configurada.
- Clique em Usuários e grupos.
- Selecione o usuário para o qual você deseja alternar funções.
- Clique em Atribuir e selecione a função (como Administrador) que você deseja atribuir ao usuário, então clique na marca de seleção.
Perguntas frequentes
Sou um administrador de serviços e gostaria de alterar o mapeamento de diretório entre minha assinatura e um locatário do AAD específico. Como posso concluir esta tarefa?
Consulte Como adicionar uma assinatura existente ao seu diretório do Azure AD
Sou um usuário/membro do domínio no locatário do AAD e criei uma solução pré-configurada. Como recebo uma função para o meu aplicativo?
Peça ao administrador global para tornar você um administrador global no locatário AAD e, em seguida, atribua funções aos usuários por conta própria. Como alternativa, peça ao administrador global para atribuir uma função a você diretamente. Se desejar alterar o locatário do AAD em que sua solução pré-configurada foi implantada, consulte a próxima pergunta.
Como alternar o locatário do AAD ao qual minha solução pré-configurada de monitoramento remoto e o aplicativo estão atribuídos?
Você pode executar uma implantação de nuvem do https://github.com/Azure/azure-iot-remote-monitoring e reimplantar com um locatário do AAD recém-criado. Já que você é, por padrão, um administrador global quando cria um novo locatário do AAD, você tem permissões para adicionar usuários e atribuir funções a eles.
- Crie um diretório do AAD no Portal do Azure.
- Ir para https://github.com/Azure/azure-iot-remote-monitoring.
- Execute
build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution}
(por exemplo,build.cmd cloud debug myRMSolution
) - Quando solicitado, defina a tenantid para seu locatário recém-criado em vez do locatário anterior.
Quero alterar um Administrador de Serviços ou um Coadministrador quando o logon for feito com uma conta organizacional
Consulte o artigo de suporte Alterando um Administrador de Serviços e um Coadministrador quando o logon for feito com uma conta organizacional.
Por que vejo este erro? "Sua conta não tem as permissões adequadas para criar uma solução. Verifique com o administrador da conta ou tente com uma conta diferente."
Observe o seguinte diagrama para obter orientação:
Observação
Se você continuar recebendo o erro após validar que é um administrador global no locatário do AAD e um coadministrador na assinatura, peça ao administrador da conta que remova o usuário e reatribua as permissões necessárias nesta ordem. Primeiro, adicione o usuário como um administrador global e adicionar o usuário como um coadministrador na assinatura do Azure. Se o problema persistir, entre em contato com Ajuda e Suporte.
Por que estou vendo este erro se eu tenho uma assinatura do Azure? “Uma assinatura do Azure é necessária para criar soluções pré-configuradas. Você pode criar uma conta de avaliação gratuita em apenas alguns minutos.”
Se você tiver certeza de que tem uma assinatura do Azure, valide o mapeamento do locatário para a sua assinatura e certifique-se de que o locatário correto tenha sido selecionado na lista suspensa. Se você tiver validado corretamente o locatário desejado, siga o diagrama acima e valide o mapeamento de sua assinatura e este locatário do AAD.
Próximas etapas
Para continuar aprendendo sobre o IoT Suite, veja como é possível personalizar uma solução pré-configurada.