Permissões no site azureiotsuite.com
O que acontece quando inicia sessão
Quando inicia sessão pela primeira vez no azureiotsuite.com, o site determina os níveis de permissão que tem com base no inquilino do Azure Active Directory (AAD) atualmente selecionado e na subscrição do Azure.
Primeiro, para preencher a lista de inquilinos vistos junto ao seu nome de utilizador, o site descobre no Azure a que inquilinos do AAD pertence. Atualmente, o site só pode obter tokens de utilizador para um inquilino de cada vez. Por conseguinte, quando muda de inquilino com o menu pendente no canto superior direito, o site inicia sessão nesse inquilino para obter os tokens desse inquilino.
Em seguida, através do Azure, o site localiza as subscrições às quais o inquilino selecionado está associado. Pode ver as subscrições disponíveis quando cria uma nova solução pré-configurada.
Por último, o site obtém todos os recursos nas subscrições e nos grupos de recursos marcados como soluções pré-configuradas e preenche os mosaicos na home page.
As secções seguintes descrevem as funções que controlam o acesso às soluções pré-configuradas.
Funções do AAD
As funções do AAD controlam a capacidade de aprovisionar soluções pré-configuradas e gerir utilizadores numa solução pré-configurada.
Pode encontrar mais informações sobre as funções de administrador no AAD em Atribuir funções de administrador no Azure AD. O artigo atual centra-se no Administrador Global e nas funções de diretório utilizador , conforme utilizado pelas soluções pré-configuradas.
Administrador global
Podem existir muitos administradores globais por inquilino do AAD:
- Quando cria um inquilino do AAD, por predefinição, é o administrador global desse inquilino.
- O administrador global pode aprovisionar uma solução pré-configurada e é-lhe atribuída uma função de Administração para a aplicação dentro do respetivo inquilino do AAD.
- Se outro utilizador no mesmo inquilino do AAD criar uma aplicação, a função predefinida concedida ao administrador global é ReadOnly.
- Um administrador global pode atribuir utilizadores a funções para aplicações com o portal do Azure.
Utilizador de domínio
Podem existir muitos utilizadores de domínio por inquilino do AAD:
- Um utilizador de domínio pode aprovisionar uma solução pré-configurada através do site azureiotsuite.com . Por predefinição, é concedida ao utilizador do domínio a função Administração na aplicação aprovisionada.
- Um utilizador de domínio pode criar uma aplicação com o script build.cmd no repositório azure-iot-remote-monitoring, azure-iot-predictive-maintenance ou azure-iot-connected-factory . No entanto, a função predefinida concedida ao utilizador de domínio é ReadOnly, porque um utilizador de domínio não tem permissão para atribuir funções.
- Se outro utilizador no inquilino do AAD criar uma aplicação, é atribuída ao utilizador do domínio a função ReadOnly por predefinição para essa aplicação.
- Um utilizador de domínio não pode atribuir funções para aplicações; Por conseguinte, um utilizador de domínio não pode adicionar utilizadores ou funções para os utilizadores de uma aplicação, mesmo que o tenham aprovisionado.
Utilizador Convidado
Pode haver muitos utilizadores convidados por inquilino do AAD. Os utilizadores convidados têm um conjunto limitado de direitos no inquilino do AAD. Como resultado, os utilizadores convidados não podem aprovisionar uma solução pré-configurada no inquilino do AAD.
Para obter mais informações sobre utilizadores e funções no AAD, veja os seguintes recursos:
Funções de administrador de subscrição do Azure
As funções de administrador do Azure controlam a capacidade de mapear uma subscrição do Azure para um inquilino do AD.
Saiba mais sobre as funções de administrador do Azure no artigo Como adicionar ou alterar o Coadministrador do Azure, Administrador de Serviços e Administrador de Conta.
Funções da aplicação
As funções de aplicação controlam o acesso a dispositivos na sua solução pré-configurada.
Existem duas funções definidas e uma função implícita definida numa aplicação aprovisionada:
- Administração: tem controlo total para adicionar, gerir, remover dispositivos e modificar definições.
- Só de Leitura: Pode ver dispositivos, regras, ações, tarefas e telemetria.
Pode encontrar as permissões atribuídas a cada função no ficheiro de origem RolePermissions.cs .
Alterar funções da aplicação para um utilizador
Pode utilizar o procedimento seguinte para tornar um utilizador do seu Active Directory administrador da solução pré-configurada.
Tem de ser um administrador global do AAD para alterar as funções de um utilizador:
- Aceda ao Portal do Azure.
- Selecione Azure Active Directory.
- Certifique-se de que está a utilizar o diretório que escolheu no azureiotsuite.com quando aprovisionou a solução. Se tiver vários diretórios associados à sua subscrição, pode alternar entre eles se clicar no nome da conta no canto superior direito do portal.
- Clique em Aplicações empresariais e, em seguida, em Todas as aplicações.
- Mostrar Todas as aplicações com Qualquer estado. Em seguida, procure uma aplicação com o nome da sua solução pré-configurada.
- Clique no nome da aplicação que corresponde ao nome da sua solução pré-configurada.
- Clique em Utilizadores e grupos.
- Selecione o utilizador cuja função pretende alterar.
- Clique em Atribuir, selecione a função que pretende atribuir ao utilizador (tal como Administrador) e clique na marca de verificação.
FAQ
Sou administrador de serviço e gostaria de alterar o mapeamento de diretório entre a minha subscrição e um inquilino do AAD específico. Como devo proceder para concluir esta tarefa?
Veja Para adicionar uma subscrição existente ao seu diretório de Azure AD
Sou utilizador/membro do domínio no inquilino do AAD e criei uma solução pré-configurada. Como posso obter a atribuição de uma função para a minha aplicação?
Peça a um administrador global para o tornar um administrador global no inquilino do AAD e, em seguida, atribua funções aos utilizadores. Em alternativa, peça a um administrador global para lhe atribuir uma função diretamente. Se pretender alterar o inquilino do AAD no qual a sua solução pré-configurada foi implementada, consulte a questão seguinte.
Como posso alternar o inquilino do AAD atribuído à minha aplicação e solução pré-configurada de monitorização remota?
Pode executar uma implementação na cloud a partir de https://github.com/Azure/azure-iot-remote-monitoring e reimplementar com um inquilino do AAD recentemente criado. Como é, por predefinição, um administrador global quando cria um inquilino do AAD, tem permissões para adicionar utilizadores e atribuir funções a esses utilizadores.
- Crie um diretório do AAD no portal do Azure.
- Aceda a https://github.com/Azure/azure-iot-remote-monitoring.
- Execute
build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution}
(Por exemplo,build.cmd cloud debug myRMSolution
) - Quando solicitado, defina o tenantid para ser o inquilino recém-criado em vez do inquilino anterior.
Quero alterar um Administrador de Serviço ou Coadministrador depois de iniciar sessão com uma conta institucional.
Veja o artigo de suporte Alterar o Administrador de Serviços e Co-Administrator quando tiver sessão iniciada com uma conta organizacional.
Porque estou a ver este erro? "A sua conta não tem as permissões adequadas para criar uma solução. Consulte o seu administrador de conta ou tente com uma conta diferente."
Veja o seguinte diagrama para obter orientações:
Nota
Se continuar a ver o erro depois de validar que é um administrador global no inquilino do AAD e um coadministrador na subscrição, peça ao administrador de conta para remover o utilizador e reatribuir as permissões necessárias nesta ordem. Primeiro, adicione o utilizador como administrador global e, em seguida, adicione o utilizador como coadministrador na subscrição do Azure. Se os problemas persistirem, contacte a Ajuda & Suporte.
Porque estou a ver este erro quando tenho uma subscrição do Azure? "É necessária uma subscrição do Azure para criar soluções pré-configuradas. Pode criar uma conta de avaliação gratuita em apenas alguns minutos."
Se tem a certeza de que tem uma subscrição do Azure, valide o mapeamento do inquilino da sua subscrição e certifique-se de que o inquilino correto está selecionado na lista pendente. Se tiver validado que o inquilino pretendido está correto, siga o diagrama anterior e valide o mapeamento da sua subscrição e deste inquilino do AAD.
Passos seguintes
Para continuar a aprender sobre o IoT Suite, veja como pode personalizar uma solução pré-configurada.