Поделиться через

Управление доступом к службе подготовки устройств Центр Интернета вещей Azure (DPS) с помощью идентификатора Microsoft Entra (предварительная версия)

  • Статья

Идентификатор Microsoft Entra можно использовать для проверки подлинности запросов на Центр Интернета вещей Azure API-интерфейсы службы подготовки устройств (DPS), например создание удостоверения устройства и вызов прямого метода. Вы также можете использовать управление доступом на основе ролей Azure (Azure RBAC) для авторизации этих же API-интерфейсов службы. Используя эти технологии вместе, вы можете предоставить разрешения на доступ к API-интерфейсам службы подготовки устройств (DPS) Центр Интернета вещей Azure субъекту безопасности Microsoft Entra. Субъектами безопасности могут быть пользователь, группа или субъект-служба приложения.

Проверка подлинности доступа с помощью идентификатора Microsoft Entra и управления разрешениями с помощью Azure RBAC обеспечивает улучшенную безопасность и удобство использования маркеров безопасности. Чтобы свести к минимуму потенциальные проблемы безопасности, присущие маркерам безопасности, рекомендуется использовать идентификатор Microsoft Entra с Центр Интернета вещей Azure службой подготовки устройств (DPS) по возможности.

Примечание.

Проверка подлинности с помощью идентификатора Microsoft Entra не поддерживается для API-интерфейсов устройств Центр Интернета вещей Azure службы подготовки устройств (DPS), таких как поиск состояния регистрации устройства или устройства. Используйте симметричные ключи X.509 или TPM для проверки подлинности устройств для Центр Интернета вещей Azure службы подготовки устройств (DPS).

Проверка подлинности и авторизация

Когда субъект безопасности Microsoft Entra запрашивает доступ к API Центр Интернета вещей Azure службы подготовки устройств (DPS), удостоверение субъекта сначала проходит проверку подлинности. Для проверки подлинности во время выполнения запрос должен содержать маркер доступа OAuth 2.0. Имя ресурса для запроса маркера — https://azure-devices-provisioning.net. Если приложение выполняется в ресурсе Azure, таком как виртуальная машина Azure, приложение функции Azure или приложение Службы приложений Azure, оно может быть представлено как управляемое удостоверение.

После проверки подлинности субъекта Microsoft Entra следующий шаг — авторизация. На этом шаге Центр Интернета вещей Azure служба подготовки устройств (DPS) использует службу назначения ролей Microsoft Entra, чтобы определить, какие разрешения имеет субъект. Если разрешения субъекта соответствуют запрошенным ресурсу или API, Центр Интернета вещей Azure служба подготовки устройств (DPS) авторизует запрос. На этом этапе субъекту безопасности необходимо назначить одну или несколько ролей Azure. Центр Интернета вещей Azure служба подготовки устройств (DPS) предоставляет некоторые встроенные роли, имеющие общие группы разрешений.

Управление доступом к службе подготовки устройств Центр Интернета вещей Azure (DPS) с помощью назначения роли RBAC Azure

При использовании идентификатора Microsoft Entra и RBAC Центр Интернета вещей Azure служба подготовки устройств (DPS) требует, чтобы субъект запрашивал API, чтобы иметь соответствующий уровень разрешений для авторизации. Чтобы предоставить субъекту разрешение, присвойте ему назначение роли.

Чтобы обеспечить минимальные привилегии, всегда назначьте соответствующую роль в самой низкой области ресурсов, которая, вероятно, является областью Центр Интернета вещей Azure службы подготовки устройств (DPS).

Центр Интернета вещей Azure служба подготовки устройств (DPS) предоставляет следующие встроенные роли Azure для авторизации доступа к API DPS с помощью идентификатора Microsoft Entra и RBAC:

Роль Description
Участник данных службы подготовки устройств Обеспечивает полный доступ к операциям службы подготовки устройств.
Средство чтения данных службы подготовки устройств Обеспечивает полный доступ на чтение к свойствам уровня данных службы подготовки устройств.

Вы также можете определить пользовательские роли для использования с Центр Интернета вещей Azure службой подготовки устройств (DPS), сочетая необходимые разрешения. Дополнительные сведения см. в статье, посвященной созданию пользовательских ролей для управления доступом на основе ролей в Azure.

Область ресурса

Прежде чем назначить роль RBAC Azure субъекту безопасности, определите для него область доступа. Рекомендуется всегда предоставлять максимально узкие области. Роли RBAC Azure, определенные в более широкой области, наследуются охватываемыми ресурсами.

В следующем списке описаны уровни, на которых можно ограничить доступ к Центру Интернета вещей, начиная с самой узкой области:

  • Служба подготовки устройств Центр Интернета вещей Azure (DPS). В этой области назначение роли применяется к службе подготовки устройств Центр Интернета вещей Azure (DPS). Назначение ролей в небольших областях, таких как группа регистрации или отдельная регистрация, не поддерживается.
  • Группа ресурсов. В этой области назначение ролей применяется ко всем центрам Интернета вещей в группе ресурсов.
  • Подписка. В этой области назначение ролей применяется ко всем центрам Интернета вещей во всех группах ресурсов в подписке.
  • Группа управления. В этой области назначение ролей применяется ко всем центрам Интернета вещей во всех группах ресурсов в подписках группы управления.

Разрешения для API-интерфейсов службы подготовки устройств Центр Интернета вещей Azure (DPS)

В следующей таблице описаны разрешения, доступные для операций API Центр Интернета вещей Azure службы подготовки устройств (DPS). Чтобы разрешить клиенту вызывать определенную операцию, убедитесь, что назначенная ему роль RBAC предоставляет достаточные разрешения для этой операции.

Действие RBAC Description
Microsoft.Devices/provisioningServices/attestationmechanism/details/action Сведения о механизме аттестации
Microsoft.Devices/provisioningServices/enrollmentGroups/read Чтение групп регистрации
Microsoft.Devices/provisioningServices/enrollmentGroups/write Запись групп регистрации
Microsoft.Devices/provisioningServices/enrollmentGroups/delete Удаление групп регистрации
Microsoft.Devices/provisioningServices/enrollments/read Считывание сведений о регистрации
Microsoft.Devices/provisioningServices/enrollments/write Запись регистраций
Microsoft.Devices/provisioningServices/enrollments/delete Удаление регистраций
Microsoft.Devices/provisioningServices/registrationStates/read Чтение состояний регистрации
Microsoft.Devices/provisioningServices/registrationStates/delete Удаление состояний регистрации

Расширение Интернета вещей Azure для Azure CLI

Большинство команд для Центр Интернета вещей Azure службы подготовки устройств (DPS) поддерживают проверку подлинности Microsoft Entra. Тип проверки подлинности, используемый для выполнения команд, можно контролировать с помощью параметра --auth-type, который принимает значения key или login. Значение key является значением по умолчанию.

  • Если --auth-type значение имеет key значение, интерфейс командной строки автоматически обнаруживает подходящую политику при взаимодействии с службой подготовки устройств Центр Интернета вещей Azure (DPS).

  • Если для параметра --auth-type задано значение login, то в ходе этой операции используется маркер доступа от субъекта, выполнившего вход через Azure CLI.

  • В настоящее время поддерживаются --auth-typeследующие команды:

    • az iot dps enrollment
    • az iot dps enrollment-group
    • az iot dps registration

Дополнительные сведения см. на странице выпуска расширения Azure для Интернета вещей Azure CLI.

Пакеты SDK и примеры

Доступ к идентификатору Записи Майкрософт из портал Azure

Примечание.

Доступ к идентификатору Записи Майкрософт из портал Azure в настоящее время недоступен во время предварительной версии.

Следующие шаги