Dela via

Exempel på RBAC-konfiguration för flera företagsanvändare

  • Artikel

Många Azure Sphere-kunder vill konfigurera RBAC-åtkomst så att teknikteam kan utföra utvecklingsrelaterade funktioner på teknikägda enheter och enhetsgrupper, men förhindra att tekniska team direkt kommer åt produktionsenhetsgrupper som vanligtvis hanteras av ett driftsteam. Följande scenario beskriver hur du konfigurerar en uppsättning RBAC-användargrupper och behörigheter för att ge både teknikteamet och operationsteamet åtkomst endast till de funktioner och resurser de behöver. I det här scenariot finns det tre olika företagsanvändargrupper med följande vanliga arbetsuppgifter:

  • Azure Sphere-administratörsanvändare – den högsta behörigheten i Azure Sphere-användargruppen för användare som behöver skapa, konfigurera och hantera nya Azure Sphere-kataloger och deras underordnade resurser, inklusive anspråk på enheter till kataloger (permanent associera de anspråksbaserade enheterna med endast den katalogen) och integrera befintliga Azure Sphere-klientorganisationer (äldre) med Azure Sphere-kataloger (integrerad).
  • Produktgruppanvändare – för användare som behöver behörighet för objekt som tillhör själva katalogresursen, till exempel bilder och certifikat, men som inte bör ha behörighet för alla enhetsgrupper som tillhör katalogen, till exempel den potentiellt känsliga gruppen Produktionsenhet. Den här användargruppen är särskilt lämplig för produktutvecklingsanvändare som laddar ned enhetsfunktionsfiler, flyttar enheter mellan grupperna Utveckling, Fälttest och Os-utvärdering av fälttest och vem som distribuerar ny programvara och potentiellt samlar in kraschdumpfiler i enhetsgrupperna Fälttest och Fälttest för OS-utvärdering, men som inte har behörighet att hantera produktionsenheter i enhetsgrupperna Produktions- och produktionsoperativsystemutvärdering.
  • Användare av driftsteamet – för användare som hanterar produktionsenhetsflottan, som behöver behörighet till gruppen Produktionsenhet där de ska distribuera nya program- och firmwareavbildningar, potentiellt aktivera insamling av kraschdumpfiler och verifiera att os-versioner från återförsäljare fungerar som förväntat i enhetsgruppen För utvärdering av produktionsoperativsystem.

Exempel på RBAC-konfiguration.

Varning

  • Användare som behöver integrera Azure Sphere-klientorganisationer (äldre) i Azure Sphere-kataloger (integrerade) måste ha azure sphere-deltagarrollen tillämpad på resursgruppen som äger prenumerationen som klientorganisationen tillhör.

  • Även om det är möjligt att tilldela en användare en RBAC-roll endast för en produkt- eller enhetsgrupp men inte dess överordnade katalog, kan användaren inte söka efter produkten eller enhetsgruppen, eller dess överordnade katalog, från sin Azure-startskärm. De kan bara komma åt produkten eller enhetsgruppen via en URL som pekar direkt på den. För att underlätta för användarna rekommenderar vi att alla användare har minst Azure Sphere Reader-åtkomst till katalogen.