通过

azureiotsuite.com 站点权限

  • 项目

登录时发生的情况

azureiotsuite.com 上首次登录时,站点会基于当前所选 Azure Active Directory (AAD) 租户和 Azure 订阅来确定你拥有的权限级别。

  1. 站点首先从 Azure 查明用户所属的 AAD 租户以填充用户名旁显示的租户列表。 当前,站点一次只能获取一个租户的用户令牌。 因此,当使用右上角的下拉列表切换租户时,站点会使你登录到该租户,以获取该租户的令牌。

  2. 接下来,站点从 Azure 查明你已与所选租户关联的订阅。 创建新的预配置解决方案时,会看到可用订阅。

  3. 最后,站点检索标记为预配置解决方案的订阅和资源组中的所有资源,并填充主页上的磁贴。

下列各部分介绍用于控制对预配置解决方案的访问的角色。

AAD 角色

AAD 角色可控制设置预配置解决方案以及在预配置解决方案中管理用户的能力。

有关 AAD 中的管理员角色的详细信息,可参阅在 Azure AD 中分配管理员角色。 本文重点介绍预配置解决方案使用的全局管理员用户目录角色。

全局管理员

对于每个 AAD 租户,可以有多个全局管理员:

  • 在创建某个 AAD 租户时,默认情况下会成为该租户的全局管理员。
  • 全局管理员可以预配预配置解决方案,并被分配了其 AAD 租户中应用程序的管理员角色。
  • 如果同一 AAD 租户中的其他用户创建了一个应用程序,则授予全局管理员的默认角色是“只读”
  • 全局管理员可以使用 Azure 门户为用户分配应用程序角色。

域用户

每个 AAD 租户可以有多个域用户:

  • 域用户可以通过 azureiotsuite.com 站点设置预配置解决方案。 默认情况下在预配应用程序中,向域用户授予“管理员”角色。
  • 域用户可以使用 azure-iot-remote-monitoring、azure-iot-predictive-maintenanceazure-iot-connected-factory 存储库中的 build.cmd 脚本创建应用程序。 但是,向域用户授予的默认角色为“只读”,这是因为域用户没有分配角色的权限。
  • 如果 AAD 租户中的其他用户创建了一个应用程序,则默认情况下,授予域用户针对该应用程序的“只读”角色
  • 域用户无法为应用程序分配角色;因此即使是其自己设置的应用程序,也无法为应用程序添加用户或用户角色。

来宾用户

每个 AAD 租户可以有多个来宾用户。 来宾用户在 AAD 租户中拥有有限的权利集。 因此,来宾用户无法在 AAD 租户中设置预配置解决方案。

有关 AAD 中用户及角色的详细信息,请参阅以下资源:

Azure 订阅管理员角色

Azure 管理员角色可控制将 Azure 订阅映射到 AD 租户的能力。

可以在如何添加或更改 Azure 协同管理员、服务管理员和帐户管理员一文中找到有关 Azure 管理员角色的详细信息。

应用程序角色

应用程序角色可在预配置解决方案中控制对设备的访问。

预配应用程序中定义有两个定义的角色和一个隐式角色:

  • 管理员:具有添加、管理、删除设备和修改设置的完全控制权限。
  • 只读:可以查看设备、规则、操作、作业和遥测数据。

可以在 RolePermissions.cs 源文件中找到分配给每个角色的权限。

更改用户的应用程序角色

可以使用下面的过程在 Active Directory 中使用户成为预配置解决方案的管理员。

必须是 AAD 全局管理员才能更改用户的角色:

  1. 转到 Azure 门户
  2. 选择“Azure Active Directory” 。
  3. 请确保使用的是预配解决方案时在 azureiotsuite.com 上选择的目录。 如果有多个目录与订阅关联,单击门户右上角的帐户名称,可以在这些目录之间进行切换。
  4. 依次单击“企业应用程序”、“所有应用程序”
  5. 显示具有任何状态的所有应用程序。 然后搜索具有预配置解决方案名称的应用程序。
  6. 单击与预配置解决方案名称匹配的应用程序名称。
  7. 单击“用户和组”。
  8. 选择要切换角色的用户。
  9. 单击“分配”并选择要分配给用户的角色(如“管理员”),单击复选标记。

常见问题解答

我是服务管理员,要更改我的订阅与特定 AAD 租户之间的目录映射。 如何完成此任务?

请参阅如何将现有订阅添加到 Azure AD 目录

我是 AAD 租户上的域用户/成员,我创建了一个预配置解决方案。 如何针对我的应用程序向我分配角色?

请求全局管理员将你设为 AAD 租户上的全局管理员,然后自己为用户分配角色。 或请求全局管理员直接为你分配一个角色。 如果要更改预配置解决方案部署到的 AAD 租户,请参阅下一个问题。

如何切换将我的远程监视预配置解决方案和应用程序分配到的 AAD 租户?

可以从 https://github.com/Azure/azure-iot-remote-monitoring 中运行云部署,并使用新创建的 AAD 租户重新部署。 默认情况下,你在创建 AAD 租户时会成为全局管理员,因此拥有添加用户以及向这些用户分配角色的权限。

  1. Azure 门户中创建 AAD 目录。
  2. 转到 https://github.com/Azure/azure-iot-remote-monitoring
  3. 运行 build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution}(例如 build.cmd cloud debug myRMSolution
  4. 出现提示时,将 tenantid 设置为新创建的租户,而不是以前的租户。

我在使用组织帐户登录时要更改服务管理员或协同管理员

请参阅支持文章使用组织帐户登录时更改服务管理员和协同管理员

为何会出现以下错误? “帐户没有创建解决方案的正确权限。 请咨询帐户管理员或使用其他帐户进行尝试。”

请查看以下指南示意图:

注意

如果在验证你是 AAD 租户的全局管理员和订阅的共同管理员后,仍看到此错误,请让帐户管理员删除该用户,并按以下顺序重新分配必要的权限。 首先,将用户添加为全局管理员,然后将用户添加为 Azure 订阅的协同管理员。 如果问题仍然存在,请联系帮助和支持

为何在我具有 Azure 订阅时会出现以下错误? “创建预配置解决方案需要 Azure 订阅。 只需几分钟即可创建一个免费试用帐户。”

如果确定具有 Azure 订阅,请验证订阅的租户映射,并确保在下拉列表中选择正确租户。 如果验证了所需租户是正确的,请按照上图,验证订阅和此 AAD 租户的映射。

后续步骤

若要继续了解 IoT 套件,请参阅如何自定义预配置解决方案