Azure RBAC وAzure Device Update ل IoT Hub

بالنسبة للمستخدمين والتطبيقات للوصول إلى Azure Device Update ل IoT Hub، يجب منحهم حق الوصول إلى مورد Device Update. يجب أن يحصل كيان خدمة Device Update أيضا على حق الوصول إلى مركز IoT المرتبط به لنشر التحديثات وإدارة الأجهزة.

توضح هذه المقالة كيفية استخدام Device Update وAzure IoT Hub للتحكم في الوصول المستند إلى الدور (Azure RBAC) لتوفير المصادقة والتخويل للمستخدمين وواجهات برمجة التطبيقات للخدمة. توضح المقالة أيضا مصادقة معرف Microsoft Entra لواجهات برمجة تطبيقات REST لتحديث الجهاز، ودعم الهويات المدارة في Device Update وAzure IoT Hub.

أدوار التحكم في الوصول إلى تحديث الجهاز

يدعم تحديث الجهاز أدوار التحكم في الوصول استنادا إلى الدور التالية. لمزيد من المعلومات، راجع تكوين التحكم في الوصول إلى حساب تحديث الجهاز.

اسم الدور	‏‏الوصف
مسؤول تحديث الجهاز	لديه حق الوصول إلى جميع موارد تحديث الجهاز
قارئ تحديث الجهاز	يمكنه عرض جميع التحديثات والتوزيعات
مسؤول محتوى تحديث الجهاز	يمكنه عرض التحديثات واستيرادها وحذفها
قارئ محتوى تحديث الجهاز	يمكنه عرض التحديثات
مسؤول عمليات توزيع تحديث الجهاز	يمكنه إدارة عمليات نشر التحديثات على الأجهزة
قارئ عمليات توزيع تحديث الجهاز	يمكنه عرض عمليات توزيع التحديثات للأجهزة

يمكنك تعيين مجموعة من الأدوار لتوفير المستوى الصحيح من الوصول. على سبيل المثال، يمكنك استخدام دور مسؤول محتوى تحديث الجهاز لاستيراد التحديثات وإدارتها، ولكنك تحتاج إلى دور قارئ عمليات نشر تحديث الجهاز لعرض تقدم التحديث. وعلى العكس من ذلك، باستخدام دور قارئ تحديث الجهاز، يمكنك عرض جميع التحديثات، ولكنك تحتاج إلى دور مسؤول عمليات نشر تحديث الجهاز لنشر تحديث على الأجهزة.

الوصول الأساسي لخدمة تحديث الجهاز إلى IoT Hub

يتصل تحديث الجهاز بمركز IoT المرتبط به لنشر التحديثات وإدارتها على نطاق واسع. لتمكين هذا الاتصال، تحتاج إلى منح الوصول الأساسي لخدمة Device Update إلى مركز IoT مع دور IoT Hub Data Contributor.

يسمح منح هذا الإذن بالنشر وإدارة الجهاز والتحديث وإجراءات التشخيص التالية:

• قم بإنشاء توزيع
• إلغاء النشر
• إعادة محاولة التوزيع
• الحصول على جهاز

يمكنك تعيين هذا الإذن من صفحة التحكم في الوصول إلى مركز IoT (IAM). لمزيد من المعلومات، راجع تكوين الوصول إلى مركز IoT لمدير خدمة Device Update.

واجهات برمجة تطبيقات REST لتحديث الجهاز

يستخدم تحديث الجهاز معرف Microsoft Entra للمصادقة على واجهات برمجة تطبيقات REST الخاصة به. للبدء، تحتاج إلى إنشاء تطبيق عميل وتكوينه.

إنشاء تطبيق Microsoft Entra للعميل

لدمج تطبيق أو خدمة مع معرف Microsoft Entra، قم أولا بتسجيل تطبيق عميل باستخدام معرف Microsoft Entra. يختلف إعداد تطبيق العميل اعتمادا على تدفق التخويل الذي تحتاجه: المستخدمين أو التطبيقات أو الهويات المدارة. على سبيل المثال:

• للاتصال بتحديث الجهاز من تطبيق الأجهزة المحمولة أو سطح المكتب، حدد العميل العام/الأصلي (المحمول وسطح المكتب) في تحديد نظام أساسي وأدخل https://login.microsoftonline.com/common/oauth2/nativeclient عنوان URI لإعادة التوجيه.

• للاتصال بتحديث الجهاز من موقع ويب باستخدام تسجيل الدخول الضمني، استخدم نظام ويب الأساسي. ضمن المنح الضمنية والتدفقات المختلطة، حدد رموز الوصول المميزة (المستخدمة للتدفقات الضمنية) .

  إشعار

  استخدم تدفق المصادقة الأكثر أمانا المتوفر. تتطلب مصادقة التدفق الضمني درجة عالية من الثقة في التطبيق، وتحمل مخاطر غير موجودة في تدفقات أخرى. يجب استخدام هذا التدفق فقط عندما لا تكون التدفقات الأخرى الأكثر أمانا، مثل الهويات المدارة، قابلة للتطبيق.

تكوين الأذونات

بعد ذلك، امنح أذونات لتطبيقك للاتصال بتحديث الجهاز.

1. انتقل إلى الصفحة API permissions لتطبيقك وحدد Add a permission.
2. انتقل إلى APIs my organization uses وابحث عن تحديث جهاز Azure.
3. حدد الإذن user_impersonation وحدد Add permissions.

طلب رمز التخويل المميز

تتطلب واجهة برمجة تطبيقات REST لتحديث الجهاز رمز تخويل مميز OAuth 2.0 في عنوان الطلب. تعرض الأقسام التالية أمثلة على بعض الطرق لطلب رمز التخويل المميز.

Azure CLI

az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'

مكتبة PowerShell MSAL

MSAL.PS وحدة PowerShell هي برنامج تضمين عبر مكتبة مصادقة Microsoft ل .NET (MSAL .NET) التي تدعم أساليب المصادقة المختلفة.

• بيانات اعتماد المستخدم:

  $clientId = '<app_id>'
  $tenantId = '<tenant_id>'
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/user_impersonation'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
  

• بيانات اعتماد المستخدم مع رمز الجهاز:

  $clientId = '<app_id>’
  $tenantId = '<tenant_id>’
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/user_impersonation'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
  

• بيانات اعتماد التطبيق:

  $clientId = '<app_id>’
  $tenantId = '<tenant_id>’
  $cert = '<client_certificate>'
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/.default'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
  

دعم للهويات المدارة

توفر الهويات المدارة خدمات Azure بهويات معرف Microsoft Entra آمنة مدارة تلقائيا. تلغي الهويات المدارة حاجة المطورين إلى إدارة بيانات الاعتماد من خلال توفير الهويات. يدعم تحديث الجهاز الهويات المدارة المعينة من قبل النظام.

لإضافة هوية مدارة معينة من قبل النظام لتحديث الجهاز:

1. في مدخل Microsoft Azure، انتقل إلى حساب Device Update.
2. في جزء التنقل الأيمن، حدد الإعدادات>الهوية.
3. ضمن النظام المعين في صفحة الهوية ، قم بتعيين الحالة إلى تشغيل.
4. حدد حفظ، ثم حدد نعم.

لإضافة هوية مدارة معينة من قبل النظام ل IoT Hub:

1. في مدخل Microsoft Azure، انتقل إلى مركز IoT.
2. في جزء التنقل الأيمن، حدد Security settings>Identity.
3. ضمن System-assigned في صفحة Identity ، حدد On ضمن Status.
4. حدد حفظ، ثم حدد نعم.

لإزالة الهوية المدارة المعينة من قبل النظام من حساب تحديث الجهاز أو مركز IoT، قم بتعيين أو تحديد إيقاف تشغيل في صفحة الهوية ، ثم حدد حفظ.

المحتوى ذو الصلة

• إنشاء تحديث جهاز Azure لموارد IoT Hub
• تكوين التحكم في الوصول لموارد تحديث الجهاز