التحكم في الوصول المستند إلى الدور في Azure Digital Twins
هام
تم إصدار إصدار جديد من خدمة Azure Digital Twins. في ضوء القدرات الموسعة للخدمة الجديدة، تم إيقاف خدمة Azure Digital Twins الأصلية (الموضحة في مجموعة الوثائق هذه).
لعرض وثائق الخدمة الجديدة، قم بزيارة وثائق Azure Digital Twins النشطة.
يتيح Azure Digital Twins التحكم الدقيق في الوصول إلى بيانات وموارد وإجراءات محددة في الرسم البياني المكاني. وهو يقوم بذلك من خلال إدارة الدور والأذونات الحبيبية التي تسمى التحكم في الوصول القائم على الدور (RBAC). يتكون RBAC من الأدواروتعيينات الأدوار. تحدد الأدوار مستوى الأذونات. تربط تعيينات الأدوار دورا بمستخدم أو جهاز.
باستخدام RBAC ، يمكن منح الإذن إلى:
- مستخدم.
- جهاز.
- مدير الخدمة.
- وظيفة معرفة من قبل المستخدم.
- جميع المستخدمين الذين ينتمون إلى نطاق.
- مستأجر.
يمكن أيضا ضبط درجة الوصول بدقة.
RBAC فريد من نوعه في أن الأذونات موروثة أسفل الرسم البياني المكاني.
ماذا يمكنني أن أفعل مع RBAC؟
قد يستخدم المطور RBAC من أجل:
- منح المستخدم القدرة على إدارة الأجهزة لمبنى بأكمله، أو لغرفة أو طابق معين فقط.
- منح مسؤول حق الوصول العمومي إلى جميع عقد الرسم البياني المكاني لرسم بياني بأكمله، أو لقسم من الرسم البياني فقط.
- امنح أخصائي الدعم حق الوصول إلى الرسم البياني، باستثناء مفاتيح الوصول.
- امنح كل عضو في نطاق حق الوصول إلى جميع كائنات الرسم البياني.
أفضل ممارسات RBAC
التحكم في الوصول المستند إلى الدور هو استراتيجية أمان تعتمد على الميراث لإدارة الوصول والأذونات والأدوار. ترث الأدوار الفرعية الأذونات من الأدوار الأصل. يمكن أيضا تعيين الأذونات دون أن تكون موروثة من دور الأصل. كما يمكن تعيينها لتخصيص دور حسب الحاجة.
على سبيل المثال، قد يحتاج مسؤول الفضاء إلى وصول عام لتشغيل كافة العمليات لمساحة محددة. يتضمن الوصول جميع العقد الموجودة أسفل المساحة أو داخلها. قد يحتاج مثبت الجهاز إلى أذونات القراءةوالتحديث للأجهزة وأجهزة الاستشعار فقط.
في كل حالة ، يتم منح الأدوار بالضبط وليس أكثر من الوصول المطلوب لإنجاز مهامهم وفقا لمبدأ أقل امتياز. وفقا لهذا المبدأ ، يتم منح الهوية فقط:
- مقدار الوصول اللازم لإكمال وظيفتها.
- دور مناسب ويقتصر على القيام بوظيفته.
هام
اتبع دائما مبدأ أقل امتياز.
ومن الممارسات الهامة الأخرى للتحكم في الوصول القائمة على الأدوار ما يلي:
- قم بمراجعة تعيينات الأدوار بشكل دوري للتحقق من أن كل دور لديه الأذونات الصحيحة.
- تنظيف الأدوار والواجبات عندما يقوم الأفراد بتغيير الأدوار أو المهام.
الأدوار
تعريفات الأدوار
تعريف الدور هو مجموعة من الأذونات والسمات الأخرى التي تشكل دورا. يسرد تعريف الدور العمليات المسموح بها، والتي تتضمن إنشاء وقراءةوتحديثوحذف قد يقوم بها أي كائن له هذا الدور. كما يحدد أنواع الكائنات التي تنطبق عليها الأذونات.
يصف الجدول التالي الأدوار المتوفرة في Azure Digital Twins:
| الدور | الوصف | المعرّف |
|---|---|---|
| مسؤول الفضاء | إذن إنشاءوقراءةوتحديثوحذف للمساحة المحددة وجميع العقد الموجودة تحتها. إذن عمومي. | 98e44ad7-28d4-4007-853b-b9968ad132d1 |
| مسؤول المستخدمين | إذن إنشاءوقراءةوتحديثوحذف للمستخدمين والكائنات المتعلقة بالمستخدم. إذن القراءة للمسافات. | dfaac54c-f583-4dd2-b45d-8d4bbc0aa1ac |
| مسؤول الجهاز | إذن إنشاءوقراءةوتحديثوحذف للأجهزة والكائنات المتعلقة بالجهاز. إذن القراءة للمسافات. | 3cdfde07-bc16-40d9-bed3-66d49a8f52ae |
| المسؤول الرئيسي | إنشاء إذن لمفاتيح الوصول وقراءتهوتحديثهوحذفه. إذن القراءة للمسافات. | 5a0b1afc-e118-4068-969f-b50efb8e5da6 |
| مسؤول الرمز المميز | إذن القراءةوالتحديث لمفاتيح الوصول. إذن القراءة للمسافات. | 38a3bb21-5424-43b4-b0bf-78ee228840c3 |
| المستخدم | إذن القراءة للمساحات وأجهزة الاستشعار والمستخدمين، والذي يتضمن الكائنات ذات الصلة المقابلة لهم. | b1ffdb77-c635-4e7e-ad25-948237d85b30 |
| أخصائي دعم | إذن القراءة لكل شيء باستثناء مفاتيح الوصول. | 6e46958b-dc62-4e7c-990c-c3da2e030969 |
| مثبت الجهاز | إذن القراءةوالتحديث للأجهزة وأجهزة الاستشعار، والذي يتضمن الكائنات ذات الصلة المقابلة لها. إذن القراءة للمسافات. | b16dd9fe-4efe-467b-8c8c-720e2ff8817c |
| جهاز البوابة | إنشاء إذن لأجهزة الاستشعار. إذن القراءة للأجهزة وأجهزة الاستشعار، والذي يتضمن الكائنات ذات الصلة المقابلة لها. | d4c69766-e9bd-4e61-bfc1-d8b6e686c7a8 |
ملاحظة
لاسترداد التعريفات الكاملة للأدوار السابقة، قم بالاستعلام عن واجهة برمجة تطبيقات النظام/الأدوار. تعرف على المزيد من خلال قراءة إنشاء تعيينات الأدوار وإدارتها.
أنواع معرفات الكائنات
يشير objectIdType (أو نوع معرف الكائن) إلى نوع الهوية التي يتم منحها لدور. بصرف النظر عن DeviceId الأنواع والأنواع UserDefinedFunctionId ، تتوافق أنواع معرفات الكائنات مع خصائص كائنات Azure Active Directory.
يحتوي الجدول التالي على أنواع معرفات الكائنات المعتمدة في Azure Digital Twins:
| النوع | الوصف |
|---|---|
| معرّف المستخدم | تعيين دور لمستخدم. |
| DeviceId | تعيين دور لجهاز. |
| اسم النطاق | تعيين دور لاسم مجال. كل مستخدم لديه اسم المجال المحدد لديه حقوق الوصول للدور المقابل. |
| TenantID | تعيين دور لمستأجر. يتمتع كل مستخدم ينتمي إلى معرف مستأجر Azure AD المحدد بحقوق الوصول للدور المقابل. |
| ServicePrincipalId | تعيين دور لمعرف كائن أساسي للخدمة. |
| UserDefinedFunctionId | يعين دورا لدالة معرفة من قبل المستخدم (UDF). |
تلميح
تعرف على كيفية منح الأذونات لمدير الخدمة من خلال قراءة إنشاء تعيينات الأدوار وإدارتها.
وتصف مقالات الوثائق المرجعية التالية:
- كيفية الاستعلام أو معرف الكائن لمستخدم.
- كيفية الحصول على معرف الكائن لأصل خدمة.
- كيفية استرداد معرف الكائن لمستأجر Azure AD.
تعيينات الأدوار
يقوم تعيين دور Azure Digital Twins بربط كائن، مثل مستخدم أو مستأجر Azure AD، بدور ومساحة. يتم منح الأذونات لجميع الكائنات التي تنتمي إلى تلك المساحة. تتضمن المساحة الرسم البياني المكاني بأكمله تحتها.
على سبيل المثال، يتم إعطاء المستخدم تعيين دور مع دور DeviceInstaller العقدة الجذرية للرسم البياني المكاني، والذي يمثل مبنى. يمكن للمستخدم بعد ذلك قراءة وتحديث الأجهزة لتلك العقدة وجميع المساحات الفرعية الأخرى في المبنى.
لمنح أذونات لمستلم، قم بإنشاء تعيين دور. لإلغاء الأذونات، قم بإزالة تعيين الدور.
هام
تعرف على المزيد حول تعيينات الأدوار من خلال قراءة إنشاء تعيينات الأدوار وإدارتها.
الخطوات التالية
لمعرفة المزيد حول إنشاء تعيينات أدوار Azure Digital Twins وإدارتها، اقرأ إنشاء تعيينات الأدوار وإدارتها.
اقرأ المزيد حول RBAC ل Azure.