Nastavení instance a ověřování Služby Azure Digital Twins (portál)
Tento článek popisuje postup nastavení nové instance služby Azure Digital Twins, včetně vytvoření instance a nastavení ověřování. Po dokončení tohoto článku budete mít instanci Azure Digital Twins připravenou začít s programováním.
Tato verze tohoto článku prochází těmito kroky ručně, jeden po druhém, pomocí webu Azure Portal. Azure Portal je unifikovaná webová konzola, která poskytuje alternativu k nástrojům příkazového řádku.
Úplné nastavení nové instance služby Azure Digital Twins se skládá ze dvou částí:
- Vytvoření instance
- Nastavení oprávnění pro přístup uživatelů: Uživatelé Azure musí mít roli Vlastník dat Služby Azure Digital Twins v instanci Služby Azure Digital Twins, aby je mohli spravovat a její data. V tomto kroku přiřadíte tuto roli uživateli, který bude spravovat vaši instanci Azure Digital Twins, jako vlastník nebo správce předplatného Azure. Může to být sami nebo někdo jiný ve vaší organizaci.
Důležité
K dokončení tohoto úplného článku a úplnému nastavení použitelné instance potřebujete oprávnění ke správě prostředků i přístupu uživatelů k předplatnému Azure. První krok může dokončit každý, kdo může vytvářet prostředky v předplatném, ale druhý krok vyžaduje oprávnění ke správě přístupu uživatelů (nebo spolupráci někoho s těmito oprávněními). Další informace najdete v části Požadavky: Požadovaná oprávnění pro krok oprávnění uživatele.
Vytvoření instance Azure Digital Twins
V této části vytvoříte novou instanci služby Azure Digital Twins pomocí webu Azure Portal. Přejděte na portál a přihlaste se pomocí svých přihlašovacích údajů.
Jednou na portálu začněte výběrem možnosti Vytvořit prostředek v nabídce domovské stránky služeb Azure.
Ve vyhledávacím poli vyhledejte azure digital twins a ve výsledcích zvolte službu Azure Digital Twins .
Pole Plán ponechte nastavené na Azure Digital Twins a výběrem tlačítka Vytvořit začněte vytvářet novou instanci služby.
Na následující stránce Vytvořit prostředek vyplňte následující hodnoty:
- Předplatné: Předplatné Azure, které používáte
- Skupina prostředků: Skupina prostředků, ve které se má instance nasadit. Pokud ještě nemáte existující skupinu prostředků, můžete ji vytvořit tak, že vyberete odkaz Vytvořit nový a zadáte název nové skupiny prostředků.
- Umístění: Oblast s povolenou službou Azure Digital Twins pro nasazení Další podrobnosti o regionální podpoře najdete v produktech Azure dostupných v jednotlivých oblastech (Azure Digital Twins).
- Název prostředku: Název vaší instance Služby Azure Digital Twins. Pokud má vaše předplatné jinou instanci Služby Azure Digital Twins v oblasti, která už používá zadaný název, zobrazí se výzva k výběru jiného názvu.
- Udělení přístupu k prostředku: Zaškrtnutím políčka v této části udělíte vašemu účtu Azure oprávnění pro přístup k datům v instanci a jejich správě. Pokud jste ten, který bude spravovat instanci, měli byste toto políčko zaškrtnout. Pokud je neaktivní, protože v předplatném nemáte oprávnění, můžete pokračovat ve vytváření prostředku a mít někoho s požadovanými oprávněními, abyste tuto roli udělili později. Další informace o této roli a přiřazování rolí k vaší instanci najdete v další části Nastavení uživatelských přístupových oprávnění.
- Předplatné: Předplatné Azure, které používáte
Až budete hotovi, můžete vybrat Zkontrolovat a vytvořit , pokud nechcete pro instanci konfigurovat další nastavení. Tím přejdete na souhrnnou stránku, kde můžete zkontrolovat podrobnosti o instanci, které jste zadali, a dokončit vytvořením.
Pokud chcete pro instanci nakonfigurovat další podrobnosti, v další části jsou popsané zbývající karty nastavení.
Další možnosti nastavení
Tady jsou další možnosti, které můžete během instalace nakonfigurovat pomocí dalších karet v procesu vytvoření prostředku .
- Sítě: Na této kartě můžete povolit privátní koncové body se službou Azure Private Link , aby se zabránilo vystavení veřejné sítě vaší instanci. Pokyny najdete v tématu Povolení privátního přístupu pomocí služby Private Link.
- Upřesnit: Na této kartě můžete pro instanci povolit spravovanou identitu přiřazenou systémem. Když je tato možnost povolená, Azure automaticky vytvoří identitu pro instanci v ID Microsoft Entra, která se dá použít k ověření v jiných službách. Tuto spravovanou identitu přiřazenou systémem můžete povolit při vytváření instance zde nebo později u existující instance. Pokud místo toho chcete povolit spravovanou identitu přiřazenou uživatelem, budete ji muset udělat později v existující instanci.
- Značky: Na této kartě můžete do své instance přidat značky, které vám pomůžou ho uspořádat mezi prostředky Azure. Další informace o značkách prostředků Azure najdete v tématu Označování prostředků, skupin prostředků a předplatných pro logickou organizaci.
Ověření úspěchu a shromáždění důležitých hodnot
Po dokončení nastavení instance výběrem možnosti Vytvořit můžete stav nasazení vaší instance zobrazit v oznámeních Azure na panelu ikon portálu. Oznámení bude indikovat, kdy nasazení proběhlo úspěšně. V tomto okamžiku můžete vybrat tlačítko Přejít k prostředku a zobrazit vytvořenou instanci.
Pokud nasazení selže, oznámení bude indikovat, proč. Podívejte se na rady z chybové zprávy a zkuste instanci vytvořit znovu.
Tip
Po vytvoření instance se můžete kdykoli vrátit na její stránku vyhledáním názvu vaší instance na panelu hledání na webu Azure Portal.
Na stránce Přehled instance si poznamenejte název, skupinu prostředků a název hostitele. Tyto hodnoty jsou všechny důležité a možná je budete muset použít, až budete pokračovat v práci s instancí služby Azure Digital Twins. Pokud budou ostatní uživatelé programovat na instanci, měli byste tyto hodnoty sdílet s nimi.
Teď máte připravenou instanci Azure Digital Twins. V dalším kroku udělíte příslušná uživatelská oprávnění Azure ke správě.
Nastavení uživatelských přístupových oprávnění
Azure Digital Twins používá Id Microsoft Entra pro řízení přístupu na základě role (RBAC). To znamená, že aby uživatel mohl volat rovinu dat do vaší instance služby Azure Digital Twins, musí být danému uživateli přiřazena role s odpovídajícími oprávněními.
Pro Azure Digital Twins je tato role vlastníkem dat Azure Digital Twins. Další informace o rolích a zabezpečení najdete v tématu Zabezpečení pro řešení Azure Digital Twins.
Poznámka:
Tato role se liší od role vlastníka ID Microsoft Entra, kterou je možné přiřadit také v oboru instance služby Azure Digital Twins. Jedná se o dvě odlišné role správy a vlastník neuděluje přístup k funkcím roviny dat uděleným u vlastníka dat Azure Digital Twins.
V této části se dozvíte, jak vytvořit přiřazení role pro uživatele v instanci služby Azure Digital Twins pomocí e-mailu daného uživatele v tenantovi Microsoft Entra ve vašem předplatném Azure. V závislosti na vaší roli ve vaší organizaci můžete toto oprávnění nastavit sami pro sebe nebo ho nastavit jménem někoho jiného, kdo bude spravovat instanci služby Azure Digital Twins.
Přiřazení role pro uživatele ve službě Azure Digital Twins můžete vytvořit dvěma způsoby:
Oba vyžadují stejná oprávnění.
Požadavky: Požadavky na oprávnění
Abyste mohli provést všechny následující kroky, musíte mít ve svém předplatném roli s následujícími oprávněními:
- Vytváření a správa prostředků Azure
- Správa přístupu uživatelů k prostředkům Azure (včetně udělení a delegování oprávnění)
Mezi běžné role, které splňují tento požadavek, patří vlastník, správce účtu nebo kombinace správce uživatelských přístupů a přispěvatele. Úplné vysvětlení rolí a oprávnění, včetně toho, která oprávnění jsou součástí jiných rolí, najdete v dokumentaci k Azure RBAC, rolím Azure, rolím Microsoft Entra a klasickým rolím správce předplatného.
Pokud chcete zobrazit svou roli ve svém předplatném, navštivte stránku předplatných na webu Azure Portal (můžete použít tento odkaz nebo vyhledat předplatná pomocí panelu hledání na portálu). Vyhledejte název předplatného, které používáte, a zobrazte ho ve sloupci Moje role :
Pokud zjistíte, že hodnota je Přispěvatel nebo jiná role, která nemá požadovaná oprávnění popsaná výše, můžete kontaktovat uživatele ve vašem předplatném, který má tato oprávnění (například vlastník předplatného nebo správce účtu), a pokračovat jedním z následujících způsobů:
- Požádejte je, aby vaším jménem dokončili kroky přiřazení role.
- Požádejte, aby zvýšili vaši roli v předplatném, abyste měli oprávnění k tomu, abyste mohli pokračovat sami. To, jestli je to vhodné, závisí na vaší organizaci a vaší roli v ní.
Přiřazení role během vytváření instance
Při vytváření prostředku Azure Digital Twins prostřednictvím procesu popsaného výše v tomto článku vyberte roli Vlastník dat Služby Azure Digital Twins v části Udělení přístupu k prostředku. Tím se udělí úplný přístup k rozhraním API roviny dat.
Pokud nemáte oprávnění k přiřazení role identitě, zobrazí se pole šedě.
V takovém případě můžete i nadále úspěšně vytvořit prostředek Azure Digital Twins, ale někdo s příslušnými oprávněními bude muset tuto roli přiřadit vám nebo osobě, která bude spravovat data instance.
Přiřazení role pomocí služby Azure Identity Management (IAM)
Roli vlastníka dat Azure Digital Twins můžete také přiřadit pomocí možností řízení přístupu ve službě Azure Identity Management (IAM).
Nejprve otevřete stránku vaší instance služby Azure Digital Twins na webu Azure Portal.
Vyberte Řízení přístupu (IAM) .
Kliknutím na Přidat>Přidat přiřazení role otevřete stránku Přidat přiřazení role.
Přiřaďte roli vlastníka dat Azure Digital Twins. Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.
Nastavení Hodnota Role Vlastník dat Azure Digital Twins Přiřadit přístup k Uživatel, skupina nebo instanční objekt Členové Vyhledejte jméno nebo e-mailovou adresu uživatele, které chcete přiřadit.
Ověření úspěchu
Přiřazení role, které jste nastavili, můžete zobrazit v části Přiřazení rolí řízení přístupu (IAM). > Uživatel by se měl zobrazit v seznamu s rolí vlastníka dat Azure Digital Twins.
Teď máte připravenou instanci Azure Digital Twins a máte přiřazená oprávnění ke správě.
Povolení nebo zakázání spravované identity pro instanci
V této části se dozvíte, jak přidat spravovanou identitu (přiřazenou systémem nebo přiřazenou uživatelem) do existující instance Služby Azure Digital Twins. Na této stránce můžete také zakázat spravovanou identitu v instanci, která ji už má.
Začněte otevřením webu Azure Portal v prohlížeči.
Vyhledejte název vaší instance na panelu hledání na portálu a vyberte ho, aby se zobrazily jeho podrobnosti.
V nabídce vlevo vyberte Identitu .
Pomocí karet vyberte typ spravované identity, kterou chcete přidat nebo odebrat.
Přiřazené systémem: Po výběru této karty vyberte možnost Zapnuto , pokud chcete tuto funkci zapnout, nebo ji můžete odebrat vypnutou .
Vyberte tlačítko Uložit a potvrďte akci ano. Po zapnutí identity přiřazené systémem se na této stránce zobrazí další pole s ID a oprávněními nové identity (přiřazení rolí Azure).
Přiřazená uživatelem (Preview):Po výběru této karty vyberte Přidružit spravovanou identitu přiřazenou uživatelem a podle pokynů vyberte identitu, která se má k instanci přidružit.
Nebo pokud tu už existuje nějaká identita, kterou chcete zakázat, můžete zaškrtnout políčko vedle ní v seznamu a odebrat ji.
Po přidání identity můžete v seznamu vybrat její název a otevřít jeho podrobnosti. Na stránce podrobností můžete zobrazit ID objektu a pomocí levé nabídky zobrazit přiřazení rolí Azure.
Důležité informace o zákazu spravovaných identit
Je důležité vzít v úvahu účinky, které můžou mít všechny změny identity nebo jejích rolí na prostředky, které ji používají. Pokud používáte spravované identity s koncovými body služby Azure Digital Twins nebo pro historii dat a identita je zakázaná nebo se z ní odebere nezbytná role, může se koncový bod nebo připojení historie dat stát nedostupným a tok událostí se přeruší.
Další kroky
Otestujte jednotlivá volání rozhraní REST API ve vaší instanci pomocí příkazů azure Digital Twins CLI:
Nebo se podívejte, jak připojit klientskou aplikaci k instanci pomocí ověřovacího kódu: