Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje postup nastavení nové instance služby Azure Digital Twins, včetně vytvoření instance a nastavení ověřování. Po dokončení tohoto článku budete mít instanci Azure Digital Twins připravenou začít s programováním.
Úplné nastavení nové instance služby Azure Digital Twins se skládá ze dvou částí:
- Vytvoření instance
- Nastavení oprávnění pro přístup uživatelů: Uživatelé Azure musí mít roli Vlastník dat Služby Azure Digital Twins v instanci Služby Azure Digital Twins, aby je mohli spravovat a její data. V tomto kroku přiřadíte tuto roli jako vlastník nebo správce předplatného Azure osobě, která spravuje vaši instanci služby Azure Digital Twins. Tato osoba může být vy nebo někdo jiný ve vaší organizaci.
Důležité
K dokončení tohoto úplného článku a nastavení použitelné instance potřebujete oprávnění ke správě prostředků i přístupu uživatelů k předplatnému Azure. Každý, kdo může v předplatném vytvářet prostředky, může dokončit první krok, ale druhý krok vyžaduje oprávnění pro správu přístupu uživatelů (nebo spolupráci někoho s těmito oprávněními). Další informace o požadovaných oprávněních najdete v části Požadavky: Požadovaná oprávnění pro krok oprávnění uživatele.
Požadavky
Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Začínáme s Azure Cloud Shellem.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Ověřování v Azure pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Použití a správa rozšíření pomocí Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
Nastavení relace CLI
Abyste mohli začít pracovat se službou Azure Digital Twins v rozhraní příkazového řádku, je nejprve nutné se přihlásit a nastavit kontext rozhraní příkazového řádku podle vašeho předplatného pro aktuální relaci. V okně rozhraní příkazového řádku spusťte tyto příkazy:
az login
az account set --subscription "<your-Azure-subscription-ID>"
Návod
Název předplatného můžete použít také místo ID v předchozím příkazu.
Pokud toto předplatné používáte s Azure Digital Twins poprvé, spusťte následující příkaz a zaregistrujte se v oboru názvů Azure Digital Twins. (Pokud si nejste jistí, můžete ho znovu spustit, i když jste ho někdy spustili v minulosti.)
az provider register --namespace 'Microsoft.DigitalTwins'
Dále přidáte rozšíření Microsoft Azure IoT pro Azure CLI, které povolí příkazy pro interakci se službou Azure Digital Twins a dalšími službami IoT. Spuštěním tohoto příkazu se ujistěte, že máte nejnovější verzi rozšíření:
az extension add --upgrade --name azure-iot
Teď jste připraveni pracovat s Azure Digital Twins v Azure CLI.
Tento stav můžete kdykoli ověřit spuštěním az dt --help a zobrazit seznam dostupných příkazů Služby Azure Digital Twins nejvyšší úrovně.
Vytvoření instance Azure Digital Twins
V této části vytvoříte novou instanci služby Azure Digital Twins pomocí příkazu rozhraní příkazového řádku. Potřebujete zadat:
- Skupina prostředků, ve které je instance nasazená. Pokud ještě nemáte existující skupinu prostředků, můžete ji vytvořit pomocí tohoto příkazu:
az group create --location <region> --name <name-for-your-resource-group> - Oblast pro nasazení. Pokud chcete zjistit, které oblasti podporují Azure Digital Twins, navštivte produkty Azure dostupné v jednotlivých oblastech.
- Název vaší instance. Pokud má vaše předplatné jinou instanci Služby Azure Digital Twins v oblasti, která už používá zadaný název, zobrazí se výzva k výběru jiného názvu.
K vytvoření instance použijte tyto hodnoty v následujícím příkazu az dt:
az dt create --dt-name <name-for-your-Azure-Digital-Twins-instance> --resource-group <your-resource-group> --location <region>
Během vytváření můžete do příkazu přidat několik volitelných parametrů, které určují další věci týkající se vašeho prostředku, včetně vytvoření spravované identity pro instanci nebo povolení nebo zakázání přístupu k veřejné síti. Úplný seznam podporovaných parametrů najdete v referenční dokumentaci az dt create .
Vytvoření instance se spravovanou identitou
Když ve své instanci Azure Digital Twins povolíte spravovanou identitu , vytvoří se pro ni identita v Microsoft Entra ID. Tuto identitu pak můžete použít k ověření v jiných službách. Spravovanou identitu můžete povolit pro instanci služby Azure Digital Twins, když se instance vytváří, nebo později ve stávající instanci.
Pro zvolený typ spravované identity použijte následující příkaz rozhraní příkazového řádku.
Příkaz identita přiřazená systémem
Pokud chcete vytvořit instanci Azure Digital Twins s povolenou identitou přiřazenou systémem, můžete do --mi-system-assigned příkazu, který se používá k vytvoření instance, přidat az dt create parametr. (Další informace o příkazu pro vytvoření najdete v referenční dokumentaci nebo obecných pokynech k nastavení instance služby Azure Digital Twins).
Pokud chcete vytvořit instanci s identitou přiřazenou systémem, přidejte --mi-system-assigned parametr takto:
az dt create --dt-name <new-instance-name> --resource-group <resource-group> --mi-system-assigned
Příkaz identity přiřazené uživatelem
Pokud chcete vytvořit instanci s identitou přiřazenou uživatelem, zadejte ID existující identity přiřazené uživatelem pomocí parametru--mi-user-assigned, například takto:
az dt create --dt-name <new-instance-name> --resource-group <resource-group> --mi-user-assigned <user-assigned-identity-resource-ID>
Ověření úspěchu a shromáždění důležitých hodnot
Pokud se instance úspěšně vytvořila, výsledek v rozhraní příkazového řádku bude obsahovat informace o vámi vytvořeném zdroji a vypadá přibližně takto:
Všimněte si názvu hostitele, názvu a skupiny prostředků instance Azure Digital Twins z výstupu. Tyto hodnoty jsou všechny důležité a možná je budete muset použít při práci s instancí služby Azure Digital Twins a nastavit ověřování a související prostředky Azure. Pokud ostatní uživatelé pracují s instancí, měli byste s nimi tyto hodnoty sdílet.
Návod
Tyto vlastnosti můžete kdykoli zobrazit spolu se všemi vlastnostmi vaší instance spuštěním az dt show --dt-name <your-Azure-Digital-Twins-instance>.
Teď máte připravenou instanci Azure Digital Twins připravenou k použití. V dalším kroku udělíte příslušná uživatelská oprávnění Azure ke správě.
Nastavení uživatelských přístupových oprávnění
Azure Digital Twins používá Id Microsoft Entra pro řízení přístupu na základě role (RBAC). To znamená, že předtím, než uživatel může provádět operace nad rovinou dat ve vaší instanci služby Azure Digital Twins, musí být tomuto uživateli přiřazena role s odpovídajícími oprávněními.
Pro Azure Digital Twins je tato role vlastník dat Azure Digital Twins. Další informace o rolích a zabezpečení najdete v tématu Zabezpečení pro řešení Azure Digital Twins.
Poznámka:
Tato role se liší od role Vlastník pro Microsoft Entra ID, kterou lze také přiřadit v rozsahu instance Azure Digital Twins. Jedná se o dvě odlišné role správy a vlastník neuděluje přístup k funkcím vrstvy dat, které jsou uděleny rolí vlastníka dat Azure Digital Twins.
V této části se dozvíte, jak vytvořit přiřazení role pro uživatele v instanci služby Azure Digital Twins pomocí e-mailu daného uživatele v tenantovi Microsoft Entra ve vašem předplatném Azure. V závislosti na vaší roli ve vaší organizaci můžete toto oprávnění nastavit sami pro sebe nebo ho nastavit jménem někoho jiného, kdo spravuje instanci služby Azure Digital Twins.
Požadavky: Požadavky na oprávnění
Abyste mohli provést všechny následující kroky, musíte mít ve svém předplatném roli s následujícími oprávněními:
- Vytváření a správa prostředků Azure
- Správa přístupu uživatelů k prostředkům Azure (včetně udělení a delegování oprávnění)
Mezi běžné role, které splňují tento požadavek, patří vlastník, správce účtu nebo kombinace správce uživatelských přístupů a přispěvatele. Úplné vysvětlení rolí a oprávnění, včetně toho, která oprávnění jsou součástí jiných rolí, najdete v dokumentaci k Azure RBAC, rolím Azure, rolím Microsoft Entra a klasickým rolím správce předplatného.
Pokud chcete zobrazit svou roli ve svém předplatném, přejděte na stránku Předplatná na webu Azure Portal (můžete použít tento odkaz nebo vyhledat předplatná pomocí panelu hledání na portálu). Vyhledejte název předplatného, které používáte, a zobrazte ho ve sloupci Moje role :
Pokud zjistíte, že hodnota je Přispěvatel nebo jiná role, která nemá požadovaná oprávnění popsaná dříve, můžete kontaktovat uživatele ve vašem předplatném, který má tato oprávnění (například vlastník předplatného nebo správce účtu), a pokračovat jedním z následujících způsobů:
- Požádejte je, aby vaším jménem dokončili kroky přiřazení role.
- Požádejte, aby zvýšili vaše oprávnění v rámci předplatného, abyste mohli pokračovat sami. Jestli je tento požadavek vhodný, může záviset na vaší organizaci a vaší roli v rámci této žádosti.
Přiřaďte roli
Pokud chcete uživateli udělit oprávnění ke správě instance Azure Digital Twins, musíte mu přiřadit roli Vlastník dat služby Azure Digital Twins v instanci.
K přiřazení role použijte následující příkaz. Uživatel s dostatečnými oprávněními v předplatném Azure musí příkaz spustit. Tento příkaz vyžaduje předání hlavního názvu uživatele v účtu Microsoft Entra pro uživatele, kterému má být přiřazena role. Ve většině případů tato hodnota odpovídá e-mailu uživatele na účtu Microsoft Entra.
az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<Azure-AD-user-principal-name-of-user-to-assign>" --role "Azure Digital Twins Data Owner"
Výsledkem tohoto příkazu jsou informace o přiřazení role vytvořené pro uživatele.
Poznámka:
Pokud tento příkaz vrátí chybu s informací, že rozhraní příkazového řádku nemůže najít uživatele nebo instanční objekt v grafové databázi, přiřaďte roli pomocí ID objektu uživatele. K tomu může dojít u uživatelů na osobních účtech Microsoft (MSA).
Na stránce portálu Azure pro uživatele Microsoftu Entra vyberte uživatelský účet a otevřete jeho podrobnosti. Zkopírujte ID objektu uživatele:
Potom opakujte příkaz seznamu přiřazení rolí pomocí ID objektu uživatele pro assignee parametr v předchozím příkazu.
Ověření úspěchu
Jedním ze způsobů, jak zkontrolovat, jestli jste přiřazení role úspěšně nastavili, je zobrazit přiřazení rolí pro instanci služby Azure Digital Twins na webu Azure Portal.
Na webu Azure Portal přejděte k vaší instanci Služby Azure Digital Twins. Abyste se tam dostali, můžete ho vyhledat na stránce instancí služby Azure Digital Twins nebo vyhledat jeho název na panelu hledání na portálu.
Pak si prohlédněte všechny jeho přiřazené role v části > řízení přístupu (IAM). Vaše přiřazení role by se mělo zobrazit v seznamu.
Teď máte připravenou instanci Azure Digital Twins a máte přiřazená oprávnění ke správě.
Povolení nebo zakázání spravované identity pro instanci
V této části se dozvíte, jak přidat spravovanou identitu do instance Služby Azure Digital Twins, která už existuje. Na instanci, která ji už má, můžete také zakázat spravovanou identitu.
Pro zvolený typ spravované identity použijte následující příkazy rozhraní příkazového řádku.
Příkazy identit přiřazené systémem
Příkaz k povolení identity přiřazené systémem pro existující instanci je stejný az dt create příkaz, který slouží k vytvoření nové instance s identitou přiřazenou systémem. Místo zadání nového názvu instance, kterou chcete vytvořit, můžete zadat název instance, která již existuje. Pak nezapomeňte přidat --mi-system-assigned parametr.
az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --mi-system-assigned
Chcete-li zakázat identitu přiřazenou systémem v instanci, ve které je aktuálně povolená, použijte následující příkaz k nastavení --mi-system-assignedfalse.
az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --mi-system-assigned false
Příkazy identity přiřazené uživatelem
Pokud chcete u existující instance povolit identitu přiřazenou uživatelem, zadejte ID existující identity přiřazené uživatelem v následujícím příkazu:
az dt identity assign --dt-name <name-of-existing-instance> --resource-group <resource-group> --user <user-assigned-identity-resource-ID>
Pokud chcete zakázat identitu přiřazenou uživatelem v instanci, kde je aktuálně povolená, zadejte ID identity v následujícím příkazu:
az dt identity remove --dt-name <name-of-existing-instance> --resource-group <resource-group> --user <user-assigned-identity-resource-ID>
Úvahy o zakázání spravovaných identit
Je důležité vzít v úvahu účinky, které můžou mít všechny změny identity nebo jejích rolí na prostředky, které ji používají. Pokud používáte spravované identity s koncovými body služby Azure Digital Twins nebo pro historii dat a identita je zakázaná nebo se z ní odebere nezbytná role, může se koncový bod nebo připojení historie dat stát nedostupným a tok událostí se přeruší.
Pokud chcete dál používat koncový bod nastavený se spravovanou identitou, která je teď zakázaná, musíte koncový bod odstranit a znovu ho vytvořit s jiným typem ověřování. Po této změně může trvat až hodinu, než události obnoví doručení do koncového bodu.
Další kroky
Otestujte jednotlivá volání rozhraní REST API ve vaší instanci pomocí příkazů azure Digital Twins CLI:
Nebo se podívejte, jak připojit klientskou aplikaci k instanci pomocí ověřovacího kódu: