Průvodce zabezpečením IoT Central
Aplikace IoT Central umožňuje monitorovat a spravovat zařízení a umožňuje rychle vyhodnotit váš scénář IoT. Tato příručka je určená pro správce, kteří spravují zabezpečení v aplikacích IoT Central.
V IoT Central můžete nakonfigurovat a spravovat zabezpečení v následujících oblastech:
- Přístup uživatele k aplikaci
- Přístup zařízení k vaší aplikaci.
- Programový přístup k aplikaci
- Ověřování k jiným službám z vaší aplikace
- Použijte zabezpečenou virtuální síť.
- Protokoly auditu sledují aktivitu v aplikaci.
Správa přístupu uživatelů
Každý uživatel musí mít uživatelský účet, aby se mohl přihlásit a získat přístup k aplikaci IoT Central. IoT Central aktuálně podporuje účty Microsoft a účty Microsoft Entra, ale ne skupiny Microsoft Entra.
Role umožňují řídit, kdo ve vaší organizaci může provádět různé úlohy ve službě IoT Central. Každá role má určitou sadu oprávnění, která určují, co může uživatel v této roli vidět a dělat v aplikaci. Existují tři předdefinované role, které můžete přiřadit uživatelům aplikace. Pokud potřebujete jemně odstupňované řízení, můžete také vytvořit vlastní role s konkrétními oprávněními.
Organizace umožňují definovat hierarchii, kterou používáte ke správě uživatelů, kteří uvidí, která zařízení ve vaší aplikaci IoT Central. Role uživatele určuje svá oprávnění k zařízením, která vidí, a prostředí, ke kterým má přístup. Použijte organizace k implementaci víceklientové aplikace.
Další informace najdete v následujících tématech:
- Správa uživatelů a rolí v aplikaci IoT Central
- Správa organizací IoT Central
- Správa uživatelů a rolí s využitím rozhraní IoT Central REST API
- Použití rozhraní IoT Central REST API ke správě organizací
Správa přístupu k zařízení
Zařízení se ověřují pomocí aplikace IoT Central pomocí tokenu sdíleného přístupového podpisu (SAS) nebo certifikátu X.509. Certifikáty X.509 se doporučují v produkčních prostředích.
Ve službě IoT Central použijete skupiny připojení zařízení ke správě možností ověřování zařízení v aplikaci IoT Central.
Další informace najdete v následujících tématech:
- Koncepty ověřování zařízení ve službě IoT Central
- Připojení zařízení s certifikáty X.509 k aplikaci IoT Central
Síťové ovládací prvky pro přístup k zařízením
Ve výchozím nastavení se zařízení připojují k IoT Central přes veřejný internet. Pokud chcete získat větší zabezpečení, připojte svá zařízení k aplikaci IoT Central pomocí privátního koncového bodu ve službě Azure Virtual Network.
Privátní koncové body používají privátní IP adresy z adresního prostoru virtuální sítě k privátnímu připojení zařízení k aplikaci IoT Central. Síťový provoz mezi zařízeními ve virtuální síti a platformou IoT prochází virtuální sítí a privátním propojením v páteřní síti Microsoftu, čímž se eliminuje vystavení na veřejném internetu.
Další informace najdete v tématu Zabezpečení sítě pro IoT Central pomocí privátních koncových bodů.
Správa programového přístupu
Rozhraní IoT Central REST API umožňuje vyvíjet klientské aplikace, které se integrují s aplikacemi IoT Central. Pomocí rozhraní REST API můžete pracovat s prostředky ve vaší aplikaci IoT Central, jako jsou šablony zařízení, zařízení, úlohy, uživatelé a role.
Každé volání rozhraní REST API služby IoT Central vyžaduje autorizační hlavičku, kterou IoT Central používá k určení identity volajícího a oprávnění, která volajícímu udělí v rámci aplikace.
Pokud chcete získat přístup k aplikaci IoT Central pomocí rozhraní REST API, můžete použít:
- Nosný token Microsoft Entra. Nosný token je přidružený buď k uživatelskému účtu Microsoft Entra, nebo k instančnímu objektu. Token volajícímu udělí stejná oprávnění, která má uživatel nebo instanční objekt v aplikaci IoT Central.
- Token rozhraní API IoT Central Token rozhraní API je přidružený k roli ve vaší aplikaci IoT Central.
Další informace najdete v tématu Ověřování a autorizace volání rozhraní REST API služby IoT Central.
Ověřování u jiných služeb
Když konfigurujete průběžný export dat z aplikace IoT Central do služby Azure Blob Storage, Azure Service Bus nebo Azure Event Hubs, můžete k ověření použít připojovací řetězec nebo spravovanou identitu. Při konfiguraci průběžného exportu dat z aplikace IoT Central do Azure Data Exploreru můžete k ověření použít instanční objekt nebo spravovanou identitu.
Spravované identity jsou bezpečnější, protože:
- Přihlašovací údaje pro prostředek neukládáte do připojovací řetězec v aplikaci IoT Central.
- Přihlašovací údaje jsou automaticky svázané s životností vaší aplikace IoT Central.
- Spravované identity automaticky obměňují klíče zabezpečení pravidelně.
Další informace najdete v následujících tématech:
Připojení do cíle v zabezpečené virtuální síti
Export dat v IoT Central umožňuje nepřetržitě streamovat data zařízení do cílů, jako jsou Azure Blob Storage, Azure Event Hubs, Zasílání zpráv služby Azure Service Bus. Tyto cíle můžete uzamknout pomocí služby Azure Virtual Network a privátních koncových bodů. Pokud chcete službě IoT Central povolit připojení k cíli v zabezpečené virtuální síti, nakonfigurujte výjimku brány firewall. Další informace najdete v tématu Export dat do zabezpečeného cíle ve službě Azure Virtual Network.
Protokoly auditu
Protokoly auditu umožňují správcům sledovat aktivitu v rámci vaší aplikace IoT Central. Správa istrátory můžou zjistit, kdo v jakých časech provedl změny. Další informace najdete v tématu Použití protokolů auditu ke sledování aktivit v aplikaci IoT Central.
Další kroky
Teď, když jste se seznámili se zabezpečením ve své aplikaci Azure IoT Central, je navrhovaným dalším krokem informace o správě uživatelů a rolí v Azure IoT Central.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro