Řízení přístupu na základě role v Azure (RBAC) a aktualizace zařízení
Služba Device Update pomocí Azure RBAC poskytuje ověřování a autorizaci pro uživatele a rozhraní API služeb. Aby ostatní uživatelé a aplikace měli přístup ke službě Device Update, musí mít uživatelé nebo aplikace udělený přístup k tomuto prostředku. Je také nutné nakonfigurovat přístup pro instanční objekt služby Azure Device Update pro úspěšné nasazení aktualizací a správu zařízení.
Konfigurace rolí řízení přístupu
Toto jsou role podporované službou Device Update:
| Název role | Popis |
|---|---|
| Správce aktualizace zařízení | Má přístup ke všem prostředkům služby Device Update. |
| Čtečka aktualizací zařízení | Může zobrazit všechny aktualizace a nasazení. |
| Správce obsahu aktualizace zařízení | Může zobrazit, importovat a odstranit aktualizace. |
| Čtečka obsahu aktualizace zařízení | Může zobrazit aktualizace |
| Správce nasazení aktualizací zařízení | Může spravovat nasazení aktualizací do zařízení. |
| Čtenář nasazení aktualizací zařízení | Může zobrazit nasazení aktualizací na zařízení. |
Pomocí kombinace rolí můžete poskytnout správnou úroveň přístupu. Vývojář může například importovat a spravovat aktualizace pomocí role Správce obsahu služby Device Update, ale potřebuje roli Čtenář nasazení aktualizace zařízení k zobrazení průběhu aktualizace. Naopak operátor řešení s rolí Čtenář aktualizace zařízení může zobrazit všechny aktualizace, ale potřebuje k nasazení konkrétní aktualizace do zařízení použít roli Správce nasazení služby Device Update.
Konfigurace přístupu pro instanční objekt služby Azure Device Update ve službě IoT Hub
Služba Device Update pro IoT Hub komunikuje se službou IoT Hub pro nasazení a spravuje aktualizace ve velkém měřítku. Aby bylo možné povolit aktualizaci zařízení, musí uživatelé nastavit přístup Přispěvatel dat služby IoT Hub pro instanční objekt služby Azure Device Update v oprávněních služby IoT Hub.
Nasazení, správa zařízení a aktualizace a diagnostické akce nebudou povoleny, pokud tato oprávnění nejsou nastavená. Mezi blokované operace patří:
- Vytvořit nasazení
- Zrušit nasazení
- Opakovat nasazení
- Získat zařízení
Oprávnění je možné nastavit z řízení přístupu ke službě IoT Hub (IAM). Informace o konfiguraci přístupu pro instanční objekt aktualizace zařízení Azure v propojeném centru IoT
Ověřování v rozhraníCH REST API služby Device Update
Služba Device Update používá k ověřování rozhraní REST API microsoft Entra ID. Abyste mohli začít, musíte vytvořit a nakonfigurovat klientskou aplikaci.
Vytvoření klientské aplikace Microsoft Entra
Pokud chcete integrovat aplikaci nebo službu s ID Microsoft Entra, nejprve zaregistrujte klientskou aplikaci v Microsoft Entra ID. Nastavení klientské aplikace se bude lišit v závislosti na toku autorizace, který budete potřebovat (uživatelé, aplikace nebo spravované identity). Pokud například chcete volat službu Device Update z:
- Mobilní nebo desktopová aplikace, přidejte platformu mobilních a desktopových aplikací pro
https://login.microsoftonline.com/common/oauth2/nativeclientidentifikátor URI přesměrování. - Web s implicitními přihlašováními, přidejte webovou platformu a vyberte přístupové tokeny (používá se pro implicitní toky).
Poznámka:
Microsoft doporučuje používat nejbezpečnější dostupný tok ověřování. Implicitní ověřování toku vyžaduje velmi vysoký stupeň důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky, jako jsou spravované identity, nejsou přijatelné.
Konfigurace oprávnění
Dále do aplikace přidejte oprávnění pro volání služby Device Update:
- Přejděte na stránku oprávnění rozhraní API vaší aplikace a vyberte Přidat oprávnění.
- Přejděte na rozhraní API, která moje organizace používá , a vyhledejte Azure Device Update.
- Vyberte user_impersonation oprávnění a vyberte Přidat oprávnění.
Vyžádání autorizačního tokenu
Rozhraní REST API služby Device Update vyžaduje autorizační token OAuth 2.0 v hlavičce požadavku. Následující části ukazují některé příklady způsobů, jak požádat o autorizační token.
Pomocí Azure CLI
az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'
Použití knihovny MSAL v PowerShellu
MSAL.PS modulu PowerShellu je obálka knihovny Microsoft Authentication Library pro .NET (MSAL .NET). Podporuje různé metody ověřování.
Pomocí přihlašovacích údajů uživatele:
$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
Použití přihlašovacích údajů uživatele s kódem zařízení:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
Pomocí přihlašovacích údajů aplikace:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
Podpora spravovaných identit
Spravované identity zabezpečeným způsobem poskytují službám Azure automaticky spravovanou identitu v Microsoft Entra ID. Tím se eliminuje potřeba, aby vývojáři museli spravovat přihlašovací údaje poskytnutím identity. Aktualizace zařízení pro IoT Hub podporuje spravované identity přiřazené systémem.
Spravovaná identita přiřazená systémem
Přidání a odebrání spravované identity přiřazené systémem na webu Azure Portal:
- Přihlaste se k webu Azure Portal a přejděte na požadovaný účet služby Device Update pro IoT Hub.
- Přechod na Identitu na portálu služby Device Update pro IoT Hub
- Přechod na identitu na portálu IoT Hubu
- V části Karta Přiřazené systémem vyberte Zapnuto a klepněte na tlačítko Uložit.
Pokud chcete odebrat spravovanou identitu přiřazenou systémem z účtu služby Device Update for IoT Hub, vyberte Vypnuto a klikněte na Uložit.