Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Byla vydána nová verze služby Azure Digital Twins. Vzhledem k rozšířeným funkcím nové služby se původní služba Azure Digital Twins (popsaná v této sadě dokumentace) vyřadila z provozu.
Pokud chcete zobrazit dokumentaci k nové službě, navštivte aktivní dokumentaci ke službě Azure Digital Twins.
Azure Digital Twins umožňuje přesnou kontrolu přístupu nad konkrétními daty, prostředky a akcemi v prostorovém grafu. Provede to prostřednictvím podrobné správy rolí a oprávnění nazývaných řízení přístupu na základě rolí (RBAC). RBAC se skládá z rolí a přiřazení rolí. Role identifikují úroveň oprávnění. Přiřazení rolí přidružují uživatele nebo zařízení k roli.
Pomocí řízení přístupu na základě rolí (RBAC) lze udělit oprávnění:
- Uživatel.
- Zařízení.
- Principál služby.
- Uživatelem definovaná funkce.
- Všichni uživatelé, kteří patří do domény.
- Nájemník.
Stupeň přístupu je také možné doladit.
Řízení přístupu na základě role je jedinečné tím, že oprávnění se dědí v rámci prostorového grafu.
Co můžu dělat s RBAC?
Vývojář může rBAC použít k:
- Udělte uživateli možnost spravovat zařízení pro celou budovu nebo jenom pro určitou místnost nebo podlahu.
- Udělte správci globální přístup ke všem uzlům prostorového grafu pro celý graf nebo pouze pro část grafu.
- Udělte specialistovi podpory přístup ke čtení grafu s výjimkou přístupových klíčů.
- Udělte každému členu domény přístup ke čtení všech objektů grafu.
Osvědčené postupy RBAC
Řízení přístupu na základě role je strategie zabezpečení řízená dědičností pro správu přístupu, oprávnění a rolí. Podřízené role dědí oprávnění z nadřazených rolí. Práva mohou být přiřazena i bez dědění z nadřazené role. Mohou být také přiřazeni pro úpravu role podle potřeby.
Správce prostoru může například potřebovat globální přístup ke spuštění všech operací pro zadaný prostor. Přístup zahrnuje všechny uzly nacházející se pod nebo uvnitř prostoru. Instalační program zařízení může potřebovat jenom oprávnění ke čtení a aktualizaci pro zařízení a senzory.
V každém případě jsou role uděleny přesně a ne více než přístup požadovaný ke splnění úkolů podle zásady nejnižšího oprávnění. Podle tohoto principu je identita udělena pouze :
- Množství přístupu potřebného k dokončení úlohy.
- Role vhodná a omezená pro vykonávání své práce.
Důležité
Vždy dodržujte zásadu nejnižších oprávnění.
Další další důležité postupy řízení přístupu na základě role:
- Pravidelně auditujte přiřazení rolí, abyste ověřili, že každá role má správná oprávnění.
- Upravte role a přiřazení, když jednotlivci mění role nebo úkoly.
Seznam rolí
Definice rolí
Definice role je kolekce oprávnění a dalších atributů, které představují roli. Definice role obsahuje seznam povolených operací, mezi které patří CREATE, READ, UPDATEa DELETE, že každý objekt s danou rolí může provádět. Určuje také, na které typy objektů se oprávnění vztahují.
Následující tabulka popisuje role, které jsou k dispozici ve službě Azure Digital Twins:
| Role | popis | Identifikátor |
|---|---|---|
| Správce prostoru | VYTVOŘIT, ČÍST, AKTUALIZOVAT a MAZAT oprávnění pro zadaný prostor a všechny uzly v hierarchii pod ním. Globální oprávnění. | 98e44ad7-28d4-4007-853b-b9968ad132d1 |
| Správce uživatelů | Oprávnění CREATE, READ, UPDATEa DELETE pro uživatele a objekty související s uživatelem. oprávnění ke čtení pro mezery. | dfaac54c-f583-4dd2-b45d-8d4bbc0aa1ac |
| Správce zařízení | CREATE, READ, UPDATEa DELETE oprávnění pro zařízení a objekty související se zařízeními. oprávnění ke čtení pro mezery. | 3cdfde07-bc16-40d9-bed3-66d49a8f52ae |
| Správce klíčů | Oprávnění CREATE, READ, UPDATEa DELETE pro přístupové klíče. oprávnění ke čtení pro mezery. | 5a0b1afc-e118-4068-969f-b50efb8e5da6 |
| Správce tokenů | Oprávnění ke čtení a aktualizaci pro přístupové klíče. oprávnění ke čtení pro mezery. | 38a3bb21-5424-43b4-b0bf-78ee228840c3 |
| Uživatel | oprávnění ke čtení pro prostory, senzory a uživatele, které zahrnuje jejich odpovídající související objekty. | b1ffdb77-c635-4e7e-ad25-948237d85b30 |
| Specialista podpory | Oprávnění ke čtení pro všechno kromě přístupových klíčů. | 6e46958b-dc62-4e7c-990c-c3da2e030969 |
| Instalátor zařízení | Oprávnění ke čtení a aktualizaci zařízením a senzorům, včetně jejich souvisejících objektů. oprávnění ke čtení pro mezery. | b16dd9fe-4efe-467b-8c8c-720e2ff8817c |
| Zařízení brány | vytvořit oprávnění pro senzory. oprávnění ke čtení pro zařízení a senzory, která zahrnují odpovídající související objekty. | d4c69766-e9bd-4e61-bfc1-d8b6e686c7a8 |
Poznámka:
Pokud chcete načíst úplné definice předchozích rolí, zadejte dotaz na rozhraní API systému nebo rolí. Další informace najdete v Vytváření a správě přiřazení rolí.
Typy identifikátorů objektů
objectIdType (nebo typ identifikátoru objektu) odkazuje na typ identity, která je udělena roli. Kromě typů DeviceId a UserDefinedFunctionId odpovídají typy identifikátorů objektů vlastnostem objektů Azure Active Directory.
Následující tabulka obsahuje podporované typy identifikátorů objektů ve službě Azure Digital Twins:
| Typ | Popis |
|---|---|
| Id uživatele | Přiřadí uživateli roli. |
| Id zařízení | Přiřadí k zařízení roli. |
| název domény | Přiřadí roli k názvu domény. Každý uživatel se zadaným názvem domény má přístupová práva odpovídající role. |
| Id nájemce | Přiřadí roli tenantovi. Každý uživatel, který patří k zadanému ID tenanta Azure AD, má přístupová práva odpovídající role. |
| ID principálu služby | Přiřadí roli k ID objektu zástupce služby. |
| IdUživatelskyDefinovanéFunkce | Přiřadí roli uživatelem definované funkci (UDF). |
Návod
Přečtěte si, jak udělit oprávnění vašemu služebnímu principálu v části Vytváření a správa přiřazení rolí.
Následující články referenční dokumentace popisují:
- Jak vytvořit dotaz nebo zjistit ID objektu pro uživatele.
- Jak získat ID objektu pro aplikaci služby.
- Jak získat ID objektu tenanta Azure AD.
Přiřazení rolí
Přiřazení role Azure Digital Twins přidruží objekt, například uživatele nebo tenanta Azure AD, k roli a prostoru. Oprávnění jsou udělena všem objektům, které patří do daného prostoru. Prostor obsahuje celý prostorový graf pod ním.
Uživatel má například přiřazenou roli DeviceInstaller pro kořenový uzel prostorového grafu, který představuje budovu. Uživatel pak může prohlížet a aktualizovat zařízení pro tento uzel a všechny podřízené prostory v budově.
Pokud chcete příjemcům udělit oprávnění, vytvořte přiřazení role. Pokud chcete oprávnění odvolat, odeberte přiřazení role.
Důležité
Další informace o přiřazeních rolí najdete v tématu Vytváření a správa přiřazení rolí.
Další kroky
Další informace o vytváření a správě přiřazení rolí služby Azure Digital Twins najdete v tématu Vytvoření a správa přiřazení rolí.
Přečtěte si další informace o RBAC pro Azure.