Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Služba Device Update pomocí Azure RBAC poskytuje ověřování a autorizaci pro uživatele a rozhraní API služeb. Aby ostatní uživatelé a aplikace měli přístup ke službě Device Update, musí mít uživatelé nebo aplikace udělený přístup k tomuto prostředku. Je také nutné pro úspěšné nasazení aktualizací a správu zařízení nakonfigurovat přístup pro služební principál služby Azure Device Update.
Konfigurace rolí řízení přístupu
Toto jsou role podporované službou Device Update:
| Název role | Popis |
|---|---|
| Správce aktualizace zařízení | Má přístup ke všem prostředkům služby Device Update. |
| Čtečka aktualizací zařízení | Může zobrazit všechny aktualizace a nasazení. |
| Správce obsahu pro aktualizace zařízení | Může zobrazit, importovat a odstranit aktualizace. |
| Čtečka obsahu pro aktualizaci zařízení | Může zobrazit aktualizace |
| Správce aktualizací zařízení a jejich nasazení | Může spravovat nasazení aktualizací do zařízení. |
| Prohlížeč nasazení aktualizací zařízení | Může zobrazit nasazení aktualizací na zařízení. |
Pomocí kombinace rolí můžete poskytnout správnou úroveň přístupu. Vývojář může například importovat a spravovat aktualizace pomocí role Správce obsahu Device Update, ale potřebuje roli Čtenář nasazení aktualizací k zobrazení průběhu aktualizace. Naopak operátor řešení s rolí Čtenář aktualizace zařízení může zobrazit všechny aktualizace, ale potřebuje k nasazení konkrétní aktualizace do zařízení použít roli Správce nasazení služby Device Update.
Konfigurace přístupu pro služební princip Azure Device Update v IoT Hub
Služba Device Update pro IoT Hub komunikuje se službou IoT Hub pro nasazení a spravuje aktualizace ve velkém měřítku. Aby bylo možné umožnit aktualizaci zařízení, musí uživatelé v rámci oprávnění služby IoT Hub nastavit oprávnění Přispěvatele dat IoT Hub pro instanční objekt služby Azure Device Update.
Pokud tato oprávnění nejsou nastavená, zablokují se následující akce v nadcházející verzi:
- Vytvořit nasazení
- Zrušit nasazení
- Znovu provést nasazení
- Získat zařízení
- Přejděte do ioT Hubu připojeného k instanci služby Device Update. Klikněte na Řízení přístupu (IAM)
- Klikněte na + Přidat ->Přidat přiřazení role
- Na kartě Role vyberte Přispěvatel dat služby IoT Hub.
- Klikněte na tlačítko Další. Pro Přiřadit přístup k vyberte Uživatel, skupina nebo služební principál. Klikněte na +Vybrat členy, vyhledejte Azure Device Update.
- Klikněte na Další ->Zkontrolovat + Přiřadit
Ověření správného nastavení oprávnění:
- Přejděte do ioT Hubu připojeného k instanci služby Device Update. Klikněte na Řízení přístupu (IAM)
- Klikněte na Zkontrolovat přístup.
- Vyberte uživatele, skupinu nebo služební účet a vyhledejte 'Azure Device Update'.
- Po kliknutí na Azure Device Update ověřte, že je role Přispěvatel dat služby IoT Hub uvedená v části Přiřazení rolí.
Ověřte se v rozhraní REST API pro aktualizaci zařízení
Služba Device Update používá k ověřování rozhraní REST API službu Azure Active Directory (AD). Abyste mohli začít, musíte vytvořit a nakonfigurovat klientskou aplikaci.
Vytvoření klientské aplikace Azure AD
Pokud chcete integrovat aplikaci nebo službu se službou Azure AD, nejprve zaregistrujte klientskou aplikaci v Azure AD. Nastavení klientské aplikace se bude lišit v závislosti na toku autorizace, který budete potřebovat (uživatelé, aplikace nebo spravované identity). Pokud například chcete volat službu Device Update z:
- Mobilní nebo desktopová aplikace, přidejte platformu mobilní a desktopové aplikace s
https://login.microsoftonline.com/common/oauth2/nativeclientpro identifikátor URI přesměrování. - Web s implicitními přihlašováními, přidejte webovou platformu a vyberte přístupové tokeny (používá se pro implicitní toky).
Konfigurace oprávnění
Dále do aplikace přidejte oprávnění pro volání služby Device Update:
- Přejděte na stránku oprávnění rozhraní API vaší aplikace a vyberte Přidat oprávnění.
- Přejděte na rozhraní API používaná mou organizací a vyhledejte Azure Device Update.
- Vyberte user_impersonation oprávnění a vyberte Přidat oprávnění.
Vyžádání autorizačního tokenu
Rozhraní REST API služby Device Update vyžaduje autorizační token OAuth 2.0 v hlavičce požadavku. Následující části ukazují některé příklady způsobů, jak požádat o autorizační token.
Použití Azure CLI
az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'
Použití knihovny MSAL v PowerShellu
MSAL.PS modul PowerShellu je obálkou pro Microsoft Authentication Library pro .NET (MSAL .NET). Podporuje různé metody ověřování.
Použití uživatelských přihlašovacích údajů:
$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
Použití přihlašovacích údajů uživatele s kódem zařízení:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
Použití přihlašovacích údajů aplikace:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
Podpora spravovaných identit
Spravované identity poskytují službám Azure zabezpečeně spravovanou identitu ve službě Azure AD. Tím se eliminuje potřeba, aby vývojáři museli spravovat přihlašovací údaje poskytnutím identity. Aktualizace zařízení pro IoT Hub podporuje spravované identity přiřazené systémem.
Spravovaná identita přiřazená systémem
Přidání a odebrání spravované identity přiřazené systémem na webu Azure Portal:
- Přihlaste se k webu Azure Portal a přejděte na požadovaný účet služby Device Update pro IoT Hub.
- Přejděte na Identitu ve vašem portálu služby Device Update pro IoT Hub
- Přejděte na Identitu ve vašem portálu IoT Hubu
- Na záložce Přiřazeno systémem vyberte Zapnuto a klikněte na Uložit.
Pokud chcete odebrat spravovanou identitu přiřazenou systémem z účtu služby Device Update for IoT Hub, vyberte Vypnuto a klikněte na Uložit.