Sdílet prostřednictvím

Oprávnění na webu azureiotsuite.com

  • Článek

Co se stane, když se přihlásíte

Při prvním přihlášení na azureiotsuite.com web určí úrovně oprávnění, které máte, na základě aktuálně vybraného tenanta Azure Active Directory (AAD) a předplatného Azure.

  1. Web nejprve vyplní seznam tenantů, kteří se zobrazí vedle vašeho uživatelského jména, a z Azure zjistí, ke kterým tenantům AAD patříte. V současné době může web získávat tokeny uživatelů jenom pro jednoho tenanta. Proto když přepínáte tenanty pomocí rozevíracího seznamu v pravém horním rohu, web vás přihlásí k danému tenantovi, aby získal tokeny pro daného tenanta.

  2. Pak web z Azure zjistí, která předplatná jste přidružovali k vybranému tenantovi. Dostupná předplatná se zobrazí při vytváření nového předkonfigurovaného řešení.

  3. Nakonec web načte všechny prostředky v předplatných a skupinách prostředků označených jako předkonfigurovaná řešení a naplní dlaždice na domovské stránce.

Následující části popisují role, které řídí přístup k předkonfigurovaným řešením.

Role AAD

Role AAD řídí schopnost zřizovat předkonfigurovaná řešení a spravovat uživatele v předkonfigurovaném řešení.

Další informace o rolích správce v AAD najdete v tématu Přiřazení rolí správce v Azure AD. Aktuální článek se zaměřuje na role globálního správce a adresáře uživatele , které používají předkonfigurovaná řešení.

Globální správce

Na tenanta AAD může existovat mnoho globálních správců:

  • Při vytváření tenanta AAD jste ve výchozím nastavení globálním správcem tohoto tenanta.
  • Globální správce může zřídit předkonfigurované řešení a má přiřazenou Správa roli pro aplikaci v rámci svého tenanta AAD.
  • Pokud aplikaci vytvoří jiný uživatel ve stejném tenantovi AAD, výchozí role udělená globálnímu správci je Jen pro čtení.
  • Globální správce může uživatelům přiřadit role pro aplikace pomocí Azure Portal.

Uživatel domény

Na tenanta AAD může existovat mnoho uživatelů domény:

  • Uživatel domény může zřídit předkonfigurované řešení prostřednictvím azureiotsuite.com lokality. Ve výchozím nastavení se uživateli domény udělí role Správa ve zřízené aplikaci.
  • Uživatel domény může vytvořit aplikaci pomocí skriptu build.cmd v úložišti azure-iot-remote-monitoring, azure-iot-predictive-maintenance nebo azure-iot-connected-factory . Výchozí role udělená uživateli domény je však Jen pro čtení, protože uživatel domény nemá oprávnění k přiřazování rolí.
  • Pokud aplikaci vytvoří jiný uživatel v tenantovi AAD, má pro danou aplikaci ve výchozím nastavení přiřazenou roli Jen pro čtení .
  • Uživatel domény nemůže přiřazovat role aplikacím. Proto uživatel domény nemůže přidat uživatele nebo role pro uživatele aplikace, i když ji zřídil.

Uživatel typu host

Na tenanta AAD může být mnoho uživatelů typu host. Uživatelé typu host mají v tenantovi AAD omezenou sadu práv. V důsledku toho uživatelé typu host nemůžou zřídit předkonfigurované řešení v tenantovi AAD.

Další informace o uživatelích a rolích v AAD najdete v následujících zdrojích informací:

Role správce předplatného Azure

Role správců Azure řídí možnost namapovat předplatné Azure na tenanta AD.

Další informace o rolích správce Azure najdete v článku Přidání nebo změna spolusprávce Azure, správce služeb a správce účtu.

Aplikační role

Aplikační role řídí přístup k zařízením v předkonfigurované řešení.

Ve zřízené aplikaci jsou definované dvě role a jedna implicitní role:

  • Správa: Má úplné řízení pro přidávání, správu, odebírání zařízení a úpravu nastavení.
  • Readonly: Může zobrazit zařízení, pravidla, akce, úlohy a telemetrii.

Oprávnění přiřazená jednotlivým rolím najdete ve zdrojovém souboru RolePermissions.cs .

Změna aplikačních rolí pro uživatele

Pomocí následujícího postupu můžete uživatele ve službě Active Directory nastavit jako správce předkonfigurovaného řešení.

Pokud chcete změnit role uživatele, musíte být globálním správcem AAD:

  1. Přejděte na Azure Portal.
  2. Vyberte Azure Active Directory.
  3. Ujistěte se, že používáte adresář, který jste zvolili azureiotsuite.com při zřizování řešení. Pokud máte k předplatnému přidružené více adresářů, můžete mezi nimi přepínat, když kliknete na název svého účtu v pravém horním rohu portálu.
  4. Klikněte na Podnikové aplikace a pak na Všechny aplikace.
  5. Zobrazit všechny aplikace se stavem Libovolný Pak vyhledejte aplikaci s názvem předkonfigurovaného řešení.
  6. Klikněte na název aplikace, který odpovídá názvu předkonfigurovaného řešení.
  7. Klikněte na Uživatelé a skupiny.
  8. Vyberte uživatele, u kterého chcete přepnout role.
  9. Klikněte na Přiřadit a vyberte roli (například Správa), kterou chcete uživateli přiřadit, a klikněte na značku zaškrtnutí.

Časté otázky

Jsem správce služeb a chci změnit mapování adresářů mezi předplatným a konkrétním tenantem AAD. Návody dokončit tento úkol?

Viz Přidání existujícího předplatného do adresáře Azure AD.

Jsem uživatel nebo člen domény v tenantovi AAD a vytvořil(a) jsem předkonfigurované řešení. Návody mít přiřazenou roli pro mou aplikaci?

Požádejte globálního správce, aby z vás udělal globálního správce tenanta AAD, a pak přiřaďte role uživatelům sami. Případně požádejte globálního správce, aby vám roli přiřadil přímo. Pokud chcete změnit tenanta AAD, do které je vaše předkonfigurované řešení nasazené, podívejte se na další otázku.

Návody přepnout tenanta AAD, ke kterému mám přiřazené předkonfigurované řešení a aplikaci pro vzdálené monitorování?

Cloudové nasazení můžete spustit z https://github.com/Azure/azure-iot-remote-monitoring nově vytvořeného tenanta AAD a znovu ho nasadit. Vzhledem k tomu, že při vytváření tenanta AAD jste ve výchozím nastavení globálním správcem, máte oprávnění přidávat uživatele a přiřazovat jim role.

  1. Vytvořte adresář AAD v Azure Portal.
  2. Přejděte na https://github.com/Azure/azure-iot-remote-monitoring.
  3. Spustit build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution} (například build.cmd cloud debug myRMSolution)
  4. Po zobrazení výzvy nastavte id tenanta na nově vytvořeného tenanta místo předchozího tenanta.

Chci změnit správce služeb nebo Co-Administrator při přihlášení pomocí organizačního účtu

Přečtěte si článek podpory Změna správce služeb a Co-Administrator při přihlášení pomocí organizačního účtu.

Proč se mi zobrazuje tato chyba? Váš účet nemá správná oprávnění k vytvoření řešení. Obraťte se na správce účtu nebo zkuste použít jiný účet.

Pokyny najdete v následujícím diagramu:

Poznámka

Pokud se chyba bude zobrazovat i po ověření, že jste globálním správcem v tenantovi AAD a spolusprávcem předplatného, požádejte správce vašeho účtu o odebrání uživatele a opětovné přiřazení potřebných oprávnění v tomto pořadí. Nejprve přidejte uživatele jako globálního správce a pak přidejte uživatele jako spolusprávce předplatného Azure. Pokud problémy potrvají, obraťte se na help & podporu.

Proč se mi zobrazuje tato chyba, když mám předplatné Azure? "K vytvoření předkonfigurovaných řešení se vyžaduje předplatné Azure. Bezplatný zkušební účet si můžete vytvořit za pár minut."

Pokud jste si jistí, že máte předplatné Azure, ověřte mapování tenanta pro vaše předplatné a ujistěte se, že je v rozevíracím seznamu vybraný správný tenant. Pokud jste ověřili správnost požadovaného tenanta, postupujte podle předchozího diagramu a ověřte mapování vašeho předplatného a tohoto tenanta AAD.

Další kroky

Další informace o službě IoT Suite najdete v tématu přizpůsobení předkonfigurovaného řešení.