Freigeben über

Einrichten einer Azure Digital Twins-Instanz und der Authentifizierung (Portal)

Dieser Artikel beschreibt die Schritte zum Einrichten einer neuen Azure Digital Twins-Instanz, einschließlich des Erstellens der Instanz und des Einrichtens der Authentifizierung. Nachdem Sie die Schritte in diesem Artikel durchgeführt haben, verfügen Sie über eine Azure Digital Twins-Instanz, die zum Programmieren bereitsteht.

In dieser Version dieses Artikels werden diese Schritte manuell nacheinander mithilfe des Azure-Portals durchlaufen. Das Azure-Portal ist eine webbasierte, zentrale Konsole, die eine Alternative zu Befehlszeilentools darstellt.

Das vollständige Setup für eine neue Azure Digital Twins-Instanz umfasst zwei Teile:

  1. Erstellen der Instanz.
  2. Einrichten von Benutzerzugriffsberechtigungen: Azure-Benutzer müssen über die Azure Digital Twins Data Owner-Rolle in der Azure Digital Twins-Instanz verfügen, um sie und ihre Daten verwalten zu können. In diesem Schritt weist Sie als Besitzer/Administrator des Azure-Abonnements dieser Rolle der Person zu, die Ihre Azure Digital Twins-Instanz verwaltet. Diese Person kann sich selbst oder eine andere Person in Ihrer Organisation sein.

Wichtig

Um diesen vollständigen Artikel abzuschließen und eine verwendbare Instanz einzurichten, benötigen Sie Berechtigungen zum Verwalten von Ressourcen und Benutzerzugriff im Azure-Abonnement. Jeder Benutzer, der Ressourcen für das Abonnement erstellen kann, kann den ersten Schritt abschließen, der zweite Schritt erfordert jedoch Benutzerzugriffsverwaltungsberechtigungen (oder die Zusammenarbeit einer Person mit diesen Berechtigungen). Weitere Informationen zu den erforderlichen Berechtigungen finden Sie im Abschnitt "Erforderliche Berechtigungen" für den Benutzerzugriffsberechtigungsschritt.

Erstellen der Azure Digital Twins-Instanz

In diesem Abschnitt erstellen Sie eine neue Instanz von Azure Digital Twins mithilfe des Azure-Portals. Navigieren Sie zum Portal, und melden Sie sich mit Ihren Anmeldeinformationen an.

  1. Sobald Sie sich im Portal befinden, wählen Sie zunächst im Startmenü der Azure-Dienste die Option "Ressource erstellen " aus.

    Screenshot des Azure-Portals, in dem das Symbol

  2. Suchen Sie im Suchfeld nach Azure Digital Twins , und wählen Sie den Azure Digital Twins-Dienst aus den Ergebnissen aus.

    Lassen Sie das Feld "Plan " auf Azure Digital Twins festgelegt, und wählen Sie die Schaltfläche " Erstellen " aus, um mit dem Erstellen einer neuen Instanz des Diensts zu beginnen.

    Screenshot des Azure-Portals, in dem die Schaltfläche

  1. Geben Sie auf der folgenden Seite " Ressource erstellen " die folgenden Werte ein:

    • Abonnement: Das Azure-Abonnement, das Sie verwenden.
      • Ressourcengruppe: Eine Ressourcengruppe, in der die Instanz bereitgestellt werden soll. Wenn Sie noch keine bestehende Ressourcengruppe im Sinn haben, können Sie hier eine erstellen, indem Sie den Link Neu erstellen auswählen und einen Namen für die neue Ressourcengruppe eingeben.
    • Ressourcenname: Ein Name für Ihre Azure Digital Twins-Instanz. Wenn in Ihrem Abonnement für die Region eine weitere Azure Digital Twins-Instanz vorhanden ist, die den angegeben Namen bereits verwendet, werden Sie aufgefordert, einen anderen Namen auszuwählen.
    • Region: Eine Azure Digital Twins-fähige Region für die Bereitstellung. Weitere Informationen zum regionalen Support finden Sie unter Azure-Produkte, die nach Region (Azure Digital Twins) verfügbar sind.
    • Gewähren des Zugriffs auf Ressource: Das Kontrollkästchen in diesem Abschnitt gibt Ihrem Azure-Konto die Berechtigung für den Zugriff auf und die Verwaltung von Daten in der Instanz. Wenn Sie die Person sind, die die Instanz verwaltet, sollten Sie dieses Kontrollkästchen jetzt aktivieren. Wenn es ausgegraut ist, weil Sie über keine Berechtigung im Abonnement verfügen, können Sie die Erstellung der Ressource fortsetzen und sich die Rolle später von einer Person mit den erforderlichen Berechtigungen zuweisen lassen. Weitere Informationen zu dieser Rolle und das Zuweisen von Rollen zu Ihrer Instanz finden Sie im nächsten Abschnitt, Einrichten von Benutzerzugriffsberechtigungen.

    Screenshot des Prozesses

  2. Wenn Sie fertig sind, können Sie "Überprüfen" und "Erstellen " auswählen, wenn Sie keine weiteren Einstellungen für Ihre Instanz konfigurieren möchten. Auf diese Weise gelangen Sie zu einer Zusammenfassungsseite, auf der Sie die Von Ihnen eingegebenen Instanzendetails überprüfen und mit "Erstellen" fertig stellen können.

    Wenn Sie weitere Details für Ihre Instanz konfigurieren möchten, finden Sie Informationen zu den übrigen Registerkarten für die Einrichtung im nächsten Abschnitt.

Zusätzliche Optionen für die Einrichtung

Hier sind die zusätzlichen Optionen, die Sie während des Setups konfigurieren können, mithilfe der anderen Registerkarten im Prozess " Ressource erstellen ".

  • Netzwerk: Auf dieser Registerkarte können Sie private Endpunkte mit Azure Private Link aktivieren, um die Gefährdung ihres öffentlichen Netzwerks für Ihre Instanz zu beseitigen. Anweisungen finden Sie unter "Aktivieren des privaten Zugriffs mit privatem Link".
  • Erweitert: Auf dieser Registerkarte können Sie eine vom System zugewiesene verwaltete Identität für Ihre Instanz aktivieren. Wenn diese Option aktiviert ist, erstellt Azure automatisch eine Identität für die Instanz in der Microsoft Entra-ID, die zur Authentifizierung bei anderen Diensten verwendet werden kann. Sie können diese vom System zugewiesene verwaltete Identität aktivieren, während Sie die Instanz hier oder später in einer vorhandenen Instanz erstellen. Wenn Sie stattdessen eine benutzerseitig zugewiesene verwaltete Identität aktivieren möchten, müssen Sie dies später in einer vorhandenen Instanz tun.
  • Tags: Auf dieser Registerkarte können Sie Ihrer Instanz Tags hinzufügen, um sie in Ihren Azure-Ressourcen zu organisieren. Weitere Informationen zu Azure-Ressourcentags finden Sie unter Tag-Ressourcen, Ressourcengruppen und Abonnements für logische Organisation.

Überprüfen des Erfolgs und Erfassen wichtiger Werte

Nachdem Sie die Einrichtung ihrer Instanz beendet haben, indem Sie "Erstellen" auswählen, können Sie den Status der Bereitstellung Ihrer Instanz in Ihren Azure-Benachrichtigungen auf der Portalsymbolleiste anzeigen. Die Benachrichtigung gibt an, wann die Bereitstellung erfolgreich ist. An diesem Punkt können Sie die Schaltfläche "Zur Ressource wechseln" auswählen, um Ihre erstellte Instanz anzuzeigen.

Screenshot der Azure-Benachrichtigungen mit einer erfolgreichen Bereitstellung und Hervorhebung der Schaltfläche

Wenn bei der Bereitstellung ein Fehler auftritt, wird in der Benachrichtigung die Ursache angegeben. Beachten Sie die Ratschläge in der Fehlermeldung, und versuchen Sie dann erneut, die Instanz zu erstellen.

Tipp

Nachdem die Instanz erstellt wurde, können Sie jederzeit zu ihrer Seite zurückkehren, indem Sie in der Suchleiste des Azure-Portals nach dem Namen Ihrer Instanz suchen.

Notieren Sie sich von der Seite Übersicht der Instanz den Namen, die Ressourcengruppe und den Hostnamen. Diese Werte sind alle wichtig. Sie benötigen Sie möglicherweise, wenn Sie mit Ihrer Azure Digital Twins-Instanz weiterarbeiten. Wenn andere Benutzer in der Instanz programmieren, sollten Sie diese Werte mit ihnen teilen.

Screenshot des Azure-Portals, in dem die wichtigen Werte auf der Übersichtsseite der Azure Digital Twins-Instanz hervorgehoben werden.

Die Azure Digital Twins-Instanz ist jetzt einsatzbereit. Im nächsten Schritt stellen Sie die entsprechenden Azure-Benutzerberechtigungen für die Verwaltung der Instanz zur Verfügung.

Einrichten von Benutzerzugriffsberechtigungen

Azure Digital Twins verwendet Microsoft Entra-ID für die rollenbasierte Zugriffssteuerung (RBAC). Dies bedeutet, dass einem Benutzer eine Rolle mit entsprechenden Berechtigungen zugewiesen werden muss, bevor er Aufrufe auf Datenebene an Ihre Azure Digital Twins-Instanz richten kann.

Bei Azure Digital Twins ist diese Rolle Azure Digital Twins Data Owner. Weitere Informationen zu Rollen und Sicherheit in Security for Azure Digital Twins-Lösungen finden Sie hier.

Hinweis

Diese Rolle unterscheidet sich von der Rolle " Besitzer der Microsoft Entra-ID", die auch im Bereich der Azure Digital Twins-Instanz zugewiesen werden kann. Hierbei handelt es sich um zwei unterschiedliche Verwaltungsrollen, und Besitzer gewährt keinen Zugriff auf Datenebenenfeatures, die mit Azure Digital Twins Data Owner gewährt werden.

In diesem Abschnitt wird gezeigt, wie Sie eine Rollenzuweisung für einen Benutzer in Ihrer Azure Digital Twins-Instanz mithilfe der E-Mail-Adresse dieses Benutzers im Microsoft Entra-Mandanten in Ihrem Azure-Abonnement erstellen. Je nach Ihrer Rolle in Ihrer Organisation können Sie diese Berechtigung für sich selbst einrichten oder im Namen einer anderen Person einrichten, die die Azure Digital Twins-Instanz verwaltet.

Es gibt zwei Möglichkeiten zum Erstellen einer Rollenzuweisung für einen Benutzer in Azure Digital Twins:

Beide erfordern die gleichen Berechtigungen.

Voraussetzungen: Erforderliche Benutzerberechtigungen

Um alle folgenden Schritte ausführen zu können, müssen Sie über eine Rolle in Ihrem Abonnement verfügen, die über die folgenden Berechtigungen verfügt:

  • Erstellen und Verwalten von Azure-Ressourcen
  • Verwalten des Benutzerzugriffs auf Azure-Ressourcen (einschließlich erteilen und delegieren von Berechtigungen)

Allgemeine Rollen, die diese Anforderung erfüllen, sind Besitzer, Kontoadministrator oder die Kombination aus Benutzerzugriffsadministrator und Mitwirkender. Für eine vollständige Erklärung der Rollen und Berechtigungen, einschließlich der Berechtigungen, die in anderen Rollen enthalten sind, besuchen Sie bitte die Azure-Rollen, Microsoft Entra-Rollen und klassische Abonnementadministratorrollen in der Azure RBAC-Dokumentation.

Um Ihre Rolle in Ihrem Abonnement anzuzeigen, besuchen Sie die Seite "Abonnements" im Azure-Portal (Sie können diesen Link verwenden oder auf der Suchleiste des Portals nach Abonnements suchen). Suchen Sie nach dem Namen des abonnements, das Sie verwenden, und zeigen Sie Ihre Rolle für das Abonnement in der Spalte "Meine Rolle " an:

Screenshot der Seite

Wenn Sie feststellen, dass der Wert "Mitwirkender" ist oder eine andere Rolle, die nicht über die zuvor beschriebenen erforderlichen Berechtigungen verfügt, können Sie sich an den Benutzer in Ihrem Abonnement wenden, der über diese Berechtigungen verfügt (z. B. ein Abonnementbesitzer oder Kontoadministrator), und gehen Sie auf eine der folgenden Arten fort:

  • Bitten Sie den Benutzer darum, die Schritte zur Rollenzuweisung in Ihrem Namen auszuführen.
  • Bitten Sie die Benutzenden darum, Ihnen eine höhere Rolle im Abonnement zuzuweisen, damit Sie über die benötigten Berechtigungen verfügen, um selbst fortzufahren. Ob diese Anfrage angemessen ist, hängt von Ihrer Organisation und Ihrer Rolle darin ab.

Zuweisen der Rolle während der Instanzerstellung

Wählen Sie beim Erstellen Ihrer Azure Digital Twins-Ressource über den weiter oben in diesem Artikel beschriebenen Prozess die Rolle "Azure Digital Twins-Datenbesitzer zuweisen " unter " Zugriff auf Ressource gewähren" aus. Dadurch erhalten Sie Vollzugriff auf die APIs der Datenebene.

Screenshot des Prozesses

Wenn Sie nicht über die Berechtigung zum Zuweisen einer Rolle zu einer Identität verfügen, wird das Feld ausgegraut angezeigt.

Screenshot des Prozesses

In diesem Fall können Sie die Azure Digital Twins-Ressource weiterhin erfolgreich erstellen, aber jemand mit den entsprechenden Berechtigungen muss Ihnen oder der Person, die die Daten der Instanz verwalten wird, diese Rolle zuweisen.

Zuweisen der Rolle mithilfe von Azure Identity & Access Management (IAM)

Sie können die Rolle " Azure Digital Twins Data Owner " auch mithilfe der Zugriffssteuerungsoptionen in Azure Identity Management (IAM) zuweisen.

  1. Öffnen Sie zunächst die Seite für Ihre Azure Digital Twins-Instanz im Azure-Portal.

  2. Wählen Sie access control (IAM) aus.

  3. Wählen Sie "> aus, um die Seite "Rollenzuweisung hinzufügen" zu öffnen.

  4. Weisen Sie die Rolle Azure Digital Twins Data Owner zu. Ausführliche Schritte finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portals.

    Einstellung Wert
    Rolle Azure Digital Twins-Datenbesitzer
    Zugriff zuweisen zu Benutzer, Gruppe oder Dienstprinzipal
    Member Suchen Sie nach dem Namen oder der E-Mail-Adresse des Benutzers, der zugewiesen werden soll.

    Seite

Überprüfen des erfolgreichen Abschlusses

Sie können die Rollenzuweisung anzeigen, die Sie unter Access Control (IAM) > Rollenzuweisungen einrichten. Der Benutzer sollte in der Liste mit einer Rolle des Azure Digital Twins Data Owner angezeigt werden.

Screenshot der Rollenzuweisungen für eine Azure Digital Twins-Instanz im Azure-Portal.

Sie verfügen nun über eine einsatzbereite Azure Digital Twins-Instanz und haben Berechtigungen zugewiesen, um diese zu verwalten.

Aktivieren/Deaktivieren der verwalteten Identität für die Instanz

In diesem Abschnitt erfahren Sie, wie Sie einer vorhandenen Azure Digital Twins-Instanz eine (systemseitig oder benutzerseitig zugewiesene) verwaltete Identität hinzufügen. Sie können auf dieser Seite auch die verwaltete Identität einer Instanz deaktivieren, für die sie bereits aktiviert ist.

Öffnen Sie zunächst das Azure-Portal in einem Browser.

  1. Suchen Sie über die Suchleiste des Portals nach dem Namen Ihrer Instanz, und wählen Sie diesen aus, um die Details anzuzeigen.

  2. Wählen Sie im linken Menü "Einstellungsidentität" > aus.

  3. Verwenden Sie die Registerkarten, um den Typ der verwalteten Identität auszuwählen, den Sie hinzufügen oder entfernen möchten.

    1. System zugewiesen: Nachdem Sie diese Registerkarte ausgewählt haben, wählen Sie die Option "Ein " aus, um dieses Feature zu aktivieren, oder "Aus ", um es zu entfernen.

      Screenshot des Azure-Portals mit der Seite

      Wählen Sie die Schaltfläche " Speichern " und " Ja " aus, um dies zu bestätigen. Nachdem die vom System zugewiesene Identität aktiviert wurde, werden auf dieser Seite weitere Felder mit der Objekt-ID und den Berechtigungen der neuen Identität (Azure-Rollenzuweisungen) angezeigt.

    2. Vom Benutzer zugewiesen (Vorschau): Nachdem Sie diese Registerkarte ausgewählt haben, wählen Sie "Benutzerdefinierte verwaltete Identität zuordnen" aus, und folgen Sie den Anweisungen, um eine Identität auszuwählen, die der Instanz zugeordnet werden soll.

      Screenshot des Azure-Portals mit der Seite

      Oder wenn hier bereits eine Identität aufgeführt ist, die Sie deaktivieren möchten, können Sie das Kontrollkästchen neben der Liste aktivieren und entfernen .

      Sobald eine Identität hinzugefügt wurde, können Sie deren Namen hier aus der Liste auswählen, um ihre Details zu öffnen. Auf der Detailseite können Sie die Objekt-ID anzeigen und das linke Menü verwenden, um die Azure-Rollenzuweisungen anzuzeigen.

Überlegungen zum Deaktivieren verwalteter Identitäten

Es ist wichtig, die Auswirkungen zu berücksichtigen, die Änderungen an der Identität oder ihren Rollen auf die Ressourcen haben können, die sie verwenden. Wenn Sie verwaltete Identitäten mit Ihren Azure Digital Twins-Endpunkten oder für den Datenverlauf verwenden und die Identität deaktiviert ist oder eine erforderliche Rolle daraus entfernt wird, kann auf den Endpunkt oder die Datenverlaufsverbindung nicht zugegriffen werden, und der Ereignisfluss wird unterbrochen.

Nächste Schritte

Testen Sie einzelne REST-API-Aufrufe für Ihre Instanz mithilfe der Befehle der Azure Digital Twins-CLI:

Sie können auch eine Verbindung zwischen Ihrer Clientanwendung und Ihrer Instanz herstellen, indem Sie Authentifizierungscode verwenden: