Configuración de una instancia de Azure Digital Twins y autenticación (portal)

• Portal
• CLI

En este artículo se describen los pasos para configurar una nueva instancia de Azure Digital Twins, incluidas la creación de la instancia y la configuración de la autenticación. Después de realizar los pasos de este artículo, tendrá una instancia de Azure Digital Twins lista para empezar a programar.

En esta versión de este artículo se realizan los pasos manualmente, uno por uno, mediante Azure Portal. Azure Portal es una consola unificada basada en web que proporciona una alternativa a las herramientas de línea de comandos.

La configuración completa de una instancia nueva de Azure Digital Twins consta de dos partes:

1. Creación de la instancia
2. Configuración de permisos de acceso de usuarios: los usuarios de Azure deben tener el rol Propietario de Azure Digital Twins en la instancia de Azure Digital Twins para poder administrarla y administrar sus datos. En este paso, como propietario o administrador de la suscripción de Azure, se asignará este rol a la persona que vaya a administrar la instancia de Azure Digital Twins. Puede ser usted mismo o alguna otra persona de la organización.

Importante

Para completar este artículo completo y configurar completamente una instancia utilizable, necesita permisos para administrar los recursos y el acceso de usuarios en la suscripción de Azure. El primer paso lo puede completar cualquier persona que pueda crear recursos en la suscripción, pero el segundo paso requiere permisos de administración de acceso de usuarios (o la cooperación de alguien con estos permisos). Puede obtener más información sobre este asunto en la sección Requisitos previos: permisos necesarios para el paso de permisos de acceso de usuarios.

Creación de una instancia de Azure Digital Twins

En esta sección, creará una instancia de Azure Digital Twins mediante Azure Portal. Vaya al portal e inicie sesión con sus credenciales.

1. Una vez en el portal, seleccione Crear un recurso en el menú de la página principal de servicios de Azure, para comenzar.

   

2. Busque Azure Digital Twins en el cuadro de búsqueda y elija el servicio Azure Digital Twins en los resultados.

   Deje el campo Plan establecido en Azure Digital Twins y seleccione el botónCrear para empezar a crear una nueva instancia del servicio.

   

3. En la siguiente página Crear recurso, rellene los valores indicados a continuación:

   • Suscripción: la suscripción de Azure que usa
     • Grupo de recursos: un grupo de recursos en el que se va a implementar la instancia. Si aún no tiene un grupo de recursos existente en mente, puede crear uno aquí mediante la selección del vínculo Crear nuevo y la introducción de un nombre para el nuevo grupo de recursos.
   • Ubicación: una región habilitada para Azure Digital Twins para la implementación. Para obtener más información sobre la compatibilidad regional, visite Productos de Azure disponibles por región (Azure Digital Twins).
   • Nombre del recurso: un nombre para la instancia de Azure Digital Twins. Si su suscripción tiene otra instancia de Azure Digital Twins en la región que ya usa el nombre especificado, se le pedirá que elija un nombre diferente.
   • Conceder acceso al recurso: al marcar la casilla de esta sección se concederá permiso a la cuenta de Azure para acceder a los datos de la instancia y administrarlos. Si es quien va a administrar la instancia, debe marcar esta casilla ahora. Si está atenuada porque no tiene permiso en la suscripción, puede seguir creando el recurso y hacer que alguien con los permisos necesarios le conceda el rol más adelante. Para obtener más información sobre este rol y la asignación de roles a la instancia, consulte la sección siguiente Configuración de permisos de acceso de usuarios.

   

4. Cuando haya terminado, puede seleccionar Revisar y crear si no quiere configurar más opciones para la instancia. Esta acción le llevará a una página de resumen, donde puede revisar los detalles de la instancia que ha introducido y finalizar con Crear.

   Si quiere configurar más detalles para la instancia, en la sección siguiente se describen las pestañas de configuración restantes.

Opciones de configuración adicionales

Estas son las opciones adicionales que puede configurar durante la instalación, mediante las demás pestañas del proceso Crear recurso.

• Redes: en esta pestaña, puede habilitar puntos de conexión privados con Azure Private Link para eliminar la exposición de la red pública a la instancia. Para obtener instrucciones, consulte Habilitación del acceso privado con Private Link.
• Avanzado: en esta pestaña, puede habilitar una identidad administrada asignada por el sistema para la instancia. Cuando esto está habilitado, Azure crea automáticamente una identidad para la instancia de Microsoft Entra ID, que se puede usar para autenticarse en otros servicios. Puede habilitar esa identidad administrada asignada por el sistema mientras crea la instancia aquí o más adelante en una instancia existente. Si en su lugar quiere habilitar una identidad administrada asignada por el usuario, deberá hacerlo más adelante en una instancia existente.
• Etiquetas: en esta pestaña, puede agregar etiquetas a la instancia para ayudarle a organizarla entre los recursos de Azure. Para obtener más información sobre las etiquetas de recurso de Azure, vea Etiquetado de recursos, grupos de recursos y suscripciones para una organización lógica.

Comprobación de que la operación es correcta y recopilación de valores importantes

Después de finalizar la configuración de la instancia con la selección de Crear, puede ver el estado de la implementación en las notificaciones de Azure que hay en la barra de iconos del portal. La notificación le indicará cuándo se ha realizado la implementación correctamente, momento en el cual podrá seleccionar el botón Ir al recurso para ver la instancia creada.

Si se produce un error con la implementación, la notificación le indicará el motivo. Observe el consejo del mensaje de error y vuelva a intentar crear la instancia.

Sugerencia

Una vez creada la instancia, para volver a su página en cualquier momento, busque el nombre de la instancia en la barra de búsqueda de Azure Portal.

A partir de la página Información general de la instancia, anote su Nombre, Grupo de recursos y Nombre de host. Estos son todos los valores importantes que puede necesitar a medida que siga trabajando con la instancia de Azure Digital Twins. Si otros usuarios van a programar en la instancia, debe compartirlos con ellos.

Ahora tiene lista una instancia de Azure Digital Twins. A continuación, debe proporcionar los permisos de usuario de Azure adecuados para administrarla.

Configuración de permisos de acceso de usuarios

Azure Digital Twins usa microsoft Entra ID para el control de acceso basado en rol (RBAC). Esto significa que antes de que un usuario pueda hacer llamadas al plano de datos a la instancia de Azure Digital Twins, se debe asignar un rol a ese usuario con los permisos adecuados.

En el caso de Azure Digital Twins, este rol es Propietario de datos de Azure Digital Twins. Puede obtener más información sobre los roles y la seguridad en Seguridad para las soluciones de Azure Digital Twins.

Nota:

Este rol es diferente del rol propietario del identificador de Entra de Microsoft, que también se puede asignar en el ámbito de la instancia de Azure Digital Twins. Se trata de dos roles de administración distintos y el rol Propietario no concede acceso a las características del plano de datos que se conceden con Propietario de datos de Azure Digital Twins.

En esta sección se muestra cómo crear una asignación de roles para un usuario en la instancia de Azure Digital Twins mediante el correo electrónico de ese usuario en el inquilino de Microsoft Entra en su suscripción de Azure. En función del rol de su organización, puede configurar este permiso para usted mismo o en nombre de otra persona que vaya a administrar la instancia de Azure Digital Twins.

Hay dos maneras de crear una asignación de roles para un usuario en Azure Digital Twins:

• Durante la creación de la instancia de Azure Digital Twins
• Mediante Azure Identity Management (IAM)

Ambas opciones requieren los mismos permisos.

Requisitos previos: requisitos de permisos

Para poder realizar todos los pasos siguientes, debe tener un rol en la suscripción que tenga los permisos siguientes:

• Crear y administrar recursos de Azure
• Administrar el acceso de los usuarios a los recursos de Azure (incluida la concesión y delegación de permisos)

Los roles comunes que cumplen este requisito son propietario, administrador de cuentas o la combinación de administrador de acceso de usuarios y colaborador. Para obtener una explicación completa de los roles y permisos, incluidos los permisos que se incluyen con otros roles, visite Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripciones clásicas en la documentación de RBAC de Azure.

Para ver el rol de la suscripción, visite la página de suscripciones en Azure Portal (puede usar este vínculo o buscar Suscripciones con la barra de búsqueda del portal). Busque el nombre de la suscripción que usa y vea el rol que tiene en la columna Mi rol:

Si encuentra que el valor es Colaborador u otro rol que no tiene los permisos necesarios descritos anteriormente, puede ponerse en contacto con el usuario en la suscripción que tenga estos permisos (por ejemplo, un propietario de la suscripción o un administrador de la cuenta) y continuar de una de las maneras siguientes:

• Solicite que realicen los pasos de asignación de roles en su nombre.
• Solicite que eleven los privilegios de su rol en la suscripción para que tenga los permisos necesarios para continuar por su cuenta. Que esto sea adecuado depende de la organización y del rol que tenga.

Asignación del rol durante la creación de la instancia

Al crear el recurso de Azure Digital Twins mediante el proceso descrito anteriormente en este artículo, seleccione Asignar rol de propietario de datos de Azure Digital Twins en Conceder acceso al recurso. Esta opción le concederá acceso completo a las API del plano de datos.

Si no tiene permiso para asignar un rol a una identidad, el cuadro aparecerá atenuado.

En ese caso, todavía puede continuar con la creación correcta del recurso de Azure Digital Twins, pero alguien con los permisos adecuados deberá asignarle este rol o a la persona que va a administrar los datos de la instancia.

Asignación del rol mediante Azure Identity Management (IAM)

También puede asignar el rol de propietario de datos de Azure Digital Twins mediante las opciones de control de acceso de Azure Identity Management (IAM).

1. En primer lugar, abra la página de la instancia de Azure Digital Twins en Azure Portal.

2. Seleccione Access Control (IAM) .

3. Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.

4. Asigne el rol Propietario de datos de Azure Digital Twins. Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.

   Configuración	Valor
   Role	Propietario de datos de Azure Digital Twins
   Asignar acceso a	Usuario, grupo o entidad de servicio
   Miembros	Busque el nombre o la dirección de correo electrónico del usuario para realizar la asignación.

   

Comprobación de que la operación se ha completado correctamente

Puede ver la asignación de roles que ha configurado en Control de acceso (IAM) > Asignaciones de roles. El usuario debe aparecer en la lista con el rol Propietario de datos de Azure Digital Twins.

Ahora tiene lista una instancia de Azure Digital Twins y los permisos asignados para administrarla.

Habilitar/deshabilitar una identidad administrada para la instancia

En esta sección se muestra cómo agregar una identidad administrada (asignada por el sistema o por el usuario) a una instancia existente de Azure Digital Twins. También puede usar esta página para deshabilitar la identidad administrada en una instancia que ya la tiene.

Pare empezar, abra Azure Portal en el explorador.

1. Busque el nombre de la instancia en la barra de búsqueda del portal y selecciónela para ver sus detalles.

2. Seleccione Identidad en el menú de la izquierda.

3. Use las pestañas para seleccionar qué tipo de identidad administrada quiere agregar o quitar.

   1. Asignada por el sistema: después de seleccionar esta pestaña, seleccione la opción Activar para activar esta característica o Desactivar para quitarla.

      

      Seleccione el botón Guardar y Sí para confirmar. Una vez activada la identidad asignada por el sistema, se mostrarán más campos en esta página en los que se muestran el Id. de objeto y los Permisos de la nueva identidad (Asignaciones de roles de Azure).

   2. Asignada por el usuario (versión preliminar): después de seleccionar esta pestaña, seleccione Associate a user-assigned managed identity (Asociar una identidad administrada asignada por el usuario) y siga las indicaciones para elegir una identidad a fin de asociarla a la instancia.

      

      O bien, si ya hay una identidad enumerada aquí que quiere deshabilitar, puede activar la casilla situada junto a ella en la lista y Quitarla.

      Una vez agregada una identidad, puede seleccionar su nombre en la lista aquí para abrir sus detalles. En su página de detalles, puede ver su Id. de objeto y usar el menú izquierdo para ver sus Asignaciones de roles de Azure.

Consideraciones para deshabilitar las identidades administradas

Es importante tener en cuenta los efectos que pueden tener los cambios en la identidad o sus roles en los recursos que la usan. Si usa identidades administradas con puntos de conexión de Azure Digital Twins o con el historial de datos y la identidad está deshabilitada, o se ha quitado de un rol necesario, el punto de conexión o la conexión del historial de datos podría dejar de estar accesible y el flujo de eventos se interrumpirá.

Pasos siguientes

Pruebe las llamadas individuales de la API de REST en su instancia mediante los comandos de la CLI de Azure Digital Twins:

• Referencia de az dt
• Conjunto de comandos de la CLI de Azure Digital Twins

O bien consulte cómo conectar una aplicación cliente a la instancia mediante el código de autenticación:

• Escritura de código de autenticación de aplicaciones