Configurer une instance Azure Digital Twins et l’authentification (portail)
Cet article explique comment configurer une nouvelle instance Azure Digital Twins, notamment la création de l’instance et la configuration de l’authentification. À l’issue de cet article, vous aurez une instance Azure Digital Twins prête pour la programmation.
Cette version de cet article suit ces étapes manuellement, une par une, à l’aide du portail Azure. Le portail Azure est une console web unifiée qui offre une alternative aux outils en ligne de commande.
La configuration complète d’une nouvelle instance Azure Digital Twins se déroule en deux phases :
- Création de l’instance
- Configuration d’autorisations d’accès utilisateur : les utilisateurs Azure doivent avoir le rôle Propriétaire de données Azure Digital Twins sur l’instance Azure Digital Twins pour pouvoir gérer celle-ci et ses données. Au cours de cette étape, en tant que Propriétaire/Administrateur de l’abonnement Azure, vous allez attribuer ce rôle à la personne qui doit gérer votre instance Azure Digital Twins. Il peut s’agir de vous-même ou d’une autre personne au sein de votre organisation.
Important
Pour terminer cet article et configurer complètement une instance utilisable, vous devez disposer des autorisations nécessaires pour gérer les ressources et l’accès utilisateur sur l’abonnement Azure. La première étape peut être effectuée par toute personne capable de créer des ressources sur l’abonnement, mais la deuxième étape nécessite des autorisations de gestion des accès utilisateur (ou la collaboration d’une personne disposant de ces autorisations). Pour en savoir plus sur l’étape concernant les autorisations d’accès utilisateur, consultez la section sur les autorisations nécessaires comme prérequis.
Créer l’instance Azure Digital Twins
Dans cette section, vous allez créer une nouvelle instance d’Azure Digital Twins à l’aide du portail Azure. Accédez au portail et connectez-vous avec vos informations d’identification.
Une fois dans le portail, commencez par sélectionner Créer une ressource dans le menu de la page d’accueil des services Azure.
Tapez azure digital twins dans la zone de recherche, puis choisissez le service Azure Digital Twins dans les résultats.
Laissez le champ Plan défini sur Azure Digital Twins et sélectionnez le bouton Créer pour une nouvelle instance du service.
Sur la page Créer une ressource, renseignez les valeurs ci-dessous :
- Abonnement : Abonnement Azure que vous utilisez
- Groupe de ressources : Groupe de ressources dans lequel déployer l’instance. Si vous n’avez pas de groupe de ressources existant à l’esprit, vous pouvez en créer un ici en sélectionnant le lien Créer et en entrant un nom pour le nouveau groupe de ressources.
- Emplacement : Région prenant en charge Azure Digital Twins pour le déploiement. Pour plus d’informations sur la prise en charge régionale, visitez Produits Azure disponibles par région (Azure Digital Twins) .
- Nom de la ressource : Nom de votre instance Azure Digital Twins. Si votre abonnement a une autre instance Azure Digital Twins dans la région qui utilise déjà le nom spécifié, vous êtes invité à choisir un autre nom.
- Accorder l’accès à la ressource : Cochez la case de cette section pour autoriser votre compte Azure à accéder aux données de l’instance et à les gérer. Si vous êtes la personne qui gérera l’instance, vous devez cocher cette case maintenant. Si elle est grisée parce que vous n’avez pas l’autorisation dans l’abonnement, vous pouvez continuer à créer la ressource et demander ultérieurement à une personne ayant les autorisations requises de vous accorder le rôle. Pour plus d’informations sur ce rôle et l’attribution de rôles à votre instance, consultez la section suivante : Configurer les autorisations d’accès utilisateur.
- Abonnement : Abonnement Azure que vous utilisez
Lorsque vous avez terminé, vous pouvez sélectionner Vérifier + créer si vous ne souhaitez pas configurer d’autres paramètres pour votre instance. Ainsi, une page de résumé s’affiche, dans laquelle vous pouvez consulter les détails de l’instance que vous avez entrés, avant d’appuyer sur Créer.
Si vous ne souhaitez pas configurer d’autres détails pour votre instance, la section suivante décrit les autres onglets d’installation.
Options d’installation supplémentaires
Voici les options supplémentaires que vous pouvez configurer lors de l’installation en utilisant les autres onglets du processus Créer une ressource.
- Réseau : Dans cet onglet, vous pouvez activer des points de terminaison privés avec Azure Private Link afin d’éliminer l’exposition au réseau public pour votre instance. Pour obtenir des instructions, consultez Activer l’accès privé avec Private Link.
- Avancé : Dans cet onglet, vous pouvez activer une identité managée affectée par le système pour votre instance. Lorsque cette option est activée, Azure crée automatiquement une identité pour l’instance dans Microsoft Entra ID, qui peut être utilisée pour s’authentifier auprès d’autres services. Vous pouvez activer cette identité managée affectée par le système pendant que vous créez l’instance ici ou ultérieurement sur une instance existante. Si vous souhaitez activer une identité managée affectée par l’utilisateur à la place, vous devez le faire ultérieurement sur une instance existante.
- Étiquettes : Dans cet onglet, vous pouvez ajouter des balises à votre instance pour vous aider à les organiser parmi vos ressources Azure. Pour plus d’informations sur les balises de ressources Azure, consultez Baliser les ressources, les groupes de ressources et les abonnements pour l’organisation logique.
Vérifier la réussite de l’exécution et collecter les valeurs importantes
Après avoir terminé la configuration de votre instance et appuyé sur Créer, vous pouvez afficher l’état du déploiement de votre instance dans vos notifications Azure le long de la barre d’icônes du portail. La notification indiquera quand le déploiement a réussi, et vous pourrez alors sélectionner le bouton Accéder à la ressource pour afficher votre instance créée.
Si le déploiement échoue, la notification indique pourquoi. Lisez le conseil du message d’erreur, puis réessayez de créer l’instance.
Conseil
Une fois votre instance créée, vous pouvez revenir à sa page à tout moment en recherchant son nom dans la barre de recherche du portail Azure.
À partir de la page Vue d’ensemble de l’instance, notez son Nom, son Groupe de ressources et son Nom d’hôte. Il s’agit de toutes les valeurs importantes que vous pouvez utiliser quand vous continuez à travailler avec votre instance d’Azure Digital Twins. Si d’autres utilisateurs doivent programmer pour l’instance, vous devez partager ces valeurs avec eux.
Vous disposez maintenant d’une instance Azure Digital Twins opérationnelle. Ensuite, vous allez accorder les autorisations utilisateur Azure appropriées pour la gérer.
Configurer les autorisations d’accès utilisateur
Azure Digital Twins utilise Microsoft Entra ID pour le contrôle d’accès en fonction du rôle (RBAC). Cela signifie qu’avant qu’un utilisateur puisse effectuer des appels de plan de données à votre instance Azure Digital Twins, il doit se voir attribuer un rôle disposant des autorisations appropriées.
Pour Azure Digital Twins, ce rôle est Propriétaire de données Azure Digital Twins. Vous pouvez en savoir plus sur les rôles et la sécurité dans Sécurité pour les solutions Azure Digital Twins.
Remarque
Ce rôle diffère du rôle Microsoft Entra ID Propriétaire qui peut également être attribué à l’étendue de l’instance Azure Digital Twins. Il s’agit de deux rôles de gestion distincts. Le rôle Propriétaire n’octroie pas d’accès aux fonctionnalités de plan de données qui sont accordées avec le rôle Propriétaire de données Azure Digital Twins.
Cette section montre comment créer une attribution de rôle pour un utilisateur dans votre instance Azure Digital Twins, en utilisant l’adresse e-mail de cet utilisateur dans le locataire Microsoft Entra ID sur votre abonnement Azure. Selon votre rôle dans votre organisation, vous pouvez configurer cette autorisation pour vous-même ou pour le compte d’une autre personne appelée à gérer l’instance Azure Digital Twins.
Il existe deux façons de créer une attribution de rôle pour un utilisateur dans Azure Digital Twins :
- Lors de la création d’une instance Azure Digital Twins
- En utilisant la gestion des identités et des accès Azure (IAM)
Ces deux méthodes requièrent les mêmes autorisations.
Configuration requise : Spécifications relatives aux autorisations
Pour être en mesure d’effectuer toutes les étapes qui suivent, vous devez disposer d’un rôle dans votre abonnement qui dispose des autorisations suivantes :
- Créer et gérer des ressources Azure
- Gérer l’accès des utilisateurs aux ressources Azure (y compris l’octroi et la délégation des autorisations)
Les rôles communs qui répondent à cette exigence sont Propriétaire, Administrateur de compte ou la combinaison des rôles Administrateur de l’accès utilisateur et Contributeur. Pour obtenir une explication complète des rôles et des autorisations, notamment les autorisations qui sont incluses avec d’autres rôles, consultez Rôles Azure, rôles Microsoft Entra ID et rôles d’administrateur d’abonnement classique dans la documentation Azure RBAC.
Pour consulter votre rôle dans l’abonnement, accédez à la page Abonnements du portail Azure (vous pouvez utiliser ce lien ou rechercher Abonnements dans la barre de recherche du portail). Recherchez le nom de l’abonnement que vous utilisez et affichez votre rôle dans la colonne Mon rôle :
Si vous constatez que la valeur est Contributeurou un autre rôle qui ne dispose pas des autorisations requises décrites ci-dessus, vous pouvez contacter l’utilisateur de votre abonnement qui en dispose (par exemple, le propriétaire de l’abonnement ou l’administrateur du compte) et procéder de l’une des façons suivantes :
- Demandez-leur d’effectuer les étapes d’attribution de rôle en votre nom.
- Demandez qu’il élève votre rôle sur l’abonnement pour que vous disposiez des autorisations nécessaires pour continuer la procédure. Le fait que cela soit approprié dépend de votre organisation et de votre rôle au sein de celle-ci.
Attribuer le rôle lors de la création de l’instance
Lors de la création de votre ressource Azure Digital Twins via le processus décrit plus haut dans cet article, sélectionnez l’option Attribuer le rôle Propriétaire des données Azure Digital Twins sous Accorder l’accès à la ressource. Vous obtiendrez ainsi un accès complet aux API du plan de données.
Si vous n’avez pas l’autorisation d’attribuer un rôle à une identité, la case apparaît grisée.
Dans ce cas, vous pouvez toujours continuer à créer la ressource Azure Digital Twins, mais une personne ayant les autorisations appropriées devra vous attribuer ce rôle ou l’attribuer à la personne qui gérera les données de l’instance.
Attribuer le rôle en utilisant la gestion des identités et des accès Azure (IAM)
Vous pouvez également attribuer le rôle Propriétaire des données Azure Digital Twins à l’aide des options de contrôle d’accès dans la gestion des identités et des accès Azure (IAM).
Commencez par ouvrir la page de votre instance Azure Digital Twins dans le portail Azure.
Sélectionnez Contrôle d’accès (IAM) .
Sélectionnez Ajouter>Ajouter une attribution de rôle pour ouvrir la page Ajouter une attribution de rôle.
Attribuez le rôle Propriétaires des données Azure Digital Twins. Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.
Paramètre Valeur Role Propriétaire des données Azure Digital Twins Attribuer l’accès à Utilisateur, groupe ou principal de service Membres Recherchez le nom ou l’adresse e-mail de l’utilisateur à attribuer.
Vérifier la réussite de l’exécution
Vous pouvez afficher l’attribution de rôle que vous avez configurée sous Contrôle d’accès (IAM) > Attributions de rôle. L’utilisateur doit s’afficher dans la liste avec le rôle Propriétaire des données Azure Digital Twins.
Vous disposez maintenant d’une instance Azure Digital Twins prête à l’emploi et des autorisations pour la gérer.
Activer/désactiver une identité managée pour l’instance
Cette section vous montre comment ajouter une identité managée (affectée soit par le système, soit par l’utilisateur) à une instance Azure Digital Twins existante. Vous pouvez également utiliser cette page pour désactiver l’identité managée sur une instance qui l’a déjà.
Commencez par ouvrir le portail Azure dans le navigateur.
Recherchez le nom de votre instance dans la barre de recherche du portail, puis sélectionnez-le pour afficher plus de détails.
Sélectionnez Identité dans le menu de gauche.
Utilisez les onglets pour sélectionner le type d’identité managée que vous souhaitez ajouter ou supprimer.
Affecté par le système : après avoir sélectionné cet onglet, sélectionnez l’option Activé pour activer cette fonctionnalité ou Désactivé pour la supprimer.
Sélectionnez le bouton Enregistrer, puis Oui pour confirmer. Une fois l’identité affectée par le système activée, d’autres champs s’affichent sur cette page montrant l’ID d’objet et les autorisations de la nouvelle identité (attributions de rôle Azure).
Affecté par l’utilisateur (préversion) : après avoir sélectionné cet onglet, sélectionnez Associer une identité managée affectée par l’utilisateur et suivez les invites pour choisir une identité à associer à l’instance.
Ou, si une identité que vous souhaitez désactiver est déjà répertoriée ici, vous pouvez cocher la case en regard de celle-ci dans la liste et la supprimer.
Une fois qu’une identité a été ajoutée, vous pouvez sélectionner son nom dans la liste ici pour ouvrir ses détails. À partir de sa page de détails, vous pouvez afficher son ID d’objet et utiliser le menu de gauche pour afficher ses attributions de rôle Azure.
Considérations relatives à la désactivation d’identités managées
Il est important de prendre en compte les effets que toute modification apportée à l’identité ou à ses rôles peut avoir sur les ressources qui l’utilisent. Si vous utilisez des identités managées avec vos points de terminaison Azure Digital Twins ou pour l’historique des données et que l’identité est désactivée, ou si un rôle nécessaire est supprimé de celle-ci, le point de terminaison ou la connexion à l’historique des données peut devenir inaccessible et le flux d’événements sera interrompu.
Étapes suivantes
Testez les appels d’API REST individuels sur votre instance à l’aide des commandes CLI d’Azure Digital Twins :
Vous pouvez également découvrir comment connecter une application cliente à votre instance avec un code d’authentification :