Partager via

Stocker et utiliser vos propres clés de licence

  • Article

Azure Data Manager for Agriculture prend en charge une plage de connecteurs d’entrée de données afin de centraliser vos comptes fragmentés. Ces connexions nécessitent que le client remplisse ses informations d’identification dans un modèle BYOL (apportez votre propre licence) afin que le gestionnaire de données puisse récupérer des données pour le compte du client.

Remarque

Microsoft Azure Data Manager for Agriculture est actuellement en préversion. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités en version bêta, en préversion ou plus généralement pas encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Microsoft Azure Data Manager for Agriculture nécessite une inscription et n’est disponible que pour les clients et partenaires approuvés pendant la période de préversion. Pour demander l’accès à Microsoft Data Manager for Agriculture pendant la période de préversion, utilisez ce formulaire.

Prérequis

Pour utiliser BYOL, vous avez besoin d’un abonnement Azure. Si vous n’avez pas d’abonnement, vous pouvez créer un compte gratuit avant de commencer.

Vue d’ensemble

Dans le modèle BYOL, vous êtes chargé de fournir vos propres licences pour les connecteurs de données satellite et météorologiques. Dans ce modèle, vous stockez la partie secrète des informations d’identification dans une instance Azure Key Vault gérée par le client. L’URI du secret doit être partagé avec l’instance Azure Data Manager for Agriculture. L’instance Azure Data Manager for Agriculture doit recevoir des autorisations de lecture de secrets afin que les API puissent fonctionner en toute transparence. Ce processus est une configuration unique pour chaque connecteur. Notre instance Data Manager fait ensuite référence au secret du coffre de clés des clients et le lit dans le cadre de l’appel d’API sans exposition du secret.

Diagramme de flux montrant la création et le partage d’informations d’identification. Capture d’écran montrant le flux de partage d’informations d’identification.

Le client peut éventuellement remplacer les informations d’identification à utiliser pour une demande de plan de données en fournissant des informations d’identification dans le cadre de la demande d’API du plan de données.

Séquence d’étapes pour configurer des connecteurs

Étape 1 : Créer ou utiliser un coffre de clés existant

Les clients peuvent créer un coffre de clés ou utiliser un coffre de clés existant pour partager des informations d’identification de licence pour satellite (Sentinel Hub) et la météo (IBM Weather). Le client crée Azure Key Vault ou réutilise un coffre de clés existant.

Activez les propriétés suivantes :

Capture d’écran montrant les propriétés du coffre de clés.

Data Manager for Agriculture est un service approuvé Microsoft qui prend en charge les coffres de clés de réseau privé en plus des coffres de clés disponibles publiquement. Si vous placez votre coffre de clés derrière un réseau virtuel, vous devez sélectionner l’option “Allow trusted Microsoft services to bypass this firewall."

Capture d’écran montrant l’accès au coffre de clés.

Étape 2 : Stocker un secret dans Azure Key Vault

Pour partager vos informations d’identification de service satellite ou météorologique, stockez la partie secrète des informations d’identification dans le coffre de clés, par exemple ClientSecret pour SatelliteSentinelHub et APIKey pour WeatherIBM. Les clients contrôlent le nom et la rotation des secrets.

Consultez cette aide pour stocker et récupérer votre secret à partir du coffre.

Capture d’écran montrant le stockage de valeurs de clé.

Étape 3 : Activer l’identité système

En tant que client, vous devez activer l’identité système pour votre instance Data Manager for Agriculture. Cette identité est utilisée lorsqu’elle dispose des autorisations de lecture de secrets pour l’instance Azure Data Manager for Agriculture.

Suivez l’une des méthodes ci-dessous pour activer l’identité système :

  1. Via l’interface utilisateur du portail Azure

    Capture d’écran montrant l’utilisation de l’interface utilisateur pour activer la clé.

  2. Par Azure CLI

    az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"

Étape 4 : Stratégie d’accès

Ajoutez une stratégie d’accès dans le coffre de clés pour votre instance Data Manager for Agriculture.

  1. Accédez à l’onglet des stratégies d’accès dans le coffre de clés.

    Capture d’écran montrant la sélection de la stratégie d’accès.

  2. Choisissez les autorisations de secret GET et LIST.

    Capture d’écran montrant la sélection d’autorisations.

  3. Sélectionnez l’onglet suivant, sélectionnez le nom de l’instance Data Manager for Agriculture, puis sélectionnez l’onglet Vérifier + créer pour créer la stratégie d’accès.

    Capture d’écran montrant l’onglet de création et de vérification de la sélection.

Étape 5 : Appeler l’appel d’API du plan de contrôle

Utilisez l’appel d’API pour spécifier les informations d’identification du connecteur. Vous trouverez l’URI du coffre de clés/le nom de la clé/la version de la clé après avoir créé un secret, comme illustré dans la figure suivante.

Remarque

Pour effectuer des appels de plan de contrôle, vous avez besoin d’un accès propriétaire sur l’étendue des ressources ADMA.

Capture d’écran montrant où figurent le nom et la version de la clé.

Les valeurs suivantes doivent être utilisées pour les connecteurs lors de l’appel des API ci-dessus :

Scénario DataConnectorName Informations d'identification
Pour le connecteur Satellite SentinelHub SatelliteSentinelHub OAuthClientCredentials
Pour le connecteur Weather IBM WeatherIBM ApiKeyAuthCredentials

Remplacement des détails du connecteur

Dans le cadre des API du plan de données, le client peut choisir de remplacer les détails du connecteur à utiliser pour cette demande.

Le client peut consulter la documentation sur l’API version 2023-06-01-preview, où les API de plan de données pour satellite et météo utilisent les informations d’identification dans le corps de la requête.

Comment Azure Data Manager for Agriculture accède au secret

Le flux ci-dessous montre comment Azure Data Manager for Agriculture accède au secret. Capture d’écran montrant comment Data Manager accède aux informations d’identification.

Si vous désactivez puis réactivez l’identité système, vous devez supprimer la stratégie d’accès dans le coffre de clés et l’ajouter à nouveau.

Conclusion

Vous pouvez utiliser vos clés de licence en toute sécurité en stockant vos secrets dans Azure Key Vault, en activant l’identité système et en fournissant un accès en lecture à notre Data Manager. Les solutions ISV disponibles avec notre instance Data Manager utilisent également ces informations d’identification.

Vous pouvez utiliser nos API de plan de données et référencer les clés de licence dans votre coffre de clés. Vous pouvez également choisir de remplacer dynamiquement les informations d’identification de licence par défaut dans nos appels d’API de plan de données. Notre instance Data Manager effectue des validations de base ; elle vérifie notamment si elle peut accéder au secret spécifié dans l’objet d’informations d’identification.

Étapes suivantes

  • Testez nos API ici.