Azure szerepköralapú hozzáférés-vezérlés (RBAC) és eszközfrissítés

  • Cikk

Az Eszközfrissítés az Azure RBAC használatával biztosít hitelesítést és engedélyezést a felhasználók és a szolgáltatás API-k számára. Ahhoz, hogy más felhasználók és alkalmazások hozzáférjenek az eszközfrissítéshez, a felhasználóknak vagy alkalmazásoknak hozzáférést kell biztosítani ehhez az erőforráshoz. Emellett konfigurálnia kell az Azure Device Update szolgáltatásnévhez való hozzáférést a frissítések sikeres üzembe helyezéséhez és az eszközök kezeléséhez.

Hozzáférés-vezérlési szerepkörök konfigurálása

Az eszközfrissítés ezeket a szerepköröket támogatja:

Szerepkör neve Leírás
Eszközfrissítési Rendszergazda istrator Hozzáféréssel rendelkezik az összes eszközfrissítési erőforráshoz
Eszközfrissítési olvasó Megtekintheti az összes frissítést és üzembe helyezést
Eszközfrissítési tartalom Rendszergazda istrator Megtekintheti, importálhatja és törölheti a frissítéseket
Eszközfrissítési tartalomolvasó Megtekintheti a frissítéseket
Eszközfrissítési központi telepítések Rendszergazda istrator Kezelheti az eszközök frissítéseinek üzembe helyezését
Eszközfrissítések központi telepítéseinek olvasója Megtekintheti az eszközök frissítéseinek központi telepítését

A szerepkörök kombinációjával biztosítható a megfelelő hozzáférési szint. A fejlesztők például az Eszközfrissítési tartalom Rendszergazda istrator szerepkörrel importálhatják és kezelhetik a frissítéseket, de a frissítés előrehaladásának megtekintéséhez eszközfrissítési központi telepítési olvasó szerepkörre van szükség. Ezzel szemben az Eszközfrissítés-olvasó szerepkörrel rendelkező megoldás-operátorok megtekinthetik az összes frissítést, de az eszközfrissítési központi telepítések Rendszergazda istrator szerepkörrel kell üzembe helyezniük egy adott frissítést az eszközökön.

Az Azure Device Update szolgáltatásnév hozzáférésének konfigurálása az IoT Hubon

Az IoT Hub eszközfrissítése kommunikál az IoT Hubbal az üzembe helyezéshez és a frissítések nagy léptékű kezeléséhez. Ahhoz, hogy az eszközfrissítés ezt lehetővé tegye, a felhasználóknak be kell állítaniuk az IoT Hub adatszolgáltatói hozzáférését az Azure Device Update szolgáltatásnévhez az IoT Hub engedélyeiben.

Ha ezek az engedélyek nincsenek beállítva, az üzembe helyezés, az eszköz- és frissítéskezelés és a diagnosztikai műveletek nem lesznek engedélyezve. A letiltandó műveletek közé tartoznak a következők:

  • Üzemelő példány létrehozása
  • Üzembe helyezés megszakítása
  • Újrapróbálkozás az üzembe helyezésre
  • Eszköz lekérése

Az engedély az IoT Hub Hozzáférés-vezérlés (IAM) szolgáltatásból állítható be. Tekintse meg az Azure Device Update szolgáltatásnévhez való hozzáférés konfigurálását a csatolt IoT Hubon

Hitelesítés eszközfrissítési REST API-kba

Az eszközfrissítés a Microsoft Entra-azonosítót használja a REST API-k hitelesítéséhez. Első lépésként létre kell hoznia és konfigurálnia kell egy ügyfélalkalmazást.

Ügyfél Microsoft Entra-alkalmazás létrehozása

Ha integrálni szeretne egy alkalmazást vagy szolgáltatást a Microsoft Entra-azonosítóval, először regisztráljon egy ügyfélalkalmazást a Microsoft Entra-azonosítóval. Az ügyfélalkalmazások beállítása a szükséges engedélyezési folyamattól (felhasználóktól, alkalmazásoktól vagy felügyelt identitásoktól) függően változhat. Az Eszközfrissítés meghívása például a következő forrásból:

  • Mobil vagy asztali alkalmazás, mobil- és asztali alkalmazásplatformhttps://login.microsoftonline.com/common/oauth2/nativeclient hozzáadása az átirányítási URI-hoz.
  • Webhely implicit bejelentkezéssel, webes platform hozzáadása és Access-jogkivonatok kiválasztása (implicit folyamatokhoz)

Engedélyek konfigurálása

Ezután adjon hozzá engedélyeket az Eszközfrissítés hívásához az alkalmazáshoz:

  1. Nyissa meg az alkalmazás API-engedélyek lapját, és válassza az Engedély hozzáadása lehetőséget.
  2. Nyissa meg a szervezetem által használt API-kat, és keresse meg az Azure Device Update-et.
  3. Válassza user_impersonation engedélyt, és válassza az Engedélyek hozzáadása lehetőséget.

Engedélyezési jogkivonat kérése

Az Eszközfrissítés REST API-nak OAuth 2.0 engedélyezési jogkivonatra van szüksége a kérés fejlécében. Az alábbi szakaszok néhány példát mutatnak be az engedélyezési jogkivonatok igénylésére.

Az Azure parancssori felület használata

az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'

A PowerShell MSAL-kódtár használata

MSAL.PS PowerShell-modul a Microsoft Authentication Library for .NET (MSAL .NET) burkolója. Különböző hitelesítési módszereket támogat.

Felhasználói hitelesítő adatok használata:

$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope

Felhasználói hitelesítő adatok használata eszközkóddal:

$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode

Alkalmazás hitelesítő adatainak használata:

$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert

Felügyelt identitások támogatása

A felügyelt identitások biztonságos módon biztosítják az Azure-szolgáltatásokat egy automatikusan felügyelt identitással a Microsoft Entra-azonosítóban. Ez szükségtelenné teszi, hogy a fejlesztők identitással kezeljék a hitelesítő adatokat. Az IoT Hub eszközfrissítése támogatja a rendszer által hozzárendelt felügyelt identitásokat.

Rendszer által hozzárendelt felügyelt identitás

Rendszer által hozzárendelt felügyelt identitás hozzáadása és eltávolítása az Azure Portalon:

  1. Jelentkezzen be az Azure Portalra, és keresse meg a kívánt IoT Hub-eszközfrissítési fiókot.
  2. Navigáljon az identitáshoz az IoT Hub eszközfrissítési portálján
  3. Navigáljon az Identitáshoz az IoT Hub portálon
  4. A Rendszer által hozzárendelt lapon válassza a Be elemet, majd kattintson a Mentés gombra.

Ha el szeretné távolítani a rendszer által hozzárendelt felügyelt identitást egy IoT Hub-fiók eszközfrissítéséből, válassza a Ki elemet, majd kattintson a Mentés gombra.

Következő lépések