Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencobamasuk ataumengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencobamengubah direktori.
Aplikasi IoT Central memungkinkan Anda memantau dan mengelola perangkat, memungkinkan Anda mengevaluasi skenario IoT dengan cepat. Panduan ini ditujukan untuk administrator yang mengelola keamanan di aplikasi IoT Central.
Di IoT Central, Anda dapat mengonfigurasi dan mengelola keamanan di area berikut:
- Akses pengguna ke aplikasi Anda.
- Akses perangkat ke aplikasi Anda.
- Akses terprogram ke aplikasi Anda.
- Autentikasi ke layanan lain dari aplikasi Anda.
- Gunakan jaringan virtual yang aman.
- Log audit melacak aktivitas dalam aplikasi.
Mengelola akses pengguna
Setiap pengguna harus memiliki akun pengguna sebelum mereka dapat masuk dan mengakses aplikasi IoT Central. IoT Central saat ini mendukung akun Microsoft dan akun Microsoft Entra, tetapi bukan grup Microsoft Entra.
Peran memungkinkan Anda mengontrol siapa di dalam organisasi Anda yang diizinkan untuk melakukan berbagai tugas di IoT Central. Setiap peran memiliki sekumpulan izin tertentu yang menentukan apa yang dapat dilihat dan dilakukan pengguna dalam peran dalam aplikasi. Ada tiga peran bawaan yang dapat Anda tetapkan untuk pengguna aplikasi Anda. Anda juga dapat membuat peran kustom dengan izin tertentu jika Anda memerlukan kontrol yang lebih halus.
Organisasi memungkinkan Anda menentukan hierarki yang Anda gunakan untuk mengelola pengguna mana yang dapat melihat perangkat mana di aplikasi IoT Central Anda. Peran pengguna menentukan izin mereka atas perangkat yang mereka lihat, dan pengalaman yang dapat mereka akses. Gunakan entitas organisasi untuk menerapkan aplikasi dengan arsitektur multi-penyewa.
Untuk mempelajari selengkapnya, lihat:
- Mengelola pengguna dan peran di aplikasi IoT Central Anda
- Mengelola organisasi IoT Central
- Cara menggunakan REST API IoT Central untuk mengelola pengguna dan peran
- Cara menggunakan REST API IoT Central untuk mengelola organisasi
Mengelola akses perangkat
Perangkat mengautentikasi dengan aplikasi IoT Central dengan menggunakan token tanda tangan akses bersama (SAS) atau sertifikat X.509. Sertifikat X.509 direkomendasikan di lingkungan produksi.
Di IoT Central, Anda menggunakan grup koneksi perangkat untuk mengelola opsi autentikasi perangkat di aplikasi IoT Central Anda.
Untuk mempelajari selengkapnya, lihat:
- Konsep autentikasi perangkat di IoT Central
- Cara menyambungkan perangkat dengan sertifikat X.509 ke Aplikasi IoT Central
Kontrol jaringan untuk akses perangkat
Secara default, perangkat terhubung ke IoT Central melalui internet publik. Untuk keamanan lebih lanjut, sambungkan perangkat Anda ke aplikasi IoT Central Anda dengan menggunakan titik akhir privat di Azure Virtual Network.
Titik akhir privat menggunakan alamat IP privat dari ruang alamat jaringan virtual untuk menghubungkan perangkat Anda secara privat ke aplikasi IoT Central Anda. Lalu lintas jaringan antara perangkat di jaringan virtual dan platform IoT melintasi jaringan virtual dan tautan privat di jaringan backbone Microsoft, menghilangkan paparan di internet publik.
Untuk mempelajari selengkapnya, lihat Keamanan jaringan untuk IoT Central menggunakan titik akhir privat.
Mengelola akses terprogram
REST API IoT Central memungkinkan Anda mengembangkan aplikasi klien yang terintegrasi dengan aplikasi IoT Central. Gunakan REST API untuk bekerja dengan sumber daya di aplikasi IoT Central Anda seperti templat perangkat, perangkat, pekerjaan, pengguna, dan peran.
Setiap panggilan REST API IoT Central memerlukan header otorisasi yang digunakan IoT Central untuk menentukan identitas pemanggil dan izin yang diberikan pemanggil dalam aplikasi.
Untuk mengakses aplikasi IoT Central menggunakan REST API, Anda dapat menggunakan:
- Token pembawa Microsoft Entra. Token pembawa dikaitkan dengan akun pengguna Microsoft Entra atau perwakilan layanan. Token memberi penelepon izin yang sama dengan yang dimiliki pengguna atau perwakilan layanan di aplikasi IoT Central.
- Token IoT Central API Token API dikaitkan dengan peran dalam aplikasi IoT Central Anda.
Untuk mempelajari lebih lanjut, lihat Cara mengautentikasi dan mengotorisasi panggilan REST API IoT Central.
Mengautentikasi ke layanan lain
Saat mengonfigurasi ekspor data berkelanjutan dari aplikasi IoT Central Anda ke penyimpanan Azure Blob, Azure Service Bus, atau Azure Event Hubs, Anda dapat menggunakan string koneksi atau identitas terkelola untuk mengautentikasi. Saat mengonfigurasi ekspor data berkelanjutan dari aplikasi IoT Central ke Azure Data Explorer, Anda dapat menggunakan perwakilan layanan atau identitas terkelola untuk mengautentikasi.
Identitas terkelola lebih aman karena:
- Anda tidak menyimpan kredensial untuk sumber daya Anda dalam string koneksi di aplikasi IoT Central Anda.
- Kredensial secara otomatis terkait dengan masa pakai aplikasi IoT Central Anda.
- Identitas terkelola secara otomatis memutar kunci keamanan mereka secara teratur.
Untuk mempelajari selengkapnya, lihat:
Menyambungkan ke tujuan pada jaringan virtual yang aman
Ekspor data di IoT Central memungkinkan Anda terus mengalirkan data perangkat ke tujuan seperti Azure Blob Storage, Azure Event Hubs, Azure Service Bus Messaging. Anda dapat memilih untuk mengunci tujuan ini dengan menggunakan Azure Virtual Network dan titik akhir privat. Untuk mengaktifkan IoT Central agar tersambung ke tujuan pada jaringan virtual yang aman, konfigurasikan pengecualian firewall. Untuk mempelajari selengkapnya, lihat Mengekspor data ke tujuan aman di Azure Virtual Network.
Catatan audit
Log audit memungkinkan administrator melacak aktivitas dalam aplikasi IoT Central Anda. Administrator dapat melihat siapa yang membuat perubahan apa pada jam berapa. Untuk mempelajari lebih lanjut, lihat Menggunakan log audit untuk melacak aktivitas di aplikasi IoT Central Anda.
Langkah selanjutnya
Sekarang setelah Anda mempelajari tentang keamanan di aplikasi Azure IoT Central Anda, langkah selanjutnya yang disarankan adalah mempelajari cara mengelola pengguna dan peran di aplikasi IoT Central Anda.