Kontrol akses berbasis peran Azure (RBAC) dan Pembaruan Perangkat
Pembaruan Perangkat menggunakan Azure RBAC untuk menyediakan autentikasi dan otorisasi bagi pengguna dan API layanan. Agar pengguna dan aplikasi lain memiliki akses ke Pembaruan Perangkat, pengguna atau aplikasi harus diberikan akses ke sumber daya ini. Anda juga perlu mengonfigurasi akses untuk perwakilan layanan Azure Device Update agar berhasil menyebarkan pembaruan dan mengelola perangkat Anda.
Mengonfigurasi peran kontrol akses
Berikut adalah peran yang didukung oleh Pembaruan Perangkat:
Nama Peran | Deskripsi |
---|---|
Administrator Pembaruan Perangkat | Memiliki akses ke semua sumber daya Pembaruan Perangkat |
Pembaca Pembaruan Perangkat | Dapat melihat semua pembaruan dan penyebaran |
Administrator Konten Pembaruan Perangkat | Dapat menampilkan, mengimpor, dan menghapus pembaruan |
Pembaca Konten Pembaruan Perangkat | Dapat melihat pembaruan |
Administrator Penyebaran Pembaruan Perangkat | Dapat mengelola penyebaran pembaruan ke perangkat |
Pembaca Penyebaran Pembaruan Perangkat | Dapat melihat penyebaran pembaruan ke perangkat |
Kombinasi peran dapat digunakan untuk memberikan tingkat akses yang tepat. Misalnya, pengembang dapat mengimpor dan mengelola pembaruan menggunakan peran Administrator Konten Pembaruan Perangkat, tetapi memerlukan peran Pembaca Penyebaran Pembaruan Perangkat untuk melihat kemajuan pembaruan. Sebaliknya, operator solusi dengan peran Pembaca Pembaruan Perangkat dapat melihat semua pembaruan, tetapi perlu menggunakan peran Admin Penyebaran Pembaruan Perangkat untuk menerapkan pembaruan tertentu ke perangkat.
Mengonfigurasi akses untuk perwakilan layanan Azure Device Update di IoT Hub
Device Update for IoT Hub berkomunikasi dengan IoT Hub untuk penyebaran dan mengelola pembaruan dalam skala besar. Untuk mengaktifkan Pembaruan Perangkat untuk melakukan ini, pengguna perlu mengatur akses Kontributor Data IoT Hub untuk Perwakilan Layanan Pembaruan Perangkat Azure di izin IoT Hub.
Penyebaran, manajemen perangkat, dan pembaruan serta tindakan diagnostik tidak akan diizinkan jika izin ini tidak ditetapkan. Operasi yang akan diblokir akan mencakup:
- Buat penyebaran
- Batalkan Penyebaran
- Coba Lagi Penyebaran
- Mendapatkan perangkat
Izin dapat diatur dari IoT Hub Access Control (IAM). Lihat Mengonfigurasi Akses untuk perwakilan layanan pembaruan Perangkat Azure di hub IoT tertaut
Autentikasi ke REST API Pembaruan Perangkat
Pembaruan Perangkat menggunakan ID Microsoft Entra untuk autentikasi ke REST API-nya. Untuk memulai, Anda perlu membuat dan mengonfigurasi aplikasi klien.
Membuat aplikasi Microsoft Entra klien
Untuk mengintegrasikan aplikasi atau layanan dengan ID Microsoft Entra, pertama-tama daftarkan aplikasi klien dengan ID Microsoft Entra. Penyiapan aplikasi klien dapat bervariasi bergantung pada alur otorisasi yang Anda perlukan (pengguna, aplikasi, atau identitas terkelola). Misalnya, untuk memanggil Pembaruan Perangkat dari:
- Aplikasi seluler atau desktop, tambahkan platform Aplikasi seluler dan desktop dengan
https://login.microsoftonline.com/common/oauth2/nativeclient
untuk URI Pengalihan. - Situs web dengan masuk implisit, tambahkan platform Web dan pilih Token akses (digunakan untuk alur implisit).
Konfigurasikan izin
Selanjutnya, tambahkan izin untuk memanggil Pembaruan Perangkat ke aplikasi Anda:
- Buka halaman izin API aplikasi Anda dan pilih Tambahkan izin.
- Buka API yang digunakan organisasi saya dan cari Pembaruan Perangkat Azure.
- Pilih izin user_impersonation dan pilih Tambahkan izin.
Meminta token otorisasi
REST API Pembaruan Perangkat memerlukan token otorisasi OAuth 2.0 di header permintaan. Bagian berikut menunjukkan beberapa contoh cara untuk meminta token otorisasi.
Menggunakan Azure CLI
az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'
Menggunakan Pustaka MSAL PowerShell
Modul PowerShell MSAL.PS adalah pembungkus Pustaka Autentikasi Microsoft untuk .NET (MSAL .NET). Modul ini mendukung berbagai metode autentikasi.
Menggunakan info masuk pengguna:
$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
Menggunakan info masuk pengguna dengan kode perangkat:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
Menggunakan info masuk aplikasi:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
Dukungan untuk identitas terkelola
Identitas terkelola menyediakan layanan Azure dengan identitas yang dikelola secara otomatis di ID Microsoft Entra dengan cara yang aman. Hal ini menghilangkan kebutuhan bagi pengembang harus mengelola informasi masuk dengan memberikan identitas. Device Update for IoT Hub mendukung identitas terkelola yang ditetapkan sistem.
Identitas terkelola yang ditetapkan sistem
Menambahkan dan menghapus identitas terkelola yang ditetapkan sistem di portal Microsoft Azure:
- Masuk portal Microsoft Azure dan navigasikan ke akun Device Update for IoT Hub yang Anda inginkan.
- Menavigasi ke Identitas di portal Device Update for IoT Hub
- Menavigasi ke Identitas di portal Hub IoT Anda
- Di bawah tab Ditetapkan sistem, pilih Aktifkan dan klik Simpan.
Untuk menghapus identitas terkelola yang ditetapkan sistem dari akun Device Update for IoT hub, pilih Nonaktif dan klik Simpan.