Kontrol akses berbasis peran Azure (RBAC) dan Pembaruan Perangkat

Pembaruan Perangkat menggunakan Azure RBAC untuk menyediakan autentikasi dan otorisasi bagi pengguna dan API layanan. Agar pengguna dan aplikasi lain memiliki akses ke Pembaruan Perangkat, pengguna atau aplikasi harus diberikan akses ke sumber daya ini. Anda juga perlu mengonfigurasi akses untuk perwakilan layanan Azure Device Update agar berhasil menyebarkan pembaruan dan mengelola perangkat Anda.

Mengonfigurasi peran kontrol akses

Berikut adalah peran yang didukung oleh Pembaruan Perangkat:

Nama Peran Deskripsi
Administrator Pembaruan Perangkat Memiliki akses ke semua sumber daya Pembaruan Perangkat
Pembaca Pembaruan Perangkat Dapat melihat semua pembaruan dan penyebaran
Administrator Konten Pembaruan Perangkat Dapat menampilkan, mengimpor, dan menghapus pembaruan
Pembaca Konten Pembaruan Perangkat Dapat melihat pembaruan
Administrator Penyebaran Pembaruan Perangkat Dapat mengelola penyebaran pembaruan ke perangkat
Pembaca Penyebaran Pembaruan Perangkat Dapat melihat penyebaran pembaruan ke perangkat

Kombinasi peran dapat digunakan untuk memberikan tingkat akses yang tepat. Misalnya, pengembang dapat mengimpor dan mengelola pembaruan menggunakan peran Administrator Konten Pembaruan Perangkat, tetapi memerlukan peran Pembaca Penyebaran Pembaruan Perangkat untuk melihat kemajuan pembaruan. Sebaliknya, operator solusi dengan peran Pembaca Pembaruan Perangkat dapat melihat semua pembaruan, tetapi perlu menggunakan peran Admin Penyebaran Pembaruan Perangkat untuk menerapkan pembaruan tertentu ke perangkat.

Mengonfigurasi akses untuk perwakilan layanan Azure Device Update di IoT Hub

Device Update for IoT Hub berkomunikasi dengan IoT Hub untuk penyebaran dan mengelola pembaruan dalam skala besar. Untuk mengaktifkan Pembaruan Perangkat untuk melakukan ini, pengguna perlu mengatur akses Kontributor Data IoT Hub untuk Perwakilan Layanan Pembaruan Perangkat Azure di izin IoT Hub.

Penyebaran, manajemen perangkat, dan pembaruan serta tindakan diagnostik tidak akan diizinkan jika izin ini tidak ditetapkan. Operasi yang akan diblokir akan mencakup:

  • Buat penyebaran
  • Batalkan Penyebaran
  • Coba Lagi Penyebaran
  • Mendapatkan perangkat

Izin dapat diatur dari IoT Hub Access Control (IAM). Lihat Mengonfigurasi Akses untuk perwakilan layanan pembaruan Perangkat Azure di hub IoT tertaut

Autentikasi ke REST API Pembaruan Perangkat

Pembaruan Perangkat menggunakan ID Microsoft Entra untuk autentikasi ke REST API-nya. Untuk memulai, Anda perlu membuat dan mengonfigurasi aplikasi klien.

Membuat aplikasi Microsoft Entra klien

Untuk mengintegrasikan aplikasi atau layanan dengan ID Microsoft Entra, pertama-tama daftarkan aplikasi klien dengan ID Microsoft Entra. Penyiapan aplikasi klien dapat bervariasi bergantung pada alur otorisasi yang Anda perlukan (pengguna, aplikasi, atau identitas terkelola). Misalnya, untuk memanggil Pembaruan Perangkat dari:

  • Aplikasi seluler atau desktop, tambahkan platform Aplikasi seluler dan desktop dengan https://login.microsoftonline.com/common/oauth2/nativeclient untuk URI Pengalihan.
  • Situs web dengan masuk implisit, tambahkan platform Web dan pilih Token akses (digunakan untuk alur implisit).

Konfigurasikan izin

Selanjutnya, tambahkan izin untuk memanggil Pembaruan Perangkat ke aplikasi Anda:

  1. Buka halaman izin API aplikasi Anda dan pilih Tambahkan izin.
  2. Buka API yang digunakan organisasi saya dan cari Pembaruan Perangkat Azure.
  3. Pilih izin user_impersonation dan pilih Tambahkan izin.

Meminta token otorisasi

REST API Pembaruan Perangkat memerlukan token otorisasi OAuth 2.0 di header permintaan. Bagian berikut menunjukkan beberapa contoh cara untuk meminta token otorisasi.

Menggunakan Azure CLI

az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'

Menggunakan Pustaka MSAL PowerShell

Modul PowerShell MSAL.PS adalah pembungkus Pustaka Autentikasi Microsoft untuk .NET (MSAL .NET). Modul ini mendukung berbagai metode autentikasi.

Menggunakan info masuk pengguna:

$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope

Menggunakan info masuk pengguna dengan kode perangkat:

$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode

Menggunakan info masuk aplikasi:

$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert

Dukungan untuk identitas terkelola

Identitas terkelola menyediakan layanan Azure dengan identitas yang dikelola secara otomatis di ID Microsoft Entra dengan cara yang aman. Hal ini menghilangkan kebutuhan bagi pengembang harus mengelola informasi masuk dengan memberikan identitas. Device Update for IoT Hub mendukung identitas terkelola yang ditetapkan sistem.

Identitas terkelola yang ditetapkan sistem

Menambahkan dan menghapus identitas terkelola yang ditetapkan sistem di portal Microsoft Azure:

  1. Masuk portal Microsoft Azure dan navigasikan ke akun Device Update for IoT Hub yang Anda inginkan.
  2. Menavigasi ke Identitas di portal Device Update for IoT Hub
  3. Menavigasi ke Identitas di portal Hub IoT Anda
  4. Di bawah tab Ditetapkan sistem, pilih Aktifkan dan klik Simpan.

Untuk menghapus identitas terkelola yang ditetapkan sistem dari akun Device Update for IoT hub, pilih Nonaktif dan klik Simpan.

Langkah berikutnya