Kontrol akses berbasis peran di Azure Digital Twins
Penting
Versi baru layanan Azure Digital Twins telah dirilis. Mengingat kemampuan layanan baru yang diperluas, layanan Azure Digital Twins asli (dijelaskan dalam kumpulan dokumentasi ini) telah dihentikan.
Untuk melihat dokumentasi layanan baru, kunjungi Dokumentasi Azure Digital Twins aktif.
Azure Digital Twins memungkinkan kontrol akses yang tepat atas data, sumber daya, dan tindakan tertentu dalam grafik spasial Anda. Hal ini dilakukan melalui peran terperinci dan manajemen izin yang disebut kontrol akses berbasis peran (RBAC). RBAC terdiri dari peran dan penetapan peran. Peran mengidentifikasi tingkat izin. Penetapan peran mengaitkan peran dengan pengguna atau perangkat.
Dengan menggunakan RBAC, izin dapat diberikan kepada:
- Pengguna.
- Perangkat.
- perwakilan layanan.
- Fungsi yang ditentukan pengguna.
- Semua pengguna yang termasuk dalam domain.
- Penyewa.
Tingkat akses juga dapat disempurnakan.
RBAC unik karena izin diwariskan ke grafik spasial.
Apa yang bisa saya lakukan dengan RBAC?
Pengembang mungkin menggunakan RBAC untuk:
- Memberi pengguna kemampuan untuk mengelola perangkat untuk seluruh bangunan, atau hanya untuk ruangan atau lantai tertentu.
- Berikan akses global administrator ke semua simpul grafik spasial untuk seluruh grafik, atau hanya untuk bagian grafik.
- Berikan akses baca spesialis dukungan ke grafik, kecuali untuk kunci akses.
- Berikan setiap anggota domain akses baca ke semua objek grafik.
Praktik terbaik RBAC
Kontrol akses berbasis peran adalah strategi keamanan berbasis pewarisan untuk mengelola akses, izin, dan peran. Peran keturunan mewarisi izin dari peran induk. Izin juga dapat ditetapkan tanpa diwarisi dari peran induk. Mereka juga dapat ditetapkan untuk menyesuaikan peran sesuai kebutuhan.
Misalnya, Administrator Ruang mungkin memerlukan akses global untuk menjalankan semua operasi untuk ruang tertentu. Akses mencakup semua simpul di bawah atau di dalam ruang. Alat Penginstal Perangkat mungkin hanya memerlukan izin baca dan perbarui untuk perangkat dan sensor.
Dalam setiap kasus, peran diberikan dengan tepat dan tidak lebih dari akses yang diperlukan untuk memenuhi tugas mereka sesuai Prinsip Hak Istimewa Terkecil. Menurut prinsip ini, identitas hanya diberikan:
- Jumlah akses yang diperlukan untuk menyelesaikan pekerjaannya.
- Peran yang sesuai dan terbatas untuk menjalankan pekerjaannya.
Penting
Selalu ikuti Prinsip Hak Istimewa Terkecil.
Dua praktik kontrol akses berbasis peran penting lainnya untuk diikuti:
- Audit penetapan peran secara berkala untuk memverifikasi bahwa setiap peran memiliki izin yang benar.
- Bersihkan peran dan tugas saat individu mengubah peran atau tugas.
Peran
Definisi peran
Definisi peran adalah kumpulan izin dan atribut lain yang merupakan peran. Definisi peran mencantumkan operasi yang diizinkan, yang mencakup CREATE, READ, UPDATE, dan DELETE yang dapat dilakukan objek apa pun dengan peran tersebut. Ini juga menentukan jenis objek mana yang izinnya berlaku.
Tabel berikut ini menjelaskan peran yang tersedia di Azure Digital Twins:
| Peran | Deskripsi | Pengidentifikasi |
|---|---|---|
| Administrator Ruang | Izin CREATE, READ, UPDATE, dan DELETE untuk ruang yang ditentukan dan semua simpul di bawahnya. Izin global. | 98e44ad7-28d4-4007-853b-b9968ad132d1 |
| Administrator Pengguna | Izin CREATE, READ, UPDATE, dan DELETE untuk pengguna dan objek terkait pengguna. Izin BACA untuk spasi. | dfaac54c-f583-4dd2-b45d-8d4bbc0aa1ac |
| Administrator Perangkat | Izin CREATE, READ, UPDATE, dan DELETE untuk perangkat dan objek terkait perangkat. Izin BACA untuk spasi. | 3cdfde07-bc16-40d9-bed3-66d49a8f52ae |
| Administrator Kunci | Izin CREATE, READ, UPDATE, dan DELETE untuk kunci akses. Izin BACA untuk spasi. | 5a0b1afc-e118-4068-969f-b50efb8e5da6 |
| Token Administrator | Izin BACA dan PERBARUI untuk kunci akses. Izin BACA untuk spasi. | 38a3bb21-5424-43b4-b0bf-78ee228840c3 |
| Pengguna | Izin BACA untuk spasi, sensor, dan pengguna, yang mencakup objek terkait yang sesuai. | b1ffdb77-c635-4e7e-ad25-948237d85b30 |
| Spesialis Dukungan | Izin BACA untuk semuanya kecuali kunci akses. | 6e46958b-dc62-4e7c-990c-c3da2e030969 |
| Penginstal Perangkat | Izin BACA dan PERBARUI untuk perangkat dan sensor, yang mencakup objek terkait yang sesuai. Izin BACA untuk spasi. | b16dd9fe-4efe-467b-8c8c-720e2ff8817c |
| Perangkat Gateway | Izin CREATE untuk sensor. Izin BACA untuk perangkat dan sensor, yang mencakup objek terkait yang sesuai. | d4c69766-e9bd-4e61-bfc1-d8b6e686c7a8 |
Catatan
Untuk mengambil definisi lengkap untuk peran sebelumnya, kueri API sistem/peran. Pelajari selengkapnya dengan membaca Membuat dan mengelola penetapan peran.
Jenis pengidentifikasi objek
objectIdType (atau jenis pengidentifikasi objek) mengacu pada jenis identitas yang diberikan ke peran. Terlepas dari DeviceId jenis dan UserDefinedFunctionId , jenis pengidentifikasi objek sesuai dengan properti objek Azure Active Directory.
Tabel berikut ini berisi jenis pengidentifikasi objek yang didukung di Azure Digital Twins:
| Jenis | Deskripsi |
|---|---|
| UserId | Menetapkan peran kepada pengguna. |
| DeviceId | Menetapkan peran ke perangkat. |
| DomainName | Menetapkan peran ke nama domain. Setiap pengguna dengan nama domain yang ditentukan memiliki hak akses dari peran yang sesuai. |
| TenantId | Menetapkan peran ke penyewa. Setiap pengguna yang termasuk dalam ID penyewa Azure AD yang ditentukan memiliki hak akses dari peran yang sesuai. |
| ServicePrincipalId | Menetapkan peran ke ID objek perwakilan layanan. |
| UserDefinedFunctionId | Menetapkan peran ke fungsi yang ditentukan pengguna (UDF). |
Tip
Pelajari cara memberikan izin kepada perwakilan layanan Anda dengan membaca Membuat dan mengelola penetapan peran.
Artikel dokumentasi referensi berikut ini menjelaskan:
- Cara Mengkueri atau ID objek untuk pengguna.
- Cara Mendapatkan ID objek untuk perwakilan layanan.
- Cara Mengambil ID objek untuk penyewa Azure AD.
Penetapan peran
Penetapan peran Azure Digital Twins mengaitkan objek, seperti pengguna atau penyewa Azure AD, dengan peran dan spasi. Izin diberikan kepada semua objek yang termasuk dalam spasi tersebut. Ruang mencakup seluruh grafik spasial di bawahnya.
Misalnya, pengguna diberi penetapan peran dengan peran DeviceInstaller untuk simpul akar grafik spasial, yang mewakili bangunan. Pengguna kemudian dapat membaca dan memperbarui perangkat untuk simpul tersebut dan semua ruang anak lainnya di gedung.
Untuk memberikan izin kepada penerima, buat penetapan peran. Untuk mencabut izin, hapus penetapan peran.
Penting
Pelajari selengkapnya tentang penetapan peran dengan membaca Membuat dan mengelola penetapan peran.
Langkah berikutnya
Untuk mempelajari selengkapnya tentang membuat dan mengelola penetapan peran Azure Digital Twins, baca Membuat dan mengelola penetapan peran.
Baca selengkapnya tentang RBAC untuk Azure.