Condividi tramite

Archiviare e usare le proprie chiavi di licenza

  • Articolo

Azure Data Manager for Agriculture supporta un'ampia gamma di connettori di ingresso dati per centralizzare gli account frammentati. Queste connessioni richiedono al cliente di popolare le proprie credenziali in un modello BYOL (Bring Your Own License), in modo che il responsabile dati possa recuperare i dati per conto del cliente.

Nota

Microsoft Azure Data Manager for Agriculture è attualmente in anteprima. Per le condizioni legali applicabili alle funzionalità in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale, vedere Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.

Microsoft Azure Data Manager for Agriculture richiede la registrazione ed è disponibile solo per i clienti e i partner approvati durante il periodo di anteprima. Per richiedere l'accesso a Microsoft Data Manager per l'agricoltura durante il periodo di anteprima, usare questo modulo.

Prerequisiti

Per usare BYOL, è necessaria una sottoscrizione di Azure. Se non si ha già una sottoscrizione, creare un account gratuito prima di iniziare.

Panoramica

Nel modello BYOL si è responsabili della fornitura di licenze personalizzate per i connettori dati satellite e meteo. In questo modello si archivia la parte privata delle credenziali in un'istanza gestita da un cliente di Azure Key Vault. L'URI del segreto deve essere condiviso con l'istanza di Azure Data Manager per l'agricoltura. All'istanza di Azure Data Manager per l'agricoltura devono essere concesse autorizzazioni di lettura dei segreti in modo che le API possano funzionare senza problemi. Questo processo è una configurazione una tantum per ogni connettore. Data Manager fa quindi riferimento e legge il segreto dall'insieme di credenziali delle chiavi dei clienti come parte della chiamata API senza esposizione del segreto.

Diagramma di flusso che mostra la creazione e la condivisione delle credenziali. Screenshot che mostra il flusso di condivisione delle credenziali.

Il cliente può facoltativamente eseguire l'override delle credenziali da usare per una richiesta del piano dati specificando le credenziali come parte della richiesta API del piano dati.

Sequenza di passaggi per la configurazione dei connettori

Passaggio 1: Creare o usare l'insieme di credenziali delle chiavi esistente

I clienti possono creare un insieme di credenziali delle chiavi o usare un insieme di credenziali delle chiavi esistente per condividere le credenziali di licenza per satellite (Hub sentinel) e meteo (IBM Weather). Il cliente crea Azure Key Vault o riutilizza un insieme di credenziali delle chiavi esistente.

Abilitare le proprietà seguenti:

Screenshot che mostra le proprietà dell'insieme di credenziali delle chiavi.

Data Manager for Agriculture è un servizio attendibile Microsoft e supporta insiemi di credenziali delle chiavi di rete privati oltre agli insiemi di credenziali delle chiavi disponibili pubblicamente. Se si inserisce l'insieme di credenziali delle chiavi dietro una rete virtuale, è necessario selezionare “Allow trusted Microsoft services to bypass this firewall."

Screenshot che mostra l'accesso all'insieme di credenziali delle chiavi.

Passaggio 2: Archiviare il segreto in Azure Key Vault

Per condividere le credenziali del servizio meteo o satellite, archiviare parte privata delle credenziali nell'insieme di credenziali delle chiavi, ad esempio ClientSecret per SatelliteSentinelHub e APIKey per WeatherIBM. I clienti hanno il controllo del nome e della rotazione dei segreti.

Fare riferimento a queste indicazioni per archiviare e recuperare il segreto dall'insieme di credenziali.

Screenshot che mostra l'archiviazione dei valori delle chiavi.

Passaggio 3: Abilitare l'identità del sistema

I clienti devono abilitare l'identità del sistema per l'istanza di Data Manager per l'agricoltura. Questa identità viene usata mentre vengono concesse autorizzazioni di lettura segrete per l'istanza di Azure Data Manager per l'agricoltura.

Per abilitare, seguire uno dei metodi seguenti:

  1. Tramite l'interfaccia utente di portale di Azure

    Screenshot che mostra l'utilizzo dell'interfaccia utente per abilitare la chiave.

  2. Tramite l'interfaccia della riga di comando di Azure

    az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"

Passaggio 4: Criteri di accesso

Aggiungere un criterio di accesso nell'insieme di credenziali delle chiavi per l'istanza di Data Manager per l'agricoltura.

  1. Passare alla scheda Criteri di accesso nell'insieme di credenziali delle chiavi.

    Screenshot che mostra la selezione dei criteri di accesso.

  2. Scegliere Autorizzazioni GET e LIST segrete.

    Screenshot che mostra la selezione delle autorizzazioni.

  3. Selezionare la scheda successiva e quindi selezionare Data Manager for Agriculture instance name (Gestione dati per il nome dell'istanza di Agricoltura) e quindi selezionare la scheda rivedi e crea per creare i criteri di accesso.

    Screenshot che mostra la scheda di creazione e revisione della selezione.

Passaggio 5: Richiamare la chiamata API del piano di controllo

Usare la chiamata API per specificare le credenziali del connettore. L'URI/ il nome della chiave/la versione della chiave dell'insieme di credenziali delle chiavi è disponibile dopo la creazione del segreto, come illustrato nella figura seguente.

Screenshot che mostra dove è disponibile il nome della chiave e la versione della chiave.

I valori seguenti devono essere usati per i connettori durante la chiamata delle API precedenti:

Scenario DataConnectorName Titolo
Per il connettore Satellite SentinelHub SatelliteSentinelHub OAuthClientCredentials
Per il connettore Weather IBM WeatherIBM ApiKeyAuthCredentials

Override dei dettagli del connettore

Come parte delle API del piano dati, il cliente può scegliere di eseguire l'override dei dettagli del connettore che devono essere usati per tale richiesta.

Il cliente può fare riferimento alla documentazione della versione 2023-06-01-preview dell'API in cui le API del piano dati per il satellite e il meteo accettano le credenziali come parte del corpo della richiesta.

Come Azure Data Manager per l'agricoltura accede al segreto

Il flusso seguente illustra in che modo Azure Data Manager per l'agricoltura accede al segreto. Screenshot che mostra come il gestore dati accede alle credenziali.

Se si disabilita e quindi si riabilita l'identità del sistema, è necessario eliminare i criteri di accesso nell'insieme di credenziali delle chiavi e aggiungerla di nuovo.

Conclusione

È possibile usare le chiavi di licenza in modo sicuro archiviando i segreti in Azure Key Vault, abilitando l'identità del sistema e fornendo l'accesso in lettura a Data Manager. Le soluzioni ISV disponibili con Data Manager usano anche queste credenziali.

È possibile usare le API del piano dati e le chiavi di licenza di riferimento nell'insieme di credenziali delle chiavi. È anche possibile scegliere di eseguire l'override delle credenziali di licenza predefinite in modo dinamico nelle chiamate API del piano dati. Data Manager esegue convalide di base, incluso il controllo se può accedere al segreto specificato nell'oggetto credenziali o meno.

Passaggi successivi