Configurare un'istanza e l'autenticazione di Gemelli digitali di Azure (portale)
Questo articolo illustra i passaggi per configurare una nuova istanza di Gemelli digitali di Azure, inclusa la creazione dell'istanza e la configurazione dell'autenticazione. Dopo aver completato questo articolo, si avrà un'istanza di Gemelli digitali di Azure pronta per iniziare a eseguire la programmazione.
Questa versione di questo articolo illustra manualmente questi passaggi, uno alla volta, usando il portale di Azure. Il portale di Azure è una console unificata basata sul Web che offre un'alternativa agli strumenti da riga di comando.
La configurazione completa per una nuova istanza di Gemelli digitali di Azure è costituita da due parti:
- Creazione dell'istanza
- Configurazione delle autorizzazioni di accesso utente: gli utenti di Azure devono avere il ruolo proprietario dei dati di Gemelli digitali di Azure nell'istanza di Gemelli digitali di Azure per poterli gestire e i relativi dati. In questo passaggio, l'utente come proprietario/amministratore della sottoscrizione di Azure assegnerà questo ruolo alla persona che gestirà l'istanza di Gemelli digitali di Azure. Può trattarsi di se stessi o di un altro utente dell'organizzazione.
Importante
Per completare questo articolo e configurare completamente un'istanza utilizzabile, sono necessarie le autorizzazioni per gestire sia le risorse che l'accesso degli utenti nella sottoscrizione di Azure. Il primo passaggio può essere completato da chiunque sia in grado di creare risorse nella sottoscrizione, ma il secondo passaggio richiede autorizzazioni di gestione degli accessi utente (o la collaborazione di un utente con queste autorizzazioni). Per altre informazioni, vedere la sezione Prerequisiti: Autorizzazioni necessarie per il passaggio di autorizzazione di accesso utente.
Creare l'istanza di Gemelli digitali di Azure
In questa sezione si creerà una nuova istanza di Gemelli digitali di Azure usando il portale di Azure. Passare al portale e accedere con le credenziali.
Una volta nel portale, selezionare Crea una risorsa nel menu della home page dei servizi di Azure.
Cercare gemelli digitali di Azure nella casella di ricerca e scegliere servizio Gemelli digitali di Azure dai risultati.
Lasciare il campo Piano impostato su Gemelli digitali di Azure e selezionare il pulsante Crea per iniziare a creare una nuova istanza del servizio.
Nella pagina Crea risorsa seguente compilare i valori indicati di seguito:
- Sottoscrizione: sottoscrizione di Azure in uso
- Gruppo di risorse: gruppo di risorse in cui distribuire l'istanza. Se non si ha già un gruppo di risorse esistente, è possibile crearne uno qui selezionando il collegamento Crea nuovo e immettendo un nome per un nuovo gruppo di risorse
- Località: un'area abilitata per Gemelli digitali di Azure per la distribuzione. Per altre informazioni sul supporto a livello di area, vedere Prodotti Azure disponibili in base all'area (Gemelli digitali di Azure).
- Nome risorsa: nome per l'istanza di Gemelli digitali di Azure. Se la sottoscrizione ha un'altra istanza di Gemelli digitali di Azure nell'area che usa già il nome specificato, verrà chiesto di scegliere un nome diverso.
- Concedere l'accesso alla risorsa: selezionare la casella in questa sezione consentirà all'account Azure di accedere e gestire i dati nell'istanza. Se si è la persona che gestirà l'istanza, selezionare ora questa casella. Se è disattivata perché non si dispone dell'autorizzazione nella sottoscrizione, è possibile continuare a creare la risorsa e chiedere a un utente con le autorizzazioni necessarie di concedere il ruolo in un secondo momento. Per altre informazioni su questo ruolo e l'assegnazione di ruoli all'istanza, vedere la sezione successiva Configurare le autorizzazioni di accesso utente.
- Sottoscrizione: sottoscrizione di Azure in uso
Al termine, è possibile selezionare Rivedi e crea se non si vogliono configurare altre impostazioni per l'istanza. In questo modo verrà visualizzata una pagina di riepilogo, in cui è possibile esaminare i dettagli dell'istanza immessi e terminare con Crea.
Se si desidera configurare altri dettagli per l'istanza, nella sezione successiva vengono descritte le schede di installazione rimanenti.
Opzioni di configurazione aggiuntive
Di seguito sono riportate le opzioni aggiuntive che è possibile configurare durante l'installazione, usando le altre schede del processo Crea risorsa.
- Rete: in questa scheda è possibile abilitare gli endpoint privati con collegamento privato di Azure per eliminare l'esposizione della rete pubblica all'istanza. Per istruzioni, vedere Abilitare l'accesso privato con collegamento privato.
- Avanzate: in questa scheda è possibile abilitare un'identità gestita assegnata dal sistema per l'istanza. Quando questa opzione è abilitata, Azure crea automaticamente un'identità per l'istanza in Microsoft Entra ID, che può essere usata per l'autenticazione ad altri servizi. È possibile abilitare l'identità gestita assegnata dal sistema durante la creazione dell'istanza qui o successiva in un'istanza esistente. Se invece si vuole abilitare un'identità gestita assegnata dall'utente, sarà necessario eseguirla in un secondo momento in un'istanza esistente.
- Tag: in questa scheda è possibile aggiungere tag all'istanza per facilitare l'organizzazione tra le risorse di Azure. Per altre informazioni sui tag delle risorse di Azure, vedere Contrassegna risorse, gruppi di risorse e sottoscrizioni per l'organizzazione logica.
Verificare l'esito positivo e raccogliere valori importanti
Dopo aver completato la configurazione dell'istanza selezionando Crea, è possibile visualizzare lo stato della distribuzione dell'istanza nelle notifiche di Azure sulla barra dell'icona del portale. La notifica indicherà quando la distribuzione è riuscita, a questo punto è possibile selezionare il pulsante Vai alla risorsa per visualizzare l'istanza creata.
Se la distribuzione ha esito negativo, la notifica indicherà perché. Osservare i consigli del messaggio di errore e riprovare a creare l'istanza.
Suggerimento
Dopo aver creato l'istanza, è possibile tornare alla pagina in qualsiasi momento cercando il nome dell'istanza nella barra di ricerca del portale di Azure.
Nella pagina Panoramica dell'istanza prendere nota del nome, del gruppo di risorse e del nome host. Questi valori sono tutti importanti e potrebbe essere necessario usarli mentre si continua a usare l'istanza di Gemelli digitali di Azure. Se altri utenti eseguiranno la programmazione rispetto all'istanza, è necessario condividere questi valori con essi.
È ora disponibile un'istanza di Gemelli digitali di Azure pronta per l'uso. Successivamente, si concedono le autorizzazioni utente di Azure appropriate per gestirlo.
Configurare le autorizzazioni di accesso utente
Gemelli digitali di Azure usa l'ID Microsoft Entra per il controllo degli accessi in base al ruolo. Ciò significa che prima che un utente possa effettuare chiamate del piano dati all'istanza di Gemelli digitali di Azure, all'utente deve essere assegnato un ruolo con le autorizzazioni appropriate.
Per Gemelli digitali di Azure, questo ruolo è Proprietario dei dati di Gemelli digitali di Azure. Per altre informazioni sui ruoli e la sicurezza, vedere Sicurezza per le soluzioni di Gemelli digitali di Azure.
Nota
Questo ruolo è diverso dal ruolo Proprietario di Microsoft Entra ID, che può essere assegnato anche nell'ambito dell'istanza di Gemelli digitali di Azure. Si tratta di due ruoli di gestione distinti e il proprietario non concede l'accesso alle funzionalità del piano dati concesse con proprietario dei dati di Gemelli digitali di Azure.
Questa sezione illustra come creare un'assegnazione di ruolo per un utente nell'istanza di Gemelli digitali di Azure usando il messaggio di posta elettronica dell'utente nel tenant di Microsoft Entra nella sottoscrizione di Azure. A seconda del ruolo dell'organizzazione, è possibile configurare questa autorizzazione per se stessi o configurarla per conto di un altro utente che gestirà l'istanza di Gemelli digitali di Azure.
Esistono due modi per creare un'assegnazione di ruolo per un utente in Gemelli digitali di Azure:
- Durante la creazione dell'istanza di Gemelli digitali di Azure
- Uso di Gestione delle identità di Azure (IAM)
Entrambi richiedono le stesse autorizzazioni.
Prerequisiti: requisiti di autorizzazione
Per poter completare tutti i passaggi seguenti, è necessario avere un ruolo nella sottoscrizione con le autorizzazioni seguenti:
- Creare e gestire le risorse di Azure
- Gestire l'accesso degli utenti alle risorse di Azure (inclusa la concessione e la delega delle autorizzazioni)
I ruoli comuni che soddisfano questo requisito sono proprietario, amministratore account o la combinazione di amministratore accesso utenti e collaboratore. Per una spiegazione completa dei ruoli e delle autorizzazioni, incluse le autorizzazioni incluse in altri ruoli, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica nella documentazione di Controllo degli accessi in base al ruolo di Azure.
Per visualizzare il ruolo nella sottoscrizione, visitare la pagina delle sottoscrizioni nel portale di Azure (è possibile usare questo collegamento o cercare Sottoscrizioni con la barra di ricerca del portale). Cercare il nome della sottoscrizione in uso e visualizzare il ruolo nella colonna Ruolo personale:
Se si scopre che il valore è Collaboratore o un altro ruolo che non dispone delle autorizzazioni necessarie descritte in precedenza, è possibile contattare l'utente nella sottoscrizione che dispone di queste autorizzazioni (ad esempio proprietario della sottoscrizione o amministratore account) e procedere in uno dei modi seguenti:
- Richiedere di completare i passaggi di assegnazione dei ruoli per conto dell'utente.
- Richiedere di elevare il ruolo nella sottoscrizione in modo che si disponga delle autorizzazioni necessarie per procedere autonomamente. La scelta appropriata dipende dall'organizzazione e dal ruolo al suo interno.
Assegnare il ruolo durante la creazione dell'istanza
Durante la creazione della risorsa di Gemelli digitali di Azure tramite il processo descritto in precedenza in questo articolo, selezionare il ruolo i proprietario dei dati di Gemelli digitali di Azure in Concedere l'accesso alla risorsa. In questo modo si concederà l'accesso completo alle API del piano dati.
Se non si dispone dell'autorizzazione per assegnare un ruolo a un'identità, la casella verrà visualizzata in grigio.
In tal caso, è comunque possibile continuare a creare correttamente la risorsa di Gemelli digitali di Azure, ma un utente con le autorizzazioni appropriate dovrà assegnare questo ruolo all'utente o alla persona che gestirà i dati dell'istanza.
Assegnare il ruolo usando Azure Identity Management (IAM)
È anche possibile assegnare il ruolo Proprietario dati di Gemelli digitali di Azure usando le opzioni di controllo di accesso in Gestione identità di Azure (IAM).
Aprire prima di tutto la pagina per l'istanza di Gemelli digitali di Azure nel portale di Azure.
Seleziona Controllo di accesso (IAM).
Selezionare Aggiungi>Aggiungi assegnazione di ruolo per aprire la pagina Aggiungi assegnazione di ruolo.
Assegna ruolo Proprietario dei dati di Gemelli digitali di Azure. Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.
Impostazione Valore Ruolo Proprietario dei dati di Gemelli digitali di Azure Assegna accesso a Utente, gruppo o entità servizio Membri Cercare il nome o l'indirizzo di posta elettronica dell'utente da assegnare
Verificare l'esito positivo
È possibile visualizzare l'assegnazione di ruolo configurata in Controllo di accesso (IAM) > Assegnazioni di ruolo. L'utente deve essere visualizzato nell'elenco con un ruolo di proprietario dei dati di Gemelli digitali di Azure.
È ora disponibile un'istanza di Gemelli digitali di Azure pronta per l'uso e sono state assegnate le autorizzazioni per gestirla.
Abilitare/disabilitare l'identità gestita per l'istanza
Questa sezione illustra come aggiungere un'identità gestita (assegnata dal sistema o assegnata dall'utente) a un'istanza di Gemelli digitali di Azure esistente. È anche possibile usare questa pagina per disabilitare l'identità gestita in un'istanza già usata.
Per iniziare, aprire il portale di Azure in un browser.
Cercare il nome dell'istanza nella barra di ricerca del portale e selezionarlo per visualizzarne i dettagli.
Selezionare Identità nel menu a sinistra.
Usare le schede per selezionare il tipo di identità gestita da aggiungere o rimuovere.
Assegnata dal sistema: dopo aver selezionato questa scheda, selezionare l'opzione Sì per attivare questa funzionalità o Disattiva per rimuoverla.
Selezionare il pulsante Salva e Sì per confermare. Dopo l'attivazione dell'identità assegnata dal sistema, in questa pagina verranno visualizzati altri campi che mostrano l'ID oggetto e le autorizzazioni della nuova identità (assegnazioni di ruolo di Azure).
Assegnata dall'utente (anteprima): dopo aver selezionato questa scheda, selezionare Associa un'identità gestita assegnata dall'utente e seguire le istruzioni per scegliere un'identità da associare all'istanza.
In alternativa, se è già presente un'identità elencata qui che si vuole disabilitare, è possibile selezionare la casella accanto all'elenco e Rimuoverla.
Dopo aver aggiunto un'identità, è possibile selezionarne il nome nell'elenco qui per aprire i relativi dettagli. Nella pagina dei dettagli è possibile visualizzarne ID oggetto e usare il menu a sinistra per visualizzare le assegnazioni di ruolo di Azure.
Considerazioni sulla disabilitazione delle identità gestite
È importante considerare gli effetti che le modifiche apportate all'identità o ai relativi ruoli possono avere sulle risorse che lo usano. Se si usano identità gestite con gli endpoint di Gemelli digitali di Azure o per cronologia dei dati e l'identità è disabilitata oppure viene rimosso un ruolo necessario, la connessione all'endpoint o alla cronologia dei dati può diventare inaccessibile e il flusso di eventi verrà interrotto.
Passaggi successivi
Testare le singole chiamate API REST nell'istanza usando i comandi dell'interfaccia della riga di comando di Gemelli digitali di Azure:
In alternativa, vedere come connettere un'applicazione client all'istanza con il codice di autenticazione: