Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Aggiornamenti dispositivi utilizza RBAC di Azure (controllo degli accessi in base al ruolo) per fornire autenticazione e autorizzazione agli utenti e le API dei servizi. Per consentire ad altri utenti e applicazioni di avere accesso a Aggiornamento dispositivi, agli utenti o alle applicazioni deve essere concesso l'accesso a questa risorsa. È anche necessario configurare l'accesso per il principale del servizio Aggiornamento dispositivi di Azure per distribuire correttamente gli aggiornamenti e gestire i dispositivi.
Configurare i ruoli di controllo di accesso
Questi sono i ruoli supportati da Aggiornamento del dispositivo:
| Nome ruolo | Descrizione |
|---|---|
| Amministratore degli aggiornamenti dei dispositivi | Ha accesso a tutte le risorse di Aggiornamento dispositivi |
| Lettore di aggiornamenti per dispositivi | Può visualizzare tutti gli aggiornamenti e le distribuzioni |
| Amministratore del Contenuto Aggiornamento Dispositivo | Può visualizzare, importare ed eliminare gli aggiornamenti |
| Lettore di contenuti per l'aggiornamento del dispositivo | Può visualizzare gli aggiornamenti |
| Amministratore delle distribuzioni di aggiornamenti dei dispositivi | Può gestire la distribuzione degli aggiornamenti nei dispositivi |
| Lettore delle distribuzioni di aggiornamenti dispositivo | Può visualizzare le distribuzioni degli aggiornamenti nei dispositivi |
Una combinazione di ruoli può essere usata per fornire il livello di accesso corretto. Ad esempio, uno sviluppatore può importare e gestire gli aggiornamenti, usando il ruolo di Amministratore contenuto aggiornamenti dispositivi, ma ha bisogno del ruolo di Lettore distribuzioni aggiornamenti dispositivi per visualizzare lo stato di avanzamento di un aggiornamento. Viceversa, un operatore di soluzione con il ruolo Lettore aggiornamento dispositivi può visualizzare tutti gli aggiornamenti, ma deve usare il ruolo Amministratore distribuzioni aggiornamento dispositivi per distribuire un aggiornamento specifico ai dispositivi.
Configurazione dell'accesso per il principale del servizio Aggiornamenti dei dispositivi di Azure in IoT Hub
Aggiornamento del dispositivo per hub IoT comunica con il hub IoT per le distribuzioni e gestisce gli aggiornamenti su larga scala. Per abilitare Aggiornamento dispositivi a tale scopo, gli utenti devono impostare l'accesso Contributor dati IoT Hub per l'entità servizio Aggiornamento dispositivi di Azure nelle autorizzazioni dell'hub IoT.
Le azioni seguenti verranno bloccate con la versione futura, se queste autorizzazioni non sono impostate:
- Crea implementazione
- Annullare la distribuzione
- Riprovare la distribuzione
- Ottieni dispositivo
- Vai all'Hub IoT connesso all'istanza di Aggiornamento Dispositivi. Fare clic su Controllo di accesso (IAM)
- Fare clic su + Aggiungi ->Aggiungi assegnazione di ruolo
- Nella scheda Ruolo selezionare Collaboratore ai dati dell'hub IoT
- Fare clic su Avanti. Per Assegna accesso a seleziona Utente, gruppo o principale del servizio. Fare clic su + Seleziona membri, cercare 'Aggiornamento dispositivo di Azure'
- Fare clic su Avanti ->Rivedi e assegna
Per verificare di aver impostato correttamente le autorizzazioni:
- Accedere a IoT Hub connesso all'istanza di Aggiornamento dei dispositivi. Fare clic su Controllo di accesso (IAM)
- Fare clic su Verifica accesso
- Selezionare Utente, gruppo o entità servizio e cercare "Aggiornamento dispositivi di Azure"
- Dopo aver fatto clic su "Aggiornamento dispositivi di Azure", verificare che il ruolo Collaboratore ai dati dell'hub IoT sia elencato in Assegnazioni di ruolo
Eseguire l'autenticazione alle API REST di Aggiornamento dei dispositivi
Device Update utilizza Azure Active Directory (AD) per l'autenticazione alle sue API REST. Per iniziare, è necessario creare e configurare un'applicazione client.
Creare un'app Azure AD client
Per integrare un'applicazione o un servizio con Azure AD, registrare prima un'applicazione client con Azure AD. La configurazione dell'applicazione client varia a seconda del flusso di autorizzazione necessario (utenti, applicazioni o identità gestite). Ad esempio, per chiamare Device Update da:
- Applicazione per dispositivi mobili o desktop, aggiungere la piattaforma applicazioni per dispositivi mobili e desktop con
https://login.microsoftonline.com/common/oauth2/nativeclientper l'URI di reindirizzamento. - Sito Web con accesso implicito, aggiungere la piattaforma Web e selezionare Token di accesso (usati per i flussi impliciti).
Configura autorizzazioni
Aggiungi quindi le autorizzazioni per chiamare Device Update alla tua app:
- Passare alla pagina Autorizzazioni API dell'app e selezionare Aggiungi un'autorizzazione.
- Vai a API utilizzate dalla mia organizzazione e cerca Azure Device Update.
- Selezionare l'autorizzazione user_impersonation e selezionare Aggiungi autorizzazioni.
Richiedere il token di autorizzazione
L'API REST di Aggiornamento dispositivi richiede un token di autorizzazione OAuth 2.0 nell'intestazione della richiesta. Le sezioni seguenti illustrano alcuni esempi di modi per richiedere un token di autorizzazione.
Utilizzo della CLI di Azure
az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'
Uso della libreria MSAL di PowerShell
MSAL.PS modulo di PowerShell è un wrapper su Microsoft Authentication Library per .NET (MSAL .NET). Supporta vari metodi di autenticazione.
Uso delle credenziali utente:
$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
Uso delle credenziali utente con il codice del dispositivo:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
Uso delle credenziali dell'app:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
Supporto per le identità gestite
Le identità gestite forniscono ai servizi di Azure un'identità gestita automaticamente in Azure AD in modo sicuro. In questo modo, si elimina la necessità per gli sviluppatori di gestire le credenziali fornendo un'identità. L'aggiornamento del dispositivo per IoT Hub supporta le identità gestite assegnate dal sistema.
Identità gestita assegnata dal sistema
Per aggiungere e rimuovere un'identità gestita assegnata dal sistema in portale di Azure:
- Accedere al portale di Azure e passare all'aggiornamento del dispositivo desiderato per hub IoT account.
- Passare a Identità nel portale di aggiornamento del dispositivo per IoT Hub.
- Nel portale del tuo IoT Hub, passa a Identità.
- Nella scheda Assegnata dal sistema selezionare Sì e fare clic su Salva.
Per rimuovere l'identità gestita assegnata dal sistema da un account di Device Update per hub IoT, selezionare Off e fare clic su Salva.