Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Veel Azure Sphere-klanten willen RBAC-toegang configureren om technische teams in staat te stellen ontwikkelfuncties uit te voeren op technische apparaten en apparaatgroepen, maar voorkomen dat technische teams rechtstreeks toegang krijgen tot productieapparaatgroepen die doorgaans worden beheerd door een operations-team. In het volgende scenario wordt beschreven hoe u een set RBAC-gebruikersgroepen en -machtigingen configureert om zowel het technische team als het operations-team alleen toegang te geven tot de functies en resources die ze nodig hebben. Veel Azure Sphere-klanten ontwerpen hun eigen Azure Sphere-apparaten en beheren ze in het veld, maar werken vaak samen met een contractfabrikant om ze te bouwen. Dit bedrijfsmodel resulteert vaak in vier afzonderlijke Azure Sphere-gebruikersprofielen:
- Azure Sphere-producteigenaar gebruikers – de hoogste bevoegdheid van de Azure Sphere-gebruikersgroep voor gebruikers die nieuwe Azure Sphere-catalogi en hun onderliggende resources moeten maken, configureren en beheren, waaronder het claimen van apparaten aan catalogi (permanent koppelen van de geclaimde apparaten aan alleen die catalogus) en het integreren van bestaande Azure Sphere-tenants (Legacy) in Azure Sphere-catalogussen (Integrated).
- nl-NL: Product Engineer gebruikers: voor gebruikers die bevoegdheden nodig hebben voor items die behoren tot de catalogusresource zelf, zoals afbeeldingen en certificaten, maar die geen bevoegdheden mogen hebben voor alle apparaatgroepen die tot de catalogus behoren, zoals de potentieel gevoelige Production-apparaatgroep. Deze gebruikersgroep is met name geschikt voor gebruikers van productontwikkeling die apparaatondersteuningsbestanden downloaden, apparaten verplaatsen tussen de groepen Ontwikkelings-, Veldtest- en Veldtest os-evaluatieapparaten en die nieuwe software implementeren en mogelijk crashdumpbestanden verzamelen in de groepen Veldtest- en Veldtest os-evaluatieapparaten, maar die niet zijn gemachtigd om productieapparaten te beheren in de apparaatgroepen productie- en productiebesturingssysteemevaluatie.
- Fleet-operator gebruikers: voor gebruikers die de productieapparaatvloot beheren, die machtigingen nodig hebben voor de groep Productieapparaten, waar ze nieuwe software- en firmwarebeelden gaan implementeren, mogelijk crashdumpbestandsverzameling inschakelen en valideren dat de retail-evaluatieversies van het besturingssysteem werken zoals verwacht in de groep Evaluatieapparaten van het Productiebesturingssysteem.
-
- apparaatfabrikant gebruikers, bedoeld voor een typisch geautomatiseerd productieproces dat nieuwe apparaten claimt in de Azure Sphere-catalogus van de apparaateigenaar. De fabrikant van het apparaat hoeft niet door de catalogus te bladeren of een andere Azure Sphere-gebruikersactie uit te voeren dan de claim- en bulkclaimfuncties.
In overeenstemming met de best practices van Azure RBAC heeft elke gebruikersgroep alleen de machtigingen die hun bedrijfsfunctie nodig heeft. De product engineeringgroep kan bijvoorbeeld alle apparaten in de catalogus bekijken, maar kan alleen actie ondernemen op de apparaten in de technische apparaatgroepen (ontwikkelings-, veldtest- en veldtest-besturingssysteem). De gebruiker van de fabrikant van het apparaat kan apparaten claimen naar de catalogus, maar kan niet door de catalogusbronnen bladeren of verdere actie ondernemen op de geclaimde apparaten.
| Gebruikersgroep | Azure RBAC-rol | Resourcebereik | Bevoegdheden ingeschakeld |
|---|---|---|---|
| Azure Sphere-producteigenaar | (1a) Azure Sphere-producteigenaar | Resourcegroep | • Azure Sphere-catalogi binnen de resourcegroep maken, integreren en verwijderen • RBAC-rollen toewijzen aan Azure Sphere-resources binnen de resourcegroep • Voer een Azure Sphere-gebruikersactie uit • Azure Monitor-gegevens configureren en weergeven voor Azure Sphere-apparaatresources binnen de resourcegroep |
| Productontwikkeling | (2a) Azure Sphere Publisher | Azure Sphere-catalogus | • Alleen-lezentoegang voor alle catalogusbronnen • Afbeeldingen toevoegen aan de catalogus • Apparaatmogelijkheden downloaden om apparaatontwikkeling mogelijk te maken • Cataloguscertificaatgegevens downloaden |
| Productontwikkeling | (2b) Azure Sphere-bijdrager | Ontwikkel-, veldtest- en veldtestapparaatgroepen voor besturingssysteemevaluatie | • Eigenschappen van apparaatgroepen instellen voor besturingssysteemfeed, implementatie van apps van derden en instellingen voor crashdump |
| • Nieuwe imagebestanden implementeren op apparaten in deze groepen • Alleen deze drie groepen apparaten toewijzen en intrekken • Azure Monitor-gegevens configureren en weergeven voor Azure Sphere-apparaatresources binnen de resourcegroep |
|||
| Vlootoperaties | (3a) Azure Sphere Reader | Azure Sphere-catalogus | • Alleen-lezentoegang voor alle catalogusbronnen • Cataloguscertificaatgegevens downloaden |
| Vlootoperaties | (3b) Azure Sphere-bijdrager | Evaluatieapparaatgroepen voor productie- en productiebesturingssystemen | • Eigenschappen van apparaatgroepen instellen voor besturingssysteemfeed, implementatie van apps van derden en instellingen voor crashdump • Nieuwe afbeeldingen uitrollen op apparaten in deze groepen • Apparaten aan en uit deze twee groepen toewijzen en verwijderen |
| Apparaatfabrikant | (4a) Aangepaste Azure RBAC-rol (zie aanvullende informatie hieronder) | Azure Sphere-catalogus | • Alleen apparaten claimen en bulkclaimen |
Het configureren van een aangepaste Azure RBAC-rol voor de gebruiker apparaatfabrikant Terwijl de ingebouwde RBAC-rollen van Azure Sphere veel van de algemene gebruiksvoorbeelden bieden, zijn er gevallen waarin aangepaste Rollen van Azure RBAC mogelijk nodig zijn. Met aangepaste rollen kunt u specifieke afzonderlijke toegestane acties voor een gebruiker inschakelen. Voor dit voorbeeldscenario moeten we een aangepaste RBAC-rol configureren waarmee de fabrikant van het apparaat apparaten kan claimen naar de catalogus, maar niet toestaat dat de fabrikant van het apparaat andere gebruikersacties uitvoert of door de andere resources in de catalogus bladert, zoals afbeeldingen, producten of apparaatgroepen.
Als u wilt dat de apparaatproductiegebruiker apparaten claimt, maakt u een aangepaste rol waarmee zowel de claim- als bulkclaimfuncties voor de catalogus worden ingeschakeld.
| Gebruikersactie | Toestemming | Beschrijving |
|---|---|---|
| Claim indienen | Schrijven: Devices_CreateOrUpdate | Maximaal 5 apparaten tegelijk claimen |
| Bulkclaim | Schrijven: DeviceGroups_ClaimDevices | Meer dan 5 apparaten tegelijk claimen |
Waarschuwing
Gebruikers die Azure Sphere-tenants (verouderd) moeten integreren in Azure Sphere-catalogussen (geïntegreerd), moeten beschikken over de Azure Sphere-inzender of de Azure Sphere-inzender rol die is toegepast op de resourcegroep die eigenaar is van het abonnement waartoe de tenant behoort.
Hoewel het mogelijk is om een gebruiker alleen een RBAC-rol toe te wijzen aan een product of apparaatgroep, maar niet aan de bovenliggende catalogus, kan de gebruiker niet zoeken naar het product of de bovenliggende catalogus, vanuit het beginscherm van Azure. Ze hebben alleen toegang tot het product of de apparaatgroep via een URL die rechtstreeks naar de groep verwijst. Voor het gemak van de gebruiker raden we aan dat alle gebruikers ten minste Azure Sphere Reader toegang hebben tot de catalogus.