Een beheerde identiteit inschakelen voor het routeren van Azure Digital Twins-gebeurtenissen

In dit artikel wordt beschreven hoe u een door het systeem toegewezen identiteit gebruikt voor een Azure Digital Twins-exemplaar bij het doorsturen van gebeurtenissen naar ondersteunde routeringsbestemmingen. Het instellen van een beheerde identiteit is niet vereist voor routering, maar het kan het exemplaar helpen om eenvoudig toegang te krijgen tot andere Azure AD beveiligde resources, zoals Event Hubs, Service Bus-bestemmingen en Azure Storage Container.

Dit zijn de stappen die in dit artikel worden behandeld:

  1. Maak een Azure Digital Twins-exemplaar met een door het systeem toegewezen identiteit of schakel door het systeem toegewezen identiteit in op een bestaand Azure Digital Twins-exemplaar.
  2. Voeg een geschikte rol of rollen toe aan de identiteit. Wijs bijvoorbeeld de rol Azure Event Hub-gegevenszender toe aan de identiteit als het eindpunt Event Hubs is, of Azure Service Bus rol Gegevenszender als het eindpunt Service Bus is.
  3. Maak een eindpunt in Azure Digital Twins dat door het systeem toegewezen identiteiten kan gebruiken voor verificatie.

Een Azure Digital Twins-exemplaar met een beheerde identiteit maken

Als u al een Azure Digital Twins-exemplaar hebt, controleert u of u hiervoor een door het systeem beheerde identiteit hebt ingeschakeld.

Als u geen Azure Digital Twins-exemplaar hebt, volgt u de instructies in Het exemplaar maken met een door het systeem beheerde identiteit om voor het eerst een Azure Digital Twins-exemplaar met een beheerde identiteit te maken.

Zorg er vervolgens voor dat u de rol Azure Digital Twins-gegevenseigenaar voor het exemplaar hebt. U vindt instructies in Gebruikerstoegangsmachtigingen instellen.

Azure-rollen toewijzen aan de identiteit

Zodra een door het systeem toegewezen identiteit is gemaakt voor uw Azure Digital Twins-exemplaar, moet u deze de juiste rollen toewijzen om te verifiëren met verschillende typen eindpunten voor het routeren van gebeurtenissen naar ondersteunde bestemmingen. In deze sectie worden de rolopties beschreven en hoe u deze toewijst aan de door het systeem toegewezen identiteit.

Notitie

Dit is een belangrijke stap: zonder deze stap heeft de identiteit geen toegang tot uw eindpunten en worden gebeurtenissen niet geleverd.

Ondersteunde bestemmingen en Azure-rollen

Dit zijn de minimale rollen die een identiteit nodig heeft om toegang te krijgen tot een eindpunt, afhankelijk van het type bestemming. Rollen met hogere machtigingen (zoals rollen van gegevenseigenaar) werken ook.

Doel Azure-rol
Azure Event Hubs Azure Event Hubs afzender van gegevens
Azure Service Bus afzender van Azure Service Bus
Azure-opslagcontainer Inzender voor Storage Blob-gegevens

Zie Gebeurtenisroutes voor meer informatie over eindpunten, routes en de typen bestemmingen die worden ondersteund voor routering in Azure Digital Twins.

De rol toewijzen

Notitie

Deze sectie moet worden voltooid door een Azure-gebruiker die machtigingen heeft voor het beheren van gebruikerstoegang tot Azure-resources, inclusief het verlenen en delegeren van machtigingen. Veelvoorkomende rollen die aan deze vereiste voldoen, zijn Eigenaar, Accountbeheerder of de combinatie van Beheerder voor gebruikerstoegang en Inzender. Zie Een exemplaar en verificatie instellen voor meer informatie over de machtigingsvereisten voor Azure Digital Twins-rollen.

Gebruik de onderstaande tabbladen om instructies voor uw voorkeurservaring te selecteren.

Als u een rol wilt toewijzen aan de identiteit, opent u eerst de Azure Portal in een browser.

  1. Navigeer naar uw eindpuntresource (uw Event Hub, Service Bus-onderwerp of opslagcontainer) door te zoeken naar de naam ervan in de zoekbalk van de portal.

  2. Klik op Toegangsbeheer (IAM) .

  3. Selecteer Toevoegen>Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.

  4. Wijs de gewenste rol toe aan de beheerde identiteit van uw Azure Digital Twins-exemplaar met behulp van de onderstaande informatie. Raadpleeg Azure-rollen toewijzen met de Azure Portal voor meer details.

    Instelling Waarde
    Rol Selecteer de gewenste rol in de vervolgkeuzelijst.
    Toegang toewijzen aan Selecteer onder Door het systeem toegewezen beheerde identiteitde optie Digital Twins.
    Leden Selecteer de beheerde identiteit van uw Azure Digital Twins-exemplaar waaraan de rol wordt toegewezen. De naam van de beheerde identiteit komt overeen met de naam van het exemplaar, dus kies de naam van uw Azure Digital Twins-exemplaar.

    Schermopname van de pagina Roltoewijzing toevoegen voor een Azure Digital Twins-exemplaar.

Een eindpunt maken met verificatie op basis van identiteit

Nadat u een door het systeem beheerde identiteit hebt ingesteld voor uw Azure Digital Twins-exemplaar en deze de juiste rol(en) hebt toegewezen, kunt u Azure Digital Twins-eindpunten maken die de identiteit kunnen gebruiken voor verificatie. Deze optie is alleen beschikbaar voor Event Hubs en Service Bus-eindpunten (deze wordt niet ondersteund voor Event Grid).

Notitie

U kunt een eindpunt dat al is gemaakt met een op sleutels gebaseerde identiteit, niet bewerken om over te schakelen naar verificatie op basis van identiteit. U moet het verificatietype kiezen wanneer het eindpunt voor het eerst wordt gemaakt.

Gebruik de onderstaande tabbladen om instructies voor uw voorkeurservaring te selecteren.

Volg de instructies voor het maken van een Azure Digital Twins-eindpunt.

Wanneer u de stap voor het voltooien van de vereiste gegevens voor uw eindpunttype hebt voltooid, selecteert u Identiteit op basis als verificatietype.

Schermopname van het maken van een eindpunt van het type Event Hubs.

Voltooi het instellen van uw eindpunt en selecteer Opslaan.

Overwegingen voor het uitschakelen van door het systeem beheerde identiteiten

Omdat een identiteit afzonderlijk wordt beheerd van de eindpunten die deze gebruiken, is het belangrijk om rekening te houden met de effecten die wijzigingen in de identiteit of de bijbehorende rollen kunnen hebben op de eindpunten in uw Azure Digital Twins-exemplaar. Als de identiteit is uitgeschakeld of als een benodigde rol voor een eindpunt wordt verwijderd, kan het eindpunt ontoegankelijk worden en wordt de stroom van gebeurtenissen verstoord.

Als u een eindpunt wilt blijven gebruiken dat is ingesteld met een beheerde identiteit die nu is uitgeschakeld, moet u het eindpunt verwijderen en opnieuw maken met een ander verificatietype. Het kan tot een uur duren voordat gebeurtenissen na deze wijziging de bezorging naar het eindpunt hervatten.

Volgende stappen

Meer informatie over beheerde identiteiten in Azure AD: