Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano kroki konfigurowania nowego wystąpienia usługi Azure Digital Twins, w tym tworzenia wystąpienia i konfigurowania uwierzytelniania. Po przeczytaniu tego artykułu będziesz mieć instancję Azure Digital Twins gotową do rozpoczęcia programowania.
Pełna konfiguracja nowego wystąpienia usługi Azure Digital Twins składa się z dwóch części:
- Tworzenie wystąpienia.
- Konfigurowanie uprawnień dostępu użytkowników: użytkownicy platformy Azure muszą mieć rolę właściciela danych usługi Azure Digital Twins w wystąpieniu usługi Azure Digital Twins , aby móc zarządzać nim i jego danymi. W tym kroku jako właściciel/administrator subskrypcji platformy Azure przypisujesz tę rolę osobie, która zarządza wystąpieniem usługi Azure Digital Twins. Ta osoba może być Tobą lub kimś innym w Twojej organizacji.
Ważne
Aby ukończyć ten pełny artykuł i skonfigurować wystąpienie do użytku, musisz mieć uprawnienia do zarządzania zarówno zasobami, jak i dostępem użytkowników w subskrypcji platformy Azure. Każdy, kto może tworzyć zasoby w ramach subskrypcji, może wykonać pierwszy krok, ale drugi krok wymaga uprawnień do zarządzania dostępem użytkowników (lub współpracy kogoś z tymi uprawnieniami). Więcej informacji na temat wymaganych uprawnień można uzyskać w sekcji Wymagania wstępne: wymagane uprawnienia dla kroku uprawnień dostępu użytkownika.
Wymagania wstępne
Użyj środowiska Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Rozpoczynanie pracy z usługą Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli używasz instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure przy użyciu polecenia az login . Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu komunikatu, zainstaluj rozszerzenie Azure CLI podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.
Uruchom az version, aby znaleźć zainstalowaną wersję i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom az upgrade.
Ustawianie sesji CLI
Aby rozpocząć pracę z Azure Digital Twins w CLI, najpierw należy się zalogować i ustawić kontekst CLI na swoją subskrypcję na tę sesję. Uruchom te polecenia w oknie CLI:
az login
az account set --subscription "<your-Azure-subscription-ID>"
Napiwek
Możesz również użyć nazwy subskrypcji zamiast identyfikatora w poprzednim poleceniu.
Jeśli używasz tej subskrypcji z usługą Azure Digital Twins po raz pierwszy, uruchom następujące polecenie, aby zarejestrować się w przestrzeni nazw usługi Azure Digital Twins. (Jeśli nie masz pewności, możesz uruchomić go ponownie, nawet jeśli uruchomiono go kiedyś w przeszłości).
az provider register --namespace 'Microsoft.DigitalTwins'
Następnie dodasz rozszerzenie Microsoft Azure IoT dla Azure CLI, aby umożliwić polecenia do interakcji z usługą Azure Digital Twins i innymi usługami IoT. Uruchom to polecenie, aby upewnić się, że masz najnowszą wersję rozszerzenia:
az extension add --upgrade --name azure-iot
Teraz możesz pracować z usługą Azure Digital Twins w interfejsie wiersza polecenia platformy Azure.
Ten stan można sprawdzić, uruchamiając polecenie az dt --help w dowolnym momencie, aby wyświetlić listę dostępnych poleceń usługi Azure Digital Twins najwyższego poziomu.
Tworzenie wystąpienia usługi Azure Digital Twins
W tej sekcji utworzysz nowe wystąpienie usługi Azure Digital Twins przy użyciu polecenia interfejsu wiersza polecenia. Musisz podać następujące elementy:
- Grupa zasobów, w której instancja jest wdrażana. Jeśli nie masz jeszcze istniejącej grupy zasobów, możesz teraz utworzyć tę grupę za pomocą następującego polecenia:
az group create --location <region> --name <name-for-your-resource-group> - Region wdrożenia. Aby zobaczyć, jakie regiony obsługują usługę Azure Digital Twins, odwiedź stronę Dostępność produktów platformy Azure według regionów.
- Nazwa dla twojego wystąpienia. Jeśli Twoja subskrypcja ma inne wystąpienie usługi Azure Digital Twins w regionie, w którym jest już używana określona nazwa, zostanie wyświetlona prośba o wybranie innej nazwy.
Użyj tych wartości w następującym poleceniu az dt, aby utworzyć wystąpienie.
az dt create --dt-name <name-for-your-Azure-Digital-Twins-instance> --resource-group <your-resource-group> --location <region>
Istnieje kilka opcjonalnych parametrów, które można dodać do polecenia, aby określić inne elementy dotyczące zasobu podczas tworzenia, w tym tworzenie tożsamości zarządzanej dla wystąpienia lub włączanie/wyłączanie dostępu do sieci publicznej. Aby uzyskać pełną listę obsługiwanych parametrów, zobacz dokumentację az dt create reference.
Utwórz wystąpienie z tożsamością zarządzaną
Po włączeniu tożsamości zarządzanej na instancji Azure Digital Twins, zostanie utworzona tożsamość w Microsoft Entra ID. Ta tożsamość może być następnie używana do uwierzytelniania w innych usługach. Tożsamość zarządzaną dla wystąpienia usługi Azure Digital Twins można włączyć podczas tworzenia wystąpienia lub później dla istniejącego wystąpienia.
Użyj następującego polecenia interfejsu wiersza polecenia dla wybranego typu tożsamości zarządzanej.
Polecenie tożsamości przypisanej przez system
Aby utworzyć wystąpienie usługi Azure Digital Twins z włączoną tożsamością przypisaną przez system, możesz dodać parametr do polecenia --mi-system-assigned używanego do utworzenia wystąpienia. (Aby uzyskać więcej informacji na temat polecenia tworzenia, zobacz dokumentację referencyjną lub ogólne instrukcje dotyczące konfigurowania wystąpienia usługi Azure Digital Twins).
Aby utworzyć wystąpienie z tożsamością przypisaną przez system, dodaj parametr podobny do następującego --mi-system-assigned :
az dt create --dt-name <new-instance-name> --resource-group <resource-group> --mi-system-assigned
Polecenie identyfikacji użytkownika
Aby utworzyć wystąpienie z tożsamością przypisaną przez użytkownika, podaj identyfikator istniejącej tożsamości przypisanej przez użytkownika przy użyciu parametru --mi-user-assigned , w następujący sposób:
az dt create --dt-name <new-instance-name> --resource-group <resource-group> --mi-user-assigned <user-assigned-identity-resource-ID>
Weryfikowanie powodzenia i zbieranie ważnych wartości
Jeśli instancja została utworzona pomyślnie, wynik w CLI wyświetla informacje o utworzonym zasobie mniej więcej w następujący sposób:
Zwróć uwagę na nazwę hosta, nazwę i grupę zasobów wystąpienia usługi Azure Digital Twins z danych wyjściowych. Wszystkie te wartości są ważne i może okazać się konieczne ich użycie przez Ciebie podczas dalszej pracy z wystąpieniem usługi Azure Digital Twins, aby skonfigurować uwierzytelnianie i powiązane zasoby platformy Azure. Jeśli inni użytkownicy programują przy użyciu instancji, należy udostępnić im te wartości.
Napiwek
Można te właściwości wyświetlić wraz ze wszystkimi właściwościami wystąpienia w dowolnym momencie, uruchamiając polecenie az dt show --dt-name <your-Azure-Digital-Twins-instance>.
Masz teraz gotowe do użycia wystąpienie usługi Azure Digital Twins. Następnie przyznasz odpowiednie uprawnienia użytkownika platformy Azure do zarządzania nim.
Konfigurowanie uprawnień dostępu użytkowników
Usługa Azure Digital Twins używa identyfikatora Entra firmy Microsoft do kontroli dostępu opartej na rolach (RBAC). Oznacza to, że zanim użytkownik będzie mógł wykonywać wywołania operacji związanych z płaszczyzną danych do instancji Azure Digital Twins, musi mieć przypisaną rolę z odpowiednimi uprawnieniami.
W przypadku usługi Azure Digital Twins ta rola jest właścicielem danych usługi Azure Digital Twins. Więcej informacji na temat ról i zabezpieczeń można uzyskać w temacie Zabezpieczenia dla rozwiązań usługi Azure Digital Twins.
Uwaga
Ta rola różni się od roli Microsoft Entra ID Owner, którą można również przypisać w zakresie wystąpienia usługi Azure Digital Twins. Są to dwie odrębne role zarządzania, a właściciel nie udziela dostępu do funkcji płaszczyzny danych przyznanych właścicielom danych usługi Azure Digital Twins.
W tej sekcji dowiesz się, jak utworzyć przypisanie roli dla użytkownika w wystąpieniu Azure Digital Twins, korzystając z adresu e-mail tego użytkownika w dzierżawie Microsoft Entra w ramach subskrypcji Azure. W zależności od twojej roli w organizacji możesz skonfigurować to uprawnienie dla siebie lub skonfigurować je w imieniu innej osoby, która zarządza wystąpieniem usługi Azure Digital Twins.
Wymagania wstępne: wymagania dotyczące uprawnień
Aby móc wykonać wszystkie poniższe kroki, musisz mieć rolę w subskrypcji , która ma następujące uprawnienia:
- Tworzenie zasobów platformy Azure i zarządzanie nimi
- Zarządzanie dostępem użytkowników do zasobów platformy Azure (w tym udzielanie i delegowanie uprawnień)
Typowe role spełniające to wymaganie to Właściciel, Administrator konta lub Kombinacja administratorów dostępu użytkowników i Współautor. Aby uzyskać pełne wyjaśnienie ról i uprawnień, w tym uprawnień uwzględnionych w innych rolach, odwiedź stronę Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji w dokumentacji RBAC platformy Azure.
Aby wyświetlić swoją rolę w subskrypcji, odwiedź stronę Subskrypcje w witrynie Azure Portal (możesz użyć tego linku lub wyszukać subskrypcje z paskiem wyszukiwania portalu). Wyszukaj nazwę używanej subskrypcji i wyświetl swoją rolę w kolumnie Moja rola :
Jeśli okaże się, że wartość to Współautor lub inna rola, która nie ma wcześniej opisanych wymaganych uprawnień, możesz skontaktować się z użytkownikiem subskrypcji, który ma te uprawnienia (np. właściciel subskrypcji lub administrator konta) i kontynuować jedną z następujących czynności:
- Poproś o ukończenie kroków przypisywania ról w Twoim imieniu.
- Poproś o podniesienie twojej roli w subskrypcji, abyś mógł samodzielnie działać. To, czy to żądanie jest odpowiednie, może zależeć od organizacji i twojej roli w niej.
Przypisywanie roli
Aby udzielić użytkownikowi uprawnień do zarządzania wystąpieniem usługi Azure Digital Twins, musisz przypisać im rolę właściciela danych usługi Azure Digital Twins w ramach wystąpienia.
Aby przypisać rolę, użyj następującego polecenia. Użytkownik z wystarczającymi uprawnieniami w subskrypcji platformy Azure musi uruchomić polecenie . To polecenie wymaga przekazania głównej nazwy użytkownika na koncie Microsoft Entra dla użytkownika, który powinien mieć przypisaną rolę. W większości przypadków ta wartość odpowiada adresowi e-mail użytkownika na koncie Microsoft Entra.
az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<Azure-AD-user-principal-name-of-user-to-assign>" --role "Azure Digital Twins Data Owner"
Wynikiem tego polecenia są dane wyjściowe dotyczące przypisania roli utworzonego dla użytkownika.
Uwaga
Jeśli to polecenie zwróci błąd informujący, że interfejs wiersza polecenia nie może odnaleźć użytkownika lub jednostki usługi w grafowej bazie danych, przypisz rolę przy użyciu identyfikatora obiektu użytkownika. Może się to zdarzyć w przypadku użytkowników na osobistych kontach Microsoft (MSA).
Użyj strony portalu Microsoft Entra użytkowników Azure, aby wybrać konto użytkownika i otworzyć jego szczegóły. Skopiuj identyfikator obiektu użytkownika:
Następnie powtórz polecenie listy przypisań ról przy użyciu identyfikatora obiektu użytkownika dla parametru assignee w poprzednim poleceniu.
Weryfikowanie powodzenia
Jednym ze sposobów sprawdzenia, czy przypisanie roli zostało pomyślnie skonfigurowane, jest wyświetlenie przypisań ról dla wystąpienia usługi Azure Digital Twins w witrynie Azure Portal.
Przejdź do wystąpienia usługi Azure Digital Twins w portalu Azure. Aby się tam dostać, możesz wyszukać go na stronie wystąpień usługi Azure Digital Twins lub wyszukać jego nazwę na pasku wyszukiwania portalu.
Następnie wyświetl wszystkie przypisane role w sekcji Kontrola dostępu (IAM) > Przypisania ról. Twoje przypisanie roli powinno zostać wyświetlone na liście.
Masz teraz gotowe do użycia wystąpienie usługi Azure Digital Twins i przypisane uprawnienia do zarządzania nim.
Włącz/wyłącz tożsamość zarządzaną dla wystąpienia
W tej sekcji pokazujemy, jak dodać tożsamość zarządzaną do wystąpienia usługi Azure Digital Twins, które już zostało utworzone. Możesz również wyłączyć tożsamość zarządzaną w wystąpieniu, które już ją posiada.
Użyj następujących poleceń interfejsu wiersza polecenia dla wybranego typu tożsamości zarządzanej.
Polecenia tożsamości nadanej przez system
Polecenie umożliwiające włączenie tożsamości przypisanej przez system dla istniejącego wystąpienia jest tym samym az dt create poleceniem, które służy do tworzenia nowego wystąpienia z tożsamością przypisaną przez system. Zamiast podawać nową nazwę wystąpienia do utworzenia, możesz podać nazwę wystąpienia, które już istnieje. Następnie pamiętaj, aby dodać --mi-system-assigned parametr .
az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --mi-system-assigned
Aby wyłączyć tożsamość przypisaną przez system w wystąpieniu, w którym jest ona obecnie włączona, użyj następującego polecenia, aby ustawić --mi-system-assigned na false.
az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --mi-system-assigned false
Polecenia tożsamości przypisane przez użytkownika
Aby włączyć tożsamość przypisaną przez użytkownika w istniejącym wystąpieniu, podaj identyfikator istniejącej tożsamości przypisanej przez użytkownika w następującym poleceniu:
az dt identity assign --dt-name <name-of-existing-instance> --resource-group <resource-group> --user <user-assigned-identity-resource-ID>
Aby wyłączyć tożsamość przypisaną przez użytkownika w wystąpieniu, w którym jest ona obecnie włączona, podaj identyfikator tożsamości w następującym poleceniu:
az dt identity remove --dt-name <name-of-existing-instance> --resource-group <resource-group> --user <user-assigned-identity-resource-ID>
Rozważania dotyczące wyłączania tożsamości zarządzanych
Ważne jest, aby wziąć pod uwagę skutki, jakie mogą mieć jakiekolwiek zmiany w tożsamości lub jej rolach na zasoby, które z nich korzystają. Jeśli używasz tożsamości zarządzanych z punktami końcowymi usługi Azure Digital Twins lub historii danych, a tożsamość jest wyłączona lub z niej zostanie usunięta niezbędna rola, połączenie z punktem końcowym lub historią danych może stać się niedostępne, a przepływ zdarzeń zostanie przerwany.
Aby nadal korzystać z punktu końcowego skonfigurowanego przy użyciu tożsamości zarządzanej, która została wyłączona, musisz usunąć punkt końcowy i utworzyć go ponownie przy użyciu innego typu uwierzytelniania. Wznowienie dostarczania do punktu końcowego po tej zmianie może potrwać do godziny.
Następne kroki
Przetestuj poszczególne wywołania API REST na swoim wystąpieniu, używając poleceń Azure Digital Twins CLI.
Możesz też zobaczyć, jak połączyć aplikację kliencką z instancją za pomocą kodu uwierzytelniającego: