Przewodnik po zabezpieczeniach usługi IoT Central

  • Artykuł

Aplikacja usługi IoT Central umożliwia monitorowanie urządzeń i zarządzanie nimi, umożliwiając szybkie ocenianie scenariusza IoT. Ten przewodnik dotyczy administratorów, którzy zarządzają zabezpieczeniami w aplikacjach usługi IoT Central.

W usłudze IoT Central można skonfigurować zabezpieczenia i zarządzać nimi w następujących obszarach:

  • Dostęp użytkownika do aplikacji.
  • Dostęp urządzenia do aplikacji.
  • Programowy dostęp do aplikacji.
  • Uwierzytelnianie do innych usług z aplikacji.
  • Użyj bezpiecznej sieci wirtualnej.
  • Dzienniki inspekcji śledzą aktywność w aplikacji.

Zarządzanie dostępem użytkowników

Każdy użytkownik musi mieć konto użytkownika, zanim będzie mógł się zalogować i uzyskać dostęp do aplikacji usługi IoT Central. Usługa IoT Central obecnie obsługuje konta Microsoft i konta Microsoft Entra, ale nie grupy Microsoft Entra.

Role umożliwiają kontrolowanie, kto w organizacji może wykonywać różne zadania w usłudze IoT Central. Każda rola ma określony zestaw uprawnień, które określają, co użytkownik w roli może zobaczyć i zrobić w aplikacji. Istnieją trzy wbudowane role, które można przypisać do użytkowników aplikacji. Możesz również tworzyć role niestandardowe z określonymi uprawnieniami, jeśli potrzebujesz bardziej szczegółowej kontroli.

Organizacje umożliwiają zdefiniowanie hierarchii używanej do zarządzania tym, którzy użytkownicy mogą zobaczyć, które urządzenia w aplikacji usługi IoT Central. Rola użytkownika określa swoje uprawnienia do urządzeń, do których widzą, oraz środowiska, do których mogą uzyskiwać dostęp. Użyj organizacji, aby zaimplementować aplikację wielodostępną.

Aby dowiedzieć się więcej, zobacz:

Zarządzanie dostępem do urządzeń

Urządzenia uwierzytelniają się w aplikacji usługi IoT Central przy użyciu tokenu sygnatury dostępu współdzielonego (SAS) lub certyfikatu X.509. Certyfikaty X.509 są zalecane w środowiskach produkcyjnych.

W usłudze IoT Central grupy połączeń urządzeń służą do zarządzania opcjami uwierzytelniania urządzeń w aplikacji usługi IoT Central.

Aby dowiedzieć się więcej, zobacz:

Mechanizmy kontroli sieci na potrzeby dostępu do urządzeń

Domyślnie urządzenia łączą się z usługą IoT Central za pośrednictwem publicznego Internetu. Aby uzyskać więcej zabezpieczeń, połącz urządzenia z aplikacją usługi IoT Central przy użyciu prywatnego punktu końcowego w usłudze Azure Virtual Network.

Prywatne punkty końcowe używają prywatnych adresów IP z przestrzeni adresowej sieci wirtualnej, aby połączyć urządzenia prywatnie z aplikacją usługi IoT Central. Ruch sieciowy między urządzeniami w sieci wirtualnej a platformą IoT przechodzi przez sieć wirtualną i link prywatny w sieci szkieletowej firmy Microsoft, eliminując narażenie na publiczne internet.

Aby dowiedzieć się więcej, zobacz Zabezpieczenia sieci dla usługi IoT Central przy użyciu prywatnych punktów końcowych.

Zarządzanie dostępem programowym

Interfejs API REST usługi IoT Central umożliwia tworzenie aplikacji klienckich, które integrują się z aplikacjami usługi IoT Central. Interfejs API REST umożliwia pracę z zasobami w aplikacji usługi IoT Central, takimi jak szablony urządzeń, urządzenia, zadania, użytkownicy i role.

Każde wywołanie interfejsu API REST usługi IoT Central wymaga nagłówka autoryzacji używanego przez usługę IoT Central do określenia tożsamości obiektu wywołującego i uprawnień, które obiekt wywołujący jest udzielany w aplikacji.

Aby uzyskać dostęp do aplikacji usługi IoT Central przy użyciu interfejsu API REST, możesz użyć:

  • Token elementu nośnego Entra firmy Microsoft. Token elementu nośnego jest skojarzony z kontem użytkownika Microsoft Entra lub jednostką usługi. Token przyznaje obiekt wywołujący te same uprawnienia, które użytkownik lub jednostka usługi ma w aplikacji usługi IoT Central.
  • Token interfejsu API usługi IoT Central. Token interfejsu API jest skojarzony z rolą w aplikacji usługi IoT Central.

Aby dowiedzieć się więcej, zobacz Jak uwierzytelniać i autoryzować wywołania interfejsu API REST usługi IoT Central.

Uwierzytelnianie w innych usługach

Podczas konfigurowania ciągłego eksportu danych z aplikacji usługi IoT Central do usługi Azure Blob Storage, Azure Service Bus lub Azure Event Hubs można użyć parametry połączenia lub tożsamości zarządzanej do uwierzytelniania. Podczas konfigurowania ciągłego eksportu danych z aplikacji usługi IoT Central do usługi Azure Data Explorer można użyć jednostki usługi lub tożsamości zarządzanej do uwierzytelniania.

Tożsamości zarządzane są bezpieczniejsze, ponieważ:

  • Poświadczenia zasobu nie są przechowywane w parametry połączenia w aplikacji usługi IoT Central.
  • Poświadczenia są automatycznie powiązane z okresem istnienia aplikacji usługi IoT Central.
  • Tożsamości zarządzane automatycznie obracają swoje klucze zabezpieczeń regularnie.

Aby dowiedzieć się więcej, zobacz:

Połączenie do miejsca docelowego w bezpiecznej sieci wirtualnej

Eksportowanie danych w usłudze IoT Central umożliwia ciągłe przesyłanie strumieniowe danych urządzeń do miejsc docelowych, takich jak Azure Blob Storage, Azure Event Hubs, Azure Service Bus Messaging. Możesz zablokować te miejsca docelowe przy użyciu sieci wirtualnej platformy Azure i prywatnych punktów końcowych. Aby umożliwić usłudze IoT Central łączenie się z miejscem docelowym w bezpiecznej sieci wirtualnej, skonfiguruj wyjątek zapory. Aby dowiedzieć się więcej, zobacz Eksportowanie danych do bezpiecznego miejsca docelowego w sieci wirtualnej platformy Azure.

Dzienniki inspekcji

Dzienniki inspekcji umożliwiają administratorom śledzenie aktywności w aplikacji usługi IoT Central. Administracja istratorzy mogą zobaczyć, kto dokonał zmian w jakich godzinach. Aby dowiedzieć się więcej, zobacz Używanie dzienników inspekcji do śledzenia aktywności w aplikacji usługi IoT Central.

Następne kroki

Teraz, po zapoznaniu się z informacjami na temat zabezpieczeń w aplikacji usługi Azure IoT Central, sugerowanym następnym krokiem jest zapoznanie się z tematem Zarządzanie użytkownikami i rolami w usłudze Azure IoT Central.