Configurar uma instância e autenticação do Azure Digital Twins (portal)

  • Artigo

Este artigo aborda as etapas para configurar uma nova instância do Azure Digital Twins, incluindo a criação da instância e a configuração da autenticação. Depois de concluir este artigo, você terá uma instância do Azure Digital Twins pronta para começar a programar.

Esta versão deste artigo passa por essas etapas manualmente, uma a uma, usando o portal do Azure. O portal do Azure é uma consola unificada baseada na Web que constitui uma alternativa às ferramentas de linha de comandos.

A configuração completa para uma nova instância do Azure Digital Twins consiste em duas partes:

  1. Criando a instância
  2. Configurando permissões de acesso de usuário: os usuários do Azure precisam ter a função de Proprietário de Dados dos Gêmeos Digitais do Azure na instância dos Gêmeos Digitais do Azure para poder gerenciá-la e seus dados. Nesta etapa, você, como proprietário/administrador da assinatura do Azure, atribuirá essa função à pessoa que gerenciará sua instância do Azure Digital Twins. Pode ser você mesmo ou outra pessoa na sua organização.

Importante

Para concluir este artigo completo e configurar completamente uma instância utilizável, você precisa de permissões para gerenciar recursos e acesso de usuário na assinatura do Azure. A primeira etapa pode ser concluída por qualquer pessoa que possa criar recursos na assinatura, mas a segunda etapa requer permissões de gerenciamento de acesso do usuário (ou a cooperação de alguém com essas permissões). Você pode ler mais sobre isso na seção Pré-requisitos: permissões necessárias para a etapa de permissão de acesso do usuário.

Criar a instância do Azure Digital Twins

Nesta seção, você criará uma nova instância dos Gêmeos Digitais do Azure usando o portal do Azure. Navegue até ao portal e inicie sessão com as suas credenciais.

  1. Uma vez no portal, comece selecionando Criar um recurso no menu da home page dos serviços do Azure.

    Screenshot of the Azure portal, highlighting the 'Create a resource' icon from the home page.

  2. Procure gêmeos digitais azure na caixa de pesquisa e escolha o serviço Gêmeos Digitais do Azure nos resultados.

    Deixe o campo Plano definido como Gêmeos Digitais do Azure e selecione o botão Criar para começar a criar uma nova instância do serviço.

    Screenshot of the Azure portal, highlighting the 'Create' button from the Azure Digital Twins service page.

  1. Na seguinte página Criar Recurso , preencha os valores fornecidos abaixo:

    • Subscrição: A subscrição do Azure que está a utilizar
      • Grupo de recursos: um grupo de recursos no qual implantar a instância. Se você ainda não tiver um grupo de recursos existente em mente, poderá criar um aqui selecionando o link Criar novo e inserindo um nome para um novo grupo de recursos
    • Local: uma região habilitada para Gêmeos Digitais do Azure para a implantação. Para obter mais detalhes sobre o suporte regional, visite os produtos do Azure disponíveis por região (Gêmeos Digitais do Azure).
    • Nome do recurso: um nome para sua instância do Azure Digital Twins. Se a sua subscrição tiver outra instância dos Gêmeos Digitais do Azure na região que já está a utilizar o nome especificado, ser-lhe-á pedido que escolha um nome diferente.
    • Conceder acesso ao recurso: marcar a caixa nesta seção dará à sua conta do Azure permissão para acessar e gerenciar dados na instância. Se você for o único que gerenciará a instância, marque esta caixa agora. Se estiver a cinzento porque não tem permissão na subscrição, pode continuar a criar o recurso e pedir a alguém com as permissões necessárias que lhe conceda a função mais tarde. Para obter mais informações sobre essa função e a atribuição de funções à sua instância, consulte a próxima seção, Configurar permissões de acesso de usuário.

    Screenshot of the Create Resource process for Azure Digital Twins in the Azure portal. The described values are filled in.

  2. Quando terminar, você poderá selecionar Revisar + criar se não quiser definir mais nenhuma configuração para sua instância. Isso levará você a uma página de resumo, onde poderá revisar os detalhes da instância inseridos e concluir com Criar.

    Se você quiser configurar mais detalhes para sua instância, a próxima seção descreve as guias de configuração restantes.

Opções de configuração adicionais

Aqui estão as opções adicionais que você pode configurar durante a instalação, usando as outras guias no processo Criar recurso .

  • Rede: nesta guia, você pode habilitar pontos de extremidade privados com o Azure Private Link para eliminar a exposição da rede pública à sua instância. Para obter instruções, consulte Habilitar acesso privado com link privado.
  • Avançado: nesta guia, você pode habilitar uma identidade gerenciada atribuída ao sistema para sua instância. Quando isso é habilitado, o Azure cria automaticamente uma identidade para a instância no Microsoft Entra ID, que pode ser usada para autenticar em outros serviços. Você pode habilitar essa identidade gerenciada atribuída ao sistema enquanto cria a instância aqui ou posteriormente em uma instância existente. Se você quiser habilitar uma identidade gerenciada atribuída ao usuário, precisará fazê-lo posteriormente em uma instância existente.
  • Tags: Nesta guia, você pode adicionar tags à sua instância para ajudá-lo a organizá-la entre seus recursos do Azure. Para saber mais sobre marcas de recursos do Azure, consulte Recursos de marca, grupos de recursos e assinaturas para organização lógica.

Verificar o sucesso e coletar valores importantes

Depois de concluir a configuração da instância selecionando Criar, você pode exibir o status da implantação da instância nas notificações do Azure na barra de ícones do portal. A notificação indicará quando a implantação foi bem-sucedida, momento em que você pode selecionar o botão Ir para o recurso para exibir a instância criada.

Screenshot of the Azure notifications showing a successful deployment and highlighting the 'Go to resource' button in the Azure portal.

Se a implantação falhar, a notificação indicará o motivo. Observe o conselho da mensagem de erro e tente criar novamente a instância.

Gorjeta

Depois que sua instância for criada, você poderá retornar à página a qualquer momento pesquisando o nome da instância na barra de pesquisa do portal do Azure.

Na página Visão geral da instância, anote seu Nome, Grupo de recursos e Nome do host. Esses valores são todos importantes e você pode precisar usá-los enquanto continua trabalhando com sua instância do Azure Digital Twins. Se outros usuários estiverem programando em relação à instância, você deverá compartilhar esses valores com eles.

Screenshot of the Azure portal, highlighting the important values from the Azure Digital Twins instance's Overview page.

Agora você tem uma instância do Azure Digital Twins pronta para uso. Em seguida, você dará as permissões de usuário apropriadas do Azure para gerenciá-lo.

Configurar permissões de acesso de usuário

O Azure Digital Twins usa o Microsoft Entra ID para controle de acesso baseado em função (RBAC). Isso significa que, antes que um usuário possa fazer chamadas de plano de dados para sua instância do Azure Digital Twins, esse usuário precisa receber uma função com as permissões apropriadas para ela.

Para os Gêmeos Digitais do Azure, essa função é o Proprietário de Dados dos Gêmeos Digitais do Azure. Você pode ler mais sobre funções e segurança em Segurança para soluções de Gêmeos Digitais do Azure.

Nota

Essa função é diferente da função de Proprietário do ID do Microsoft Entra, que também pode ser atribuída no escopo da instância do Azure Digital Twins. Essas são duas funções de gerenciamento distintas e o Proprietário não concede acesso aos recursos do plano de dados concedidos com o Proprietário de Dados do Azure Digital Twins.

Esta seção mostrará como criar uma atribuição de função para um usuário em sua instância do Azure Digital Twins, usando o email desse usuário no locatário do Microsoft Entra em sua assinatura do Azure. Dependendo da sua função na sua organização, você pode configurar essa permissão para si mesmo ou configurá-la em nome de outra pessoa que gerenciará a instância dos Gêmeos Digitais do Azure.

Há duas maneiras de criar uma atribuição de função para um usuário nos Gêmeos Digitais do Azure:

Ambos requerem as mesmas permissões.

Pré-requisitos: Requisitos de permissão

Para poder concluir todas as etapas a seguir, você precisa ter uma função em sua assinatura que tenha as seguintes permissões:

  • Criar e gerenciar recursos do Azure
  • Gerenciar o acesso do usuário aos recursos do Azure (incluindo conceder e delegar permissões)

As funções comuns que atendem a esse requisito são Proprietário, Administrador de conta ou a combinação de Administrador de Acesso de Usuário e Colaborador. Para obter uma explicação completa das funções e permissões, incluindo quais permissões estão incluídas com outras funções, visite Funções do Azure, funções do Microsoft Entra e funções de administrador de assinatura clássicas na documentação do RBAC do Azure.

Para ver a sua função na sua subscrição, visite a página de subscrições no portal do Azure (pode utilizar esta ligação ou procurar Subscrições com a barra de pesquisa do portal). Procure o nome da subscrição que está a utilizar e veja a sua função na coluna A minha função :

Screenshot of the Subscriptions page in the Azure portal, showing user as an owner.

Se você achar que o valor é Colaborador ou outra função que não tenha as permissões necessárias descritas acima, entre em contato com o usuário em sua assinatura que tenha essas permissões (como um Proprietário da assinatura ou Administrador da conta) e proceda de uma das seguintes maneiras:

  • Solicite que eles concluam as etapas de atribuição de função em seu nome.
  • Solicite que eles elevem sua função na assinatura para que você tenha as permissões para prosseguir. Se isso é apropriado depende da sua organização e do seu papel dentro dela.

Atribuir a função durante a criação da instância

Ao criar seu recurso de Gêmeos Digitais do Azure por meio do processo descrito anteriormente neste artigo, selecione Atribuir Função de Proprietário de Dados de Gêmeos Digitais do Azure em Conceder acesso ao recurso. Isso garantirá a si mesmo acesso total às APIs do plano de dados.

Screenshot of the Create Resource process for Azure Digital Twins in the Azure portal. The checkbox under Grant access to resource is highlighted.

Se você não tiver permissão para atribuir uma função a uma identidade, a caixa aparecerá acinzentada.

Screenshot of the Create Resource process for Azure Digital Twins in the Azure portal. The checkbox under Grant access to resource is disabled.

Nesse caso, você ainda pode continuar a criar com êxito o recurso Gêmeos Digitais do Azure, mas alguém com as permissões apropriadas precisará atribuir essa função a você ou à pessoa que gerenciará os dados da instância.

Atribuir a função usando o Azure Identity Management (IAM)

Você também pode atribuir a função de Proprietário de Dados do Azure Digital Twins usando as opções de controle de acesso no Azure Identity Management (IAM).

  1. Primeiro, abra a página da sua instância do Azure Digital Twins no portal do Azure.

  2. Selecione Controlo de acesso (IAM) .

  3. Selecione Adicionar atribuição de função para abrir a página Adicionar>atribuição de função.

  4. Atribua a função de Proprietário de Dados do Azure Digital Twins. Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.

    Definição Valor
    Função Proprietário de dados do Azure Digital Twins
    Atribuir acesso a Usuário, grupo ou entidade de serviço
    Membros Procure o nome ou endereço de e-mail do usuário a ser atribuído

    Add role assignment page

Verificar o sucesso

Você pode exibir a atribuição de função que configurou em Atribuições de função de controle de acesso (IAM). > O usuário deve aparecer na lista com uma função de Proprietário de Dados do Azure Digital Twins.

Screenshot of the role assignments for an Azure Digital Twins instance in the Azure portal.

Agora você tem uma instância do Azure Digital Twins pronta para uso e atribuiu permissões para gerenciá-la.

Habilitar/desabilitar a identidade gerenciada para a instância

Esta seção mostra como adicionar uma identidade gerenciada (atribuída pelo sistema ou atribuída pelo usuário) a uma instância existente do Azure Digital Twins. Você também pode usar esta página para desabilitar a identidade gerenciada em uma instância que já a tenha.

Comece abrindo o portal do Azure em um navegador.

  1. Procure o nome da sua instância na barra de pesquisa do portal e selecione-o para visualizar seus detalhes.

  2. Selecione Identidade no menu à esquerda.

  3. Use as guias para selecionar o tipo de identidade gerenciada que você deseja adicionar ou remover.

    1. Sistema atribuído: Depois de selecionar esta guia, selecione a opção Ativado para ativar esse recurso ou Desativado para removê-lo.

      Screenshot of the Azure portal showing the Identity page and system-assigned options for an Azure Digital Twins instance.

      Selecione o botão Salvar e Sim para confirmar. Depois que a identidade atribuída pelo sistema estiver ativada, mais campos serão exibidos nesta página mostrando a ID do Objeto e as Permissões da nova identidade (atribuições de função do Azure).

    2. Atribuído pelo usuário (visualização): Depois de selecionar esta guia, selecione Associar uma identidade gerenciada atribuída pelo usuário e siga as instruções para escolher uma identidade para associar à instância.

      Screenshot of the Azure portal showing the Identity page and user-assigned options for an Azure Digital Twins instance.

      Ou, se já houver uma identidade listada aqui que você deseja desativar, marque a caixa ao lado dela na lista e Removê-la .

      Depois que uma identidade for adicionada, você pode selecionar seu nome na lista aqui para abrir seus detalhes. Na página de detalhes, você pode exibir sua ID de Objeto e usar o menu à esquerda para ver suas atribuições de função do Azure.

Considerações para desabilitar identidades gerenciadas

É importante considerar os efeitos que qualquer alteração na identidade ou em suas funções pode ter sobre os recursos que a utilizam. Se você estiver usando identidades gerenciadas com seus pontos de extremidade do Azure Digital Twins ou para o histórico de dados e a identidade estiver desabilitada ou uma função necessária for removida dele, a conexão de ponto de extremidade ou histórico de dados poderá ficar inacessível e o fluxo de eventos será interrompido.

Próximos passos

Teste chamadas individuais da API REST em sua instância usando os comandos da CLI do Azure Digital Twins:

Ou, veja como conectar um aplicativo cliente à sua instância com código de autenticação: