Behörigheter på azureiotsuite.com webbplats

Första gången du loggar in på azureiotsuite.com avgör webbplatsen vilka behörighetsnivåer du har baserat på den valda Azure Active Directory-klientorganisationen (AAD) och Azure-prenumerationen.

För att fylla i listan över klienter som visas bredvid ditt användarnamn får webbplatsen reda på från Azure vilka AAD-klienter du tillhör. För närvarande kan webbplatsen bara hämta användartoken för en klientorganisation i taget. När du byter klientorganisation med listrutan i det övre högra hörnet loggar webbplatsen därför in dig i klientorganisationen för att hämta token för den klientorganisationen.
Därefter får webbplatsen reda på från Azure vilka prenumerationer du har associerat med den valda klientorganisationen. Du ser tillgängliga prenumerationer när du skapar en ny förkonfigurerad lösning.
Slutligen hämtar webbplatsen alla resurser i prenumerationer och resursgrupper som taggats som förkonfigurerade lösningar och fyller i panelerna på startsidan.

I följande avsnitt beskrivs de roller som styr åtkomsten till de förkonfigurerade lösningarna.

AAD-roller

AAD-rollerna styr möjligheten att etablera förkonfigurerade lösningar och hantera användare i en förkonfigurerad lösning.

Mer information om administratörsroller i AAD finns i Tilldela administratörsroller i Azure AD. Den aktuella artikeln fokuserar på de globala administratörs - och användarkatalogrollerna som används av de förkonfigurerade lösningarna.

Global administratör

Det kan finnas många globala administratörer per AAD-klientorganisation:

När du skapar en AAD-klientorganisation är du som standard den globala administratören för den klientorganisationen.
Den globala administratören kan etablera en förkonfigurerad lösning och tilldelas en administratörsroll för programmet i sin AAD-klientorganisation.
Om en annan användare i samma AAD-användaarkonto skapar en applikation är standardrollen som beviljas den globala administratören ReadOnly.
En global administratör kan tilldela användare roller för program med hjälp av Azure-portalen.

Domänanvändare

Det kan finnas många domänanvändare per AAD-klient.

En domänanvändare kan etablera en förkonfigurerad lösning via azureiotsuite.com webbplats. Som standard beviljas domänanvändaren administratörsrollen i det etablerade programmet.
En domänanvändare kan skapa ett program med hjälp av skriptet build.cmd på lagringsplatsen azure-iot-remote-monitoring, azure-iot-predictive-maintenance eller azure-iot-connected-factory . Standardrollen som beviljas domänanvändaren är dock ReadOnly, eftersom en domänanvändare inte har behörighet att tilldela roller.
Om en annan användare i AAD-klienten skapar ett program tilldelas domänanvändaren rollen ReadOnly som standard för programmet.
En domänanvändare kan inte tilldela roller för program. Därför kan en domänanvändare inte lägga till användare eller roller för användare för ett program även om de har etablerat det.

Gästanvändare

Det kan finnas många gästanvändare per Azure Active Directory (AAD) klientorganisation. Gästanvändare har ett begränsat urval av rättigheter i AAD-klientorganisationen. Gästanvändare kan därför inte etablera en förkonfigurerad lösning i AAD-klientorganisationen.

Mer information om användare och roller i AAD finns i följande resurser:

Administratörsroller för Azure-prenumeration

Azure-administratörsrollerna styr möjligheten att mappa en Azure-prenumeration till en AD-klientorganisation.

Läs mer om Azure-administratörsrollerna i artikeln Så här lägger du till eller ändrar Azures medadministratör, tjänstadministratör och kontoadministratör.

Applikationsroller

Programrollerna styr åtkomsten till enheter i din förkonfigurerade lösning.

Det finns två definierade roller och en implicit roll som definierats i ett etablerat program:

Admin: Har fullständig kontroll för att lägga till, hantera, ta bort enheter och ändra inställningar.
ReadOnly: Kan visa enheter, regler, åtgärder, jobb och telemetri.

Du hittar de behörigheter som tilldelats till varje roll i RolePermissions.cs källfilen.

Ändra programroller för en användare

Du kan använda följande procedur för att göra en användare i Active Directory till administratör för din förkonfigurerade lösning.

Du måste vara global AAD-administratör för att kunna ändra roller för en användare:

Gå till Azure-portalen.
Markera Azure Active Directory.
Kontrollera att du använder den katalog som du valde på azureiotsuite.com när du etablerade lösningen. Om du har flera kataloger associerade med din prenumeration kan du växla mellan dem om du klickar på ditt kontonamn längst upp till höger i portalen.
Klicka på Företagsprogram och sedan på Alla program.
Visa alla program med statusen Alla . Sök sedan efter ett program med namnet på din förkonfigurerade lösning.
Klicka på namnet på det program som matchar ditt förkonfigurerade lösningsnamn.
Klicka på Användare och grupper.
Välj den användare som du vill byta roller.
Klicka på Tilldela och välj den roll (till exempel administratör) som du vill tilldela användaren, klicka på bockmarkeringen.

Vanliga frågor

Jag är tjänstadministratör och vill ändra katalogmappningen mellan min prenumeration och en specifik AAD-klientorganisation. Hur gör jag för att slutföra den här uppgiften?

Se Lägga till en befintlig prenumeration i din Azure AD-katalog

Jag är domänanvändare/medlem i AAD-klienten och jag har skapat en förkonfigurerad lösning. Hur tilldelas jag en roll för min ansökan?

Be en global administratör att göra dig till global administratör för AAD-klientorganisationen och sedan tilldela roller till användarna själv. Du kan också be en global administratör att tilldela dig en roll direkt. Om du vill ändra den AAD-klientorganisation som den förkonfigurerade lösningen har distribuerats till kan du läsa nästa fråga.

Hur växlar jag AAD-klientorganisationen som min förkonfigurerade fjärrövervakningslösning och applikation är tilldelad till?

Du kan köra en molndistribution från https://github.com/Azure/azure-iot-remote-monitoring och distribuera igen med en nyligen skapad AAD-tenant. Eftersom du som standard är global administratör när du skapar en AAD-klientorganisation har du behörighet att lägga till användare och tilldela roller till dessa användare.

Skapa en AAD-katalog i Azure-portalen.
Gå till https://github.com/Azure/azure-iot-remote-monitoring.
Kör build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution} (till exempel build.cmd cloud debug myRMSolution)
När du uppmanas till det, ange tenantid som din nyligen skapade klientorganisation istället för din tidigare klientorganisation.

Se supportartikeln Ändra tjänstadministratör och Co-Administrator när du är inloggad med ett organisationskonto.

Varför visas det här felet? "Ditt konto har inte rätt behörighet att skapa en lösning. Kontakta kontoadministratören eller försök med ett annat konto."

Titta på följande diagram för vägledning:

Anmärkning

Om du fortsätter att se felet när du har verifierat att du är global administratör för AAD-klientorganisationen och en medadministratör för prenumerationen måste kontoadministratören ta bort användaren och tilldela om nödvändiga behörigheter i den här ordningen. Lägg först till användaren som global administratör och lägg sedan till användaren som medadministratör i Azure-prenumerationen. Kontakta hjälpen och supporten om problemen kvarstår.

Varför visas det här felet när jag har en Azure-prenumeration? "En Azure-prenumeration krävs för att skapa förkonfigurerade lösningar. Du kan skapa ett kostnadsfritt utvärderingskonto på bara några minuter."

Om du är säker på att du har en Azure-prenumeration kontrollerar du klientmappningen för din prenumeration och ser till att rätt klientorganisation har valts i listrutan. Om du har verifierat att den önskade tenant är rätt, följ diagrammet ovan och verifiera mappningen av din prenumeration och AAD tenant.

Nästa steg

Om du vill fortsätta lära dig mer om IoT Suite kan du se hur du kan anpassa en förkonfigurerad lösning.

Last updated on 2017-11-02

Dela via