IoT Hub için Azure RBAC ve Azure Cihaz Güncelleştirmesi

Kullanıcıların ve uygulamaların IoT Hub için Azure Cihaz Güncelleştirmesi'ne erişmesi için Cihaz Güncelleştirmesi kaynağına erişim verilmelidir. Cihaz Güncelleştirme hizmet sorumlusunun güncelleştirmeleri dağıtmak ve cihazları yönetmek için ilişkili IoT hub'ına da erişmesi gerekir.

Bu makalede, Cihaz Güncelleştirmesi ve Azure IoT Hub'ın kullanıcılar ve hizmet API'leri için kimlik doğrulaması ve yetkilendirme sağlamak için Azure rol tabanlı erişim denetimini (Azure RBAC) nasıl kullandığı açıklanmaktadır. Makalede ayrıca Cihaz Güncelleştirmesi REST API'leri için Microsoft Entra ID kimlik doğrulaması ve Cihaz Güncelleştirmesi ile Azure IoT Hub'daki yönetilen kimlikler için destek açıklanmaktadır.

Cihaz Güncelleştirmesi erişim denetimi rolleri

Cihaz Güncelleştirmesi aşağıdaki RBAC rollerini destekler. Daha fazla bilgi için bkz . Cihaz Güncelleştirme hesabına erişim denetimini yapılandırma.

Rol Adı	Açıklama
Cihaz Güncellemesi Katılımcısı	Tüm Cihaz Güncelleştirmesi kaynaklarını yönetebilir
Cihaz Güncelleştirme Yöneticisi	Tüm Cihaz Güncelleştirme kaynaklarına erişimi vardır
Cihaz Güncelleştirme Okuyucusu	Tüm güncelleştirmeleri ve dağıtımları görüntüleyebilir
Cihaz Güncelleme İçerik Yöneticisi	Güncelleştirmeleri görüntüleyebilir, içeri aktarabilir ve silebilir
Cihaz Güncelleştirme İçerik Okuyucusu	Güncelleştirmeleri görüntüleyebilir
Cihaz Güncelleştirme Dağıtımları Yöneticisi	Cihazlara güncelleştirme dağıtımlarını yönetebilir
Cihaz Güncelleştirme Dağıtımları Okuyucusu	Cihazlara yapılan güncelleştirme dağıtımlarını görüntüleyebilir

Doğru erişim düzeyini sağlamak için rollerin bir bileşimini atayabilirsiniz. Örneğin, güncelleştirmeleri içeri aktarmak ve yönetmek için Cihaz Güncelleştirmesi İçerik Yöneticisi rolünü kullanabilirsiniz, ancak bir güncelleştirmenin ilerleme durumunu görüntülemek için Cihaz Güncelleştirme Dağıtımları Okuyucusu rolüne ihtiyacınız vardır. Buna karşılık, Cihaz Güncelleştirme Okuyucusu rolüyle tüm güncelleştirmeleri görüntüleyebilirsiniz, ancak cihazlara güncelleştirme dağıtmak için Cihaz Güncelleştirme Dağıtımları Yönetici rolüne ihtiyacınız vardır.

IoT Hub'a Cihaz Güncelleştirmesi hizmet sorumlusu erişimi

Cihaz Güncelleştirmesi, güncelleştirmeleri büyük ölçekte dağıtmak ve yönetmek için ilişkili IoT hub'ı ile iletişim kurar. Bu iletişimi etkinleştirmek için Cihaz Güncelleştirmesi hizmet sorumlusuna IoT Hub Veri Katkıda Bulunanı rolüne sahip IoT hub'ına erişim vermeniz gerekir.

Bu iznin verilmesi aşağıdaki dağıtıma, cihaz ve güncelleştirme yönetimine ve tanılama eylemlerine olanak tanır:

• Dağıtım oluşturun
• Dağıtımı iptal et
• Dağıtımı yeniden deneyin
• Cihazı alma

Bu izni IoT hub Erişim Denetimi (IAM) sayfasından ayarlayabilirsiniz. Daha fazla bilgi için bkz . Cihaz Güncelleştirme hizmet sorumlusu için IoT hub erişimini yapılandırma.

Cihaz Güncelleştirmesi REST API'leri

Cihaz Güncelleştirmesi, REST API'lerine kimlik doğrulaması için Microsoft Entra Kimliğini kullanır. Başlamak için bir istemci uygulaması oluşturup yapılandırmanız gerekir.

Microsoft Entra istemci uygulaması oluşturma

Bir uygulamayı veya hizmeti Microsoft Entra Id ile tümleştirmek için, önce bir istemci uygulamasını Microsoft Entra Id ile kaydedin. İstemci uygulaması kurulumu, ihtiyacınız olan yetkilendirme akışına bağlı olarak değişir: kullanıcılar, uygulamalar veya yönetilen kimlikler. Örneğin:

• Mobil veya masaüstü uygulamasından Cihaz Güncelleştirmesi'ni çağırmak için "Platform Seç" bölümünde Genel istemci/yerel (mobil ve masaüstü) öğesini seçin ve https://login.microsoftonline.com/common/oauth2/nativeclient için girin.

• Cihaz Güncelleştirmesi'ni örtük oturum açma ile bir web sitesinden çağırmak için Web platformunu kullanın. Örtük verme ve karma akışlar altında, Erişim tokenları (örtük akışlar için kullanılır) öğesini seçin.

  Not

  Kullanılabilir en güvenli kimlik doğrulama akışını kullanın. Örtük akış kimlik doğrulaması, uygulamada yüksek düzeyde güven gerektirir ve diğer akışlarda mevcut olmayan riskleri taşır. Bu akışı yalnızca yönetilen kimlikler gibi diğer daha güvenli akışlar uygun olmadığında kullanmalısınız.

İzinleri yapılandırma

Ardından, uygulamanıza Cihaz Güncelleştirmesi'ni çağırma izinleri verin.

1. Uygulamanızın API izinleri sayfasına gidin ve İzin ekle'yi seçin.
2. Kuruluşumun kullandığı API'lere gidin ve Azure Cihaz Güncelleştirmesi'ni arayın.
3. user_impersonation iznini seçin ve İzinleri ekle'yi seçin.

Yetkilendirme belirteci isteme

Cihaz Güncelleştirmesi REST API'sinin istek üst bilgisinde bir OAuth 2.0 yetkilendirme belirteci gerekir. Aşağıdaki bölümlerde yetkilendirme belirteci istemenin bazı yolları gösterilmektedir.

Azure CLI (Azure Komut Satırı Arayüzü)

az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'

PowerShell MSAL Kitaplığı

MSAL.PSPowerShell modülü, çeşitli kimlik doğrulama yöntemlerini destekleyen .NET (MSAL .NET) için Microsoft Kimlik Doğrulama Kitaplığı üzerinde bir sarmalayıcıdır.

• Kullanıcı kimlik bilgileri:

  $clientId = '<app_id>'
  $tenantId = '<tenant_id>'
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/user_impersonation'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
  

• Cihaz koduyla kullanıcı kimlik bilgileri:

  $clientId = '<app_id>’
  $tenantId = '<tenant_id>’
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/user_impersonation'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
  

• Uygulama kimlik bilgileri:

  $clientId = '<app_id>’
  $tenantId = '<tenant_id>’
  $cert = '<client_certificate>'
  $authority = "https://login.microsoftonline.com/$tenantId/v2.0"
  $Scope = 'https://api.adu.microsoft.com/.default'
  
  Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
  

Yönetilen kimlikler için destek

Yönetilen kimlikler, Azure hizmetlerine güvenli, otomatik olarak yönetilen Microsoft Entra ID kimlikleri sağlar. Yönetilen kimlikler, geliştiricilerin kimlik bilgilerini yönetme gereksinimini ortadan kaldırarak kimlikler sağlar. Cihaz Güncelleştirmesi, sistem tarafından atanan yönetilen kimlikleri destekler.

Cihaz Güncelleştirmesi için sistem tarafından atanan yönetilen kimlik eklemek için:

1. Azure portalında Cihaz Güncelleştirmesi hesabınıza gidin.
2. Sol gezinti bölmesinde Ayarlar>Kimlik bölümünü seçin.
3. Sistem Ataması altında Kimlik sayfasında, Durum ayarını Açık olarak ayarlayın.
4. Kaydet'i ve ardından Evet'i seçin.

IoT Hub için sistem tarafından atanan yönetilen kimlik eklemek için:

1. Azure portalında IoT hub'ınıza gidin.
2. Sol gezinti bölmesinde Güvenlik ayarları>Kimlik seçin.
3. Kimlik sayfasında, Sistem tarafından atanan altında Durum kısmında Açık'ı seçin.
4. Kaydet'i ve ardından Evet'i seçin.

Cihaz Güncelleştirme hesabından veya IoT hub'ından sistem tarafından atanan yönetilen kimliği kaldırmak için, Kimlik sayfasında Kapalı seçeneğini seçin ve ardından Kaydet’e tıklayın.

İlgili içerik

• IoT Hub kaynakları için Azure Cihaz Güncelleştirmesi oluşturma
• Cihaz Güncelleştirme kaynakları için erişim denetimini yapılandırma