你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

设置 Azure 数字孪生实例和身份验证(门户)。

  • 项目

本文将介绍新 Azure 数字孪生实例的设置步骤,包括创建实例和设置身份验证。 完成本文操作后,即可对 Azure 数字孪生实例编程。

本文此版本借助 Azure 门户逐个手动完成这些步骤。 Azure 门户是基于 Web 的统一控制台,提供可替代命令行工具的方法。

新的 Azure 数字孪生实例的完整设置包括两部分:

  1. 创建实例
  2. 设置用户访问权限:Azure 用户需要对 Azure 数字孪生实例具有“Azure 数字孪生数据所有者”角色,才能管理该实例及其数据。 在此步骤中,你作为 Azure 订阅的所有者/管理员需将此角色分配给将要管理 Azure 数字孪生实例的人员。 这可能是你自己或你组织中的其他人。

重要

要完成整篇文章的步骤并完全设置一个可用的实例,你需要有权限来管理 Azure 订阅上的资源和用户访问权限。 第一个步骤可以由能够在订阅上创建资源的任何人完成,但第二个步骤需要有用户访问管理权限(或具有这些权限的人的协助)。 有关详细信息,请参阅用户访问权限步骤的先决条件:所需权限部分。

创建 Azure 数字孪生实例

在本部分中,将使用 Azure 门户创建新的 Azure 数字孪生实例。 导航到门户,并使用凭据登录。

  1. 登录门户后,首先在 Azure 服务的主页菜单中选择“创建资源”。

    Screenshot of the Azure portal, highlighting the 'Create a resource' icon from the home page.

  2. 在搜索框中搜索“Azure 数字孪生”,并从结果中选择“Azure 数字孪生”服务。

    将“计划”字段设置为“Azure 数字孪生”,并选择"创建按钮以开始创建服务的新实例。

    Screenshot of the Azure portal, highlighting the 'Create' button from the Azure Digital Twins service page.

  1. 在以下“创建资源”页中,填写以下给定值:

    • 订阅:正在使用的 Azure 订阅
      • 资源组:要在其中部署实例的资源组。 如果尚未记住现有的资源组,可通过选择“新建”链接并输入新资源组的名称来创建资源组。
    • 位置:用于部署且已启用 Azure 数字孪生的区域。 有关区域支持的更多详细信息,请访问各区域的 Azure 产品可用性(Azure 数字孪生)。
    • 资源名称: Azure 数字孪生实例的名称。 如果订阅在区域中已存在使用指定名称的其他 Azure 数字孪生实例,则系统将要求选择其他名称。
    • 授予对资源的访问权限:选中本部分中的框将授予 Azure 帐户访问和管理实例中的数据的权限。 如果你将管理实例,现在应选中此框。 如果它因你在订阅中无权限而灰显,你可以继续创建资源,然后让具有所需权限的人员稍后授予你该角色。 有关此角色以及向实例分配角色的详细信息,请参阅下一部分 - 设置用户访问权限

    Screenshot of the Create Resource process for Azure Digital Twins in the Azure portal. The described values are filled in.

  2. 完成后,如果不想为实例配置更多设置,可以选择“查看 + 创建”。 这样会转到“摘要”页,可以在其中查看已输入的实例详细信息并单击“创建”完成此步骤。

    如果想要为实例配置更多详细信息,下一部分将介绍其余的设置选项卡。

其他设置选项

下面是设置期间可以配置的其他选项,在“创建资源”过程中使用其他选项卡可以完成这些配置。

  • 网络:在此选项卡中,可以使用“Azure 专用链接”启用专用终结点,以消除实例暴露于公共网络的风险。 有关说明,请参阅使用专用链接启用专用访问
  • 高级:在此选项卡中,可以为实例启用系统分配的托管标识。 启用此功能后,Azure 会自动在 Microsoft Entra ID 中创建实例的标识,该标识可用于向其他服务进行身份验证。 可以在此处创建实例时启用系统分配的托管标识,也可以稍后在现有实例上启用。 如果要改为启用用户分配的托管标识,稍后需要在现有实例上执行此操作。
  • 标记:在此选项卡中,可以将标记添加到实例,以便组织 Azure 资源。 有关 Azure 资源标记的详细信息,请参阅标记资源、资源组和订阅以合理进行组织。

验证是否成功并收集重要值

在选择“创建”完成实例设置后,可以在门户图标栏上的 Azure 通知中查看实例的部署状态。 通知将指示成功部署的时间,此时你可以选择“转到资源”按钮来查看创建的实例。

Screenshot of the Azure notifications showing a successful deployment and highlighting the 'Go to resource' button in the Azure portal.

如果部署失败,通知将指出失败原因。 观察错误消息中的建议,然后重新尝试创建实例。

提示

创建实例后,可以通过在 Azure 门户搜索栏中搜索实例的名称,随时返回到此页。

在实例的“概述”页中,记下其“名称”、“资源组”和“主机名”。 这些值都很重要,在你继续使用 Azure 数字孪生实例时,你可能需要使用这些值。 如果其他用户将对该实例进行编程,则应与他们共享这些值。

Screenshot of the Azure portal, highlighting the important values from the Azure Digital Twins instance's Overview page.

你现在已准备好 Azure 数字孪生实例。 接下来,你将向适当的 Azure 用户授予权限来管理该实例。

设置用户访问权限

Azure 数字孪生使用 Microsoft Entra ID 进行基于角色的访问控制(RBAC)。 这意味着,在用户可以对 Azure 数字孪生实例进行数据平面调用之前,需要为该用户分配具有相应权限的角色。

对于 Azure 数字孪生,此角色是“Azure 数字孪生数据所有者”。 要详细了解角色和安全性,可参阅 Azure 数字孪生解决方案的安全性

注意

此角色不同于 Microsoft Entra ID 所有者 角色,该角色也可以在 Azure 数字孪生实例的范围内分配。 这是两个不同的管理角色,所有者不授予对数据平面功能的访问权限,而 Azure 数字孪生数据所有者则可以授予。

本部分介绍如何在 Azure 数字孪生实例中为用户创建角色分配,并在 Azure 订阅的 Microsoft Entra 租户中使用该用户的电子邮件。 根据你在组织中的角色,你可以为自己设置此权限,或者以将要管理 Azure 数字孪生实例的其他人的名义设置此权限。

可通过两种方法在 Azure 数字孪生中为用户创建角色分配:

这两种方法需要相同的权限。

先决条件:权限要求

为了能够完成所有后续步骤,你需要在订阅中有一个具有以下权限的角色

  • 创建和管理 Azure 资源
  • 管理用户对 Azure 资源的访问权限(包括授予和委托权限)

满足此要求的常见角色包括“所有者”、“帐户管理员”或“用户访问管理员”和“参与者”的组合。 有关角色和权限的完整说明,包括其他角色中包含的权限、访问 Azure 角色、Microsoft Entra 角色和 Azure RBAC 文档中的经典订阅管理员角色

若要查看你在订阅中的角色,请访问 Azure 门户中的订阅页(你可以使用此链接,也可以通过门户搜索栏查找“订阅”)。 查找你正在使用的订阅的名称,然后在“我的角色”列中查看你在该订阅中的角色:

Screenshot of the Subscriptions page in the Azure portal, showing user as an owner.

如果你发现值是“参与者”,或者是其他没有上述所需权限的角色,可以联系对订阅具有这些权限的用户(例如订阅所有者或帐户管理员),并按以下方式之一继续操作:

  • 请求他们以你的名义完成角色分配步骤。
  • 请求他们提升你在订阅中的角色,以便你有权自行继续执行。 这是否合适取决于你的组织和你在其中的角色。

在创建实例期间分配角色

在通过本文前面部分所述的过程创建 Azure 数字孪生资源时,选择“授予对资源的访问权限”下的“分配 Azure 数字孪生数据所有者角色” 。 这样将会授予你对数据平面 API 的完全访问权限。

Screenshot of the Create Resource process for Azure Digital Twins in the Azure portal. The checkbox under Grant access to resource is highlighted.

如果你无权向标识分配角色,该框将灰显。

Screenshot of the Create Resource process for Azure Digital Twins in the Azure portal. The checkbox under Grant access to resource is disabled.

在此情况下,你仍可继续成功创建 Azure 数字孪生资源,但具有适当权限的人员将需要向你或将管理该实例数据的人员分配此角色。

使用 Azure 标识管理 (IAM) 分配角色

还可以使用 Azure 标识管理 (IAM) 中的访问控制选项分配“Azure 数字孪生数据所有者”角色。

  1. 首先,在 Azure 门户中打开 Azure 数字孪生实例的页面。

  2. 选择“访问控制 (IAM)”。

  3. 选择“添加”>“添加角色分配”,打开“添加角色分配”页面 。

  4. 分配“Azure 数字孪生数据所有者”角色。 有关详细步骤,请参阅使用 Azure 门户分配 Azure 角色

    设置
    角色 Azure 数字孪生数据所有者
    将访问权限分配到 用户、组或服务主体
    成员 搜索要分配的用户的姓名或电子邮件地址

    Add role assignment page

验证是否成功

可以在“访问控制 (IAM) > 角色分配”下查看已设置的角色分配。 用户应显示在列表中,其角色显示为“Azure 数字孪生数据所有者”。

Screenshot of the role assignments for an Azure Digital Twins instance in the Azure portal.

现在,你已准备好 Azure 数字孪生实例,并分配了管理权限。

为实例启用/禁用托管标识

本部分介绍如何将托管标识(系统分配或用户分配)添加到现有 Azure 数字孪生实例。 还可以使用此页在已具有托管标识的实例上禁用系统托管标识。

首先,在浏览器中打开 Azure 门户

  1. 在门户搜索栏中搜索你的实例名称,然后选择该实例查看其详细信息。

  2. 在左侧菜单中选择“标识”。

  3. 使用选项卡选择要添加或删除的托管标识类型。

    1. 系统分配:选择此选项卡后,选择“打开”选项以打开此功能,或选择“关闭”以将其删除。

      Screenshot of the Azure portal showing the Identity page and system-assigned options for an Azure Digital Twins instance.

      选择“保存”按钮,然后点击“是”以确认 。 启用系统分配的标识后,此页上将显示更多字段,显示新标识的对象 ID 和权限(Azure 角色分配)。

    2. 用户分配(预览版):选择此选项卡后,选择“关联用户分配的托管标识”,然后按照提示选择要与实例关联的标识。

      Screenshot of the Azure portal showing the Identity page and user-assigned options for an Azure Digital Twins instance.

      或者,如果此处已列出要禁用的标识,则可以选中列表中该标识旁边的框并将其删除。

      添加标识后,可以从此处的列表中选择其名称以打开其详细信息。 在其详细信息页中,可以查看其对象 ID,并可使用左侧菜单查看其 Azure 角色分配。

有关禁用托管标识的注意事项

请务必考虑对标识或其角色所做的任何更改会对使用该标识的资源产生的影响。 如果将托管标识用于 Azure 数字孪生终结点或用于数据历史记录,并且标识已禁用,或者从中删除了必要的角色,则终结点或数据历史记录连接可能会变得不可访问,并且事件流将中断。

后续步骤

使用 Azure 数字孪生 CLI 命令在实例上测试各个 REST API 调用:

或者,了解如何使用验证码将客户端应用程序连接到实例: