Controllo degli accessi in base al ruolo di Azure e Aggiornamento dispositivi

  • Articolo

Aggiornamento dispositivi usa il controllo degli accessi in base al ruolo di Azure per fornire l'autenticazione e l'autorizzazione per gli utenti e le API del servizio. Per consentire ad altri utenti e applicazioni di accedere a Aggiornamento dispositivi, agli utenti o alle applicazioni deve essere concesso l'accesso a questa risorsa. È anche necessario configurare l'accesso per l'entità servizio Aggiornamento dispositivi di Azure per distribuire correttamente gli aggiornamenti e gestire i dispositivi.

Configurare i ruoli di controllo di accesso

Questi sono i ruoli supportati da Aggiornamento dispositivi:

Nome ruolo Descrizione
Amministratore aggiornamento dispositivi Ha accesso a tutte le risorse di Aggiornamento dispositivi
Lettore aggiornamento dispositivi Può visualizzare tutti gli aggiornamenti e le distribuzioni
Amministratore del contenuto di Aggiornamento dispositivi Può visualizzare, importare ed eliminare gli aggiornamenti
Lettore di contenuto di Aggiornamento dispositivi Può visualizzare gli aggiornamenti
Amministratore delle distribuzioni di Aggiornamento dispositivi Può gestire la distribuzione degli aggiornamenti nei dispositivi
Lettore delle distribuzioni di Aggiornamento dispositivi Può visualizzare le distribuzioni degli aggiornamenti ai dispositivi

È possibile usare una combinazione di ruoli per fornire il livello di accesso corretto. Ad esempio, uno sviluppatore può importare e gestire gli aggiornamenti usando il ruolo Amministratore contenuto aggiornamento dispositivi, ma necessita di un ruolo Lettore distribuzioni aggiornamento dispositivi per visualizzare lo stato di avanzamento di un aggiornamento. Al contrario, un operatore di soluzione con il ruolo Lettore aggiornamento dispositivi può visualizzare tutti gli aggiornamenti, ma deve usare il ruolo Amministratore distribuzioni aggiornamento dispositivi per distribuire un aggiornamento specifico ai dispositivi.

Configurazione dell'accesso per l'entità servizio Aggiornamento dispositivi di Azure nel hub IoT

Aggiornamento del dispositivo per hub IoT comunica con il hub IoT per le distribuzioni e gestisce gli aggiornamenti su larga scala. Per abilitare Aggiornamento dispositivi a tale scopo, gli utenti devono impostare l'accesso hub IoT Collaboratore dati per l'entità servizio Aggiornamento dispositivi di Azure nelle autorizzazioni hub IoT.

Le azioni seguenti verranno bloccate con la versione futura, se queste autorizzazioni non sono impostate:

  • Creare la distribuzione
  • Annullare la distribuzione
  • Riprovare a eseguire la distribuzione
  • Ottenere il dispositivo
  1. Passare alla hub IoT connessa all'istanza di Aggiornamento dispositivi. Fare clic su Controllo di accesso(IAM)
  2. Fare clic su + Aggiungi ->Aggiungi assegnazione di ruolo
  3. Nella scheda Ruolo selezionare hub IoT Collaboratore dati
  4. Fare clic su Avanti. Per Assegna accesso a, selezionare Utente, gruppo o entità servizio. Fare clic su + Seleziona membri, cercare "Aggiornamento dispositivi di Azure"
  5. Fare clic su Avanti ->Rivedi e assegna

Per verificare di aver impostato correttamente le autorizzazioni:

  1. Passare alla hub IoT connessa all'istanza di Aggiornamento dispositivi. Fare clic su Controllo di accesso(IAM)
  2. Fare clic su Controlla accesso
  3. Selezionare Utente, gruppo o entità servizio e cercare "Azure Device Update"
  4. Dopo aver fatto clic su "Aggiornamento dispositivi di Azure", verificare che il ruolo Collaboratore dati hub IoT sia elencato in Assegnazioni di ruolo

Eseguire l'autenticazione nelle API REST di Aggiornamento dispositivi

Device Update usa Azure Active Directory (AD) per l'autenticazione alle API REST. Per iniziare, è necessario creare e configurare un'applicazione client.

Creare un'app azure AD client

Per integrare un'applicazione o un servizio con Azure AD, registrare prima un'applicazione client con Azure AD. La configurazione dell'applicazione client varia a seconda del flusso di autorizzazione necessario (utenti, applicazioni o identità gestite). Ad esempio, per chiamare Device Update da:

  • Applicazione per dispositivi mobili o desktop, aggiungere la piattaforma applicazioni per dispositivi mobili e desktop con https://login.microsoftonline.com/common/oauth2/nativeclient per l'URI di reindirizzamento.
  • Sito Web con accesso implicito, aggiungere la piattaforma Web e selezionare Token di accesso (usati per i flussi impliciti).

Configurare le autorizzazioni

Aggiungere quindi le autorizzazioni per chiamare Aggiornamento dispositivi all'app:

  1. Passare alla pagina Autorizzazioni API dell'app e selezionare Aggiungi un'autorizzazione.
  2. Passare alle API usate dall'organizzazione e cercare Aggiornamento dispositivi di Azure.
  3. Selezionare user_impersonation autorizzazione e selezionare Aggiungi autorizzazioni.

Richiedere il token di autorizzazione

L'API REST aggiornamento del dispositivo richiede un token di autorizzazione OAuth 2.0 nell'intestazione della richiesta. Le sezioni seguenti illustrano alcuni esempi di modi per richiedere un token di autorizzazione.

Utilizzare l'interfaccia della riga di comando di Azure

az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'

Uso della libreria MSAL di PowerShell

MSAL.PS Il modulo Di PowerShell è un wrapper su Microsoft Authentication Library per .NET (MSAL .NET). Supporta vari metodi di autenticazione.

Uso delle credenziali utente:

$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope

Uso delle credenziali utente con il codice del dispositivo:

$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode

Uso delle credenziali dell'app:

$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert

Supporto per le identità gestite

Le identità gestite forniscono ai servizi di Azure un'identità gestita automaticamente in Azure AD in modo sicuro. In questo modo, gli sviluppatori devono gestire le credenziali fornendo un'identità. Aggiornamento dei dispositivi per hub IoT supporta le identità gestite assegnate dal sistema.

Identità gestita assegnata dal sistema

Per aggiungere e rimuovere un'identità gestita assegnata dal sistema in portale di Azure:

  1. Accedere al portale di Azure e passare all'account di aggiornamento del dispositivo desiderato per hub IoT.
  2. Passare all'identità nell'aggiornamento dei dispositivi per hub IoT portale
  3. Nel portale dell'hub IoT passare a Identità.
  4. In Scheda Assegnata dal sistema selezionare Sì e fare clic su Salva.

Per rimuovere l'identità gestita assegnata dal sistema da un account dell'hub IoT, selezionare Disattivato e fare clic su Salva.

Passaggi successivi