Настройка экземпляра Azure Digital Twins и аутентификация (портал)

В этой статье описаны действия по настройке нового экземпляра Azure Digital Twins, включая создание экземпляра и настройку проверки подлинности. После выполнения этой статьи у вас будет экземпляр Azure Digital Twins, готовый начать программирование.

В данной статье эти действия выполняются вручную, по одному с помощью портала Azure. Портал Azure — это единая веб-консоль, которую можно использовать вместо средств командной строки.

Полная настройка для нового экземпляра Azure Digital Twins состоит из двух частей:

  1. Создание экземпляра
  2. Настройка разрешений доступа пользователей: пользователям Azure необходимо иметь роль владельца данных Azure Digital Twins в экземпляре Azure Digital Twins, чтобы управлять им и его данными. На этом шаге вы, как владелец или администратор подписки Azure, должны назначить эту роль пользователю, который будет управлять этим экземпляром Azure Digital Twins. Этим пользователем можете быть вы сами или кто-то другой из вашей организации.

Внимание

Чтобы завершить всю эту статью и полностью настроить пригодный для использования экземпляр, вам потребуются разрешения на управление ресурсами и доступом пользователей в подписке Azure. Первый шаг может быть выполнен любым пользователем, который может создавать ресурсы в подписке, но на втором шаге требуются разрешения на управление доступом пользователей (или сотрудничество с лицами, имеющими эти разрешения). Дополнительные сведения см. в разделе Предварительные требования: необходимые разрешения для шага, где требуются разрешения для доступа пользователя.

Создание экземпляра Azure Digital Twins

В этом разделе показано, как создать экземпляр Azure Digital Twins с помощью портала Azure. Перейдите на портал и войдите в систему, используя свои учетные данные.

  1. На портале нажмите кнопку Создать ресурс в меню домашней страницы служб Azure.

    Снимок экрана: портал Azure, где выделен значок

  2. Введите запрос azure digital twins в поле поиска и выберите в результатах службу Azure Digital Twins.

    Оставьте в поле План значение Azure Digital Twins и нажмите кнопку Создать, чтобы начать создание нового экземпляра службы.

    Снимок экрана: портал Azure, где выделена кнопка

  1. На следующей странице Создание ресурса заполните указанные ниже значения.

    • Подписка: используемая подписка Azure
      • Группа ресурсов — группа ресурсов, в которой будет развернут экземпляр. Если у вас еще нет группы ресурсов, можно создать ее здесь, выбрав Создать сейчас и введя имя новой группы ресурсов.
    • Расположение — регион с поддержкой Azure Digital Twins для развертывания. Дополнительные сведения о языковой поддержке см. в разделе Доступность продуктов Azure по регионам (Azure Digital Twins).
    • Имя ресурса — имя вашего экземпляра Azure Digital Twins. Если в вашей подписке есть другой экземпляр Azure Digital Twins в регионе, где уже используется указанное имя, вам будет предложено выбрать другое имя.
    • Предоставление доступа к ресурсу — установите флажок в этом разделе, чтобы предоставить учетной записи Azure разрешение на доступ к данным в экземпляре и управление ими. Если именно вы управляете экземпляром, установите этот флажок. Если он недоступен из-за отсутствия у вас разрешения в вашей подписке, можно продолжить создание ресурса и попросить другого пользователя с необходимыми разрешениями предоставить вам роль позже. Дополнительные сведения об этой роли и назначении ролей экземпляру см. в следующем разделе Настройка разрешений доступа пользователей.

    Снимок экрана: процесс создания ресурса для Azure Digital Twins на портале Azure. Подставлены указанные значения.

  2. По завершении выберите Просмотр и создание, если вы не хотите настраивать дополнительные параметры для экземпляра. При этом вы перейдете на страницу сводки, где можно просмотреть введенные и завершенные сведения о экземпляре.

    Если вы хотите настроить дополнительные сведения для своего экземпляра, в следующем разделе описаны остальные вкладки настройки.

Дополнительные параметры установки

Ниже приведены дополнительные параметры, которые можно настроить во время установки с помощью других вкладок в процессе Создание ресурсов.

Проверка успешности и получение важных значений

После завершения установки экземпляра с помощью кнопки Создать можно просмотреть состояние развертывания экземпляра в уведомлениях Azure на панели значков портала. Уведомление будет указывать, когда развертывание выполнено успешно, в какой момент можно выбрать кнопку "Перейти к ресурсу " для просмотра созданного экземпляра.

Снимок экрана: уведомления Azure об успешном развертывании, выделена кнопка

Если развертывание завершается сбоем, уведомление указывает, почему. Просмотрите уведомление в сообщении об ошибке и повторите попытку создания экземпляра.

Совет

После создания экземпляра можно в любой момент вернуться к его странице, выполнив поиск по имени своего экземпляра на панели поиска портала Azure.

На странице Обзор экземпляра обратите внимание на Имя, Группу ресурсов и Имя узла. Эти значения важны, и их может потребоваться использовать при продолжении работы с экземпляром Azure Digital Twins. Если другие пользователи буду заниматься программированием в экземпляре, вы должны использовать эти значения совместно с ними.

Снимок экрана: портал Azure, где выделены важные значения на странице обзора экземпляра Azure Digital Twins.

Теперь у вас есть экземпляр Azure Digital Twins, готовый к работе. Далее вы получите соответствующие разрешения пользователя Azure для управления им.

Настройка прав доступа пользователей

Azure Digital Twins использует идентификатор Microsoft Entra для управления доступом на основе ролей (RBAC). Это означает, что прежде чем пользователь сможет выполнять вызовы плоскости данных в ваш экземпляр Azure Digital Twins, ему нужно назначить роль с соответствующими правами доступа.

Для Azure Digital Twins такой ролью является Владелец данных Azure Digital Twins. Дополнительные сведения о назначении ролей и безопасности см. в статье Безопасность для решений Azure Digital Twins.

Примечание.

Эта роль отличается от роли владельца идентификатора Microsoft Entra, которая также может быть назначена в области экземпляра Azure Digital Twins. Это две отдельные роли с правами управления, и Владелец не предоставляет доступ к функциям плоскости данных, предоставляемым Владельцем данных Azure Digital Twins.

В этом разделе показано, как создать назначение ролей для пользователя в экземпляре Azure Digital Twins с помощью электронной почты этого пользователя в клиенте Microsoft Entra в подписке Azure. В зависимости от вашей роли в организации вы можете задать такую привилегию для себя или настроить возможность ее реализации другим пользователем, который будет управлять экземпляром Azure Digital Twins.

Создать назначение роли для пользователя в Azure Digital Twins можно двумя способами:

В обоих случаях необходимы одинаковые разрешения.

Предварительные условия: требования к предоставлению разрешений

Чтобы выполнить описанные ниже шаги, у вас должна быть роль в подписке со следующими разрешениями:

  • создание ресурсов Azure и управление ими;
  • управление доступом пользователей к ресурсам Azure (включая предоставление и делегирование разрешений).

Общие роли, отвечающие этому требованию: Владелец или Администратор учетной записи либо сочетание ролей Администратор доступа пользователей и Участник. Полное описание ролей и разрешений, включая разрешения, включенные в другие роли, посетите роли Azure, роли Записи Майкрософт и роли администратора классической подписки в документации по Azure RBAC.

Чтобы узнать роль, назначенную вам в подписке, перейдите на страницу подписки на портале Azure (используя представленную ссылку или поиск по строке Подписки в поле поиска на портале). Найдите имя используемой подписки и просмотрите свою роль в столбце Моя роль:

Снимок экрана: страница

Если вы обнаружите, что значение является участником или другой ролью, которая не имеет необходимых разрешений, описанных выше, вы можете связаться с пользователем в подписке с этими разрешениями (например, владельцем подписки или администратором учетной записи) и продолжить одним из следующих способов:

  • попросите этого пользователя выполнить процесс назначения ролей от вашего имени;
  • попросите этого пользователя повысить вашу роль в подписке, чтобы получить разрешения на продолжение работы. Выбор оптимального варианта зависит от особенностей вашей организации и вашей роли в ней.

Назначение роли во время создания экземпляра

При создании ресурса Azure Digital Twins с помощью процедуры, описанной выше в этой статье, в разделе Предоставить доступ к ресурсу выберите роль владельца данных Azure Digital Twins. Это обеспечит себе полный доступ к API плоскости данных.

Снимок экрана: процесс создания ресурса для Azure Digital Twins на портале Azure. Выделен флажок

Если у вас нет разрешения на назначение роли для удостоверения, флажок будет недоступен.

Снимок экрана: процесс создания ресурса для Azure Digital Twins на портале Azure. Флажок

В этом случае вы все равно можете успешно создать ресурс Azure Digital Twins, но позже пользователь с соответствующими разрешениями должен будет назначить эту роль вам или другому пользователю, который будет управлять данными экземпляра.

Назначение роли с помощью Системы управления идентификацией и доступом (IAM)

Вы также можете назначить роль владельца данных Azure Digital Twins с помощью параметров управления доступом в Системе управления идентификацией и доступом Azure.

  1. Сначала откройте страницу своего экземпляра Azure Digital Twins на портале Azure.

  2. Выберите Управление доступом (IAM) .

  3. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".

  4. Назначьте роль владельца данных Azure Digital Twins. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

    Параметр Значение
    Роль Владелец данных Azure Digital Twins
    Назначить доступ для Пользователь, группа или субъект-служба
    Участники Найдите имя или адрес электронной почты пользователя, чтобы назначить

    Страница

Проверка успешного выполнения

Вы можете просмотреть назначение ролей, настроенное в разделе "Назначения ролей управления доступом (IAM). > Пользователь должен отображаться в списке с ролью Владелец данных Azure Digital Twins.

Снимок экрана: назначение ролей для экземпляра Azure Digital Twins на портале Azure.

Теперь у вас есть экземпляр Azure Digital Twins, готовый к работе, и назначенные разрешения для управления им.

Включение и отключение управляемого удостоверения для экземпляра

В этом разделе показано, как добавить управляемое удостоверение (назначаемое системой или назначаемое пользователем) в существующий экземпляр Azure Digital Twins. Эту страницу можно также использовать для отключения управляемого удостоверения в экземпляре, который уже имеет его.

Для начала в окне браузера откройте портал Azure.

  1. Найдите имя своего экземпляра на панели поиска и выберите его, чтобы просмотреть сведения.

  2. Выберите удостоверение в меню слева.

  3. Используйте вкладки, чтобы выбрать тип управляемого удостоверения, который требуется добавить или удалить.

    1. Назначаемое системой: после выбора этой вкладки выберите параметр "Включить ", чтобы включить эту функцию, или отключить ее, чтобы удалить ее.

      Снимок экрана: портал Azure с страницей удостоверений и параметрами, назначенными системой для экземпляра Azure Digital Twins.

      Нажмите кнопку Сохранить, а затем Да для подтверждения. После включения удостоверения, назначаемого системой, на этой странице будут отображаться дополнительные поля с идентификатором и разрешениями нового удостоверения (назначения ролей Azure).

    2. Назначаемое пользователем (предварительная версия): после выбора этой вкладки выберите "Связать управляемое удостоверение, назначаемое пользователем", и следуйте инструкциям, чтобы выбрать удостоверение для связи с экземпляром.

      Снимок экрана: портал Azure со страницей удостоверений и параметрами, назначенными пользователем для экземпляра Azure Digital Twins.

      Или, если здесь уже есть удостоверение, которое вы хотите отключить, можно установить флажок рядом с ним в списке и удалить его.

      После добавления удостоверения вы можете выбрать его имя в списке, чтобы открыть его сведения. На странице сведений можно просмотреть идентификатор объекта и использовать меню слева, чтобы просмотреть назначения ролей Azure.

Рекомендации по отключению управляемых удостоверений

Важно учитывать последствия того, что любые изменения удостоверения или ее роли могут иметь на ресурсах, использующих его. Если вы используете управляемые удостоверения с конечными точками Azure Digital Twins или журналом данных, а удостоверение отключено, или из него удаляется необходимая роль, подключение к конечной точке или журналу данных может стать недоступным, и поток событий будет нарушен.

Следующие шаги

Проверьте отдельные вызовы API REST в экземпляре с помощью команд CLI Azure Digital Twins:

См. раздел о том, как подключить клиентское приложение к экземпляру с помощью кода проверки подлинности: