Настройка экземпляра Azure Digital Twins и аутентификация (портал)
В этой статье описаны действия по настройке нового экземпляра Azure Digital Twins, включая создание экземпляра и настройку проверки подлинности. После выполнения этой статьи у вас будет экземпляр Azure Digital Twins, готовый начать программирование.
В данной статье эти действия выполняются вручную, по одному с помощью портала Azure. Портал Azure — это единая веб-консоль, которую можно использовать вместо средств командной строки.
Полная настройка для нового экземпляра Azure Digital Twins состоит из двух частей:
- Создание экземпляра
- Настройка разрешений доступа пользователей: пользователям Azure необходимо иметь роль владельца данных Azure Digital Twins в экземпляре Azure Digital Twins, чтобы управлять им и его данными. На этом шаге вы, как владелец или администратор подписки Azure, должны назначить эту роль пользователю, который будет управлять этим экземпляром Azure Digital Twins. Этим пользователем можете быть вы сами или кто-то другой из вашей организации.
Внимание
Чтобы завершить всю эту статью и полностью настроить пригодный для использования экземпляр, вам потребуются разрешения на управление ресурсами и доступом пользователей в подписке Azure. Первый шаг может быть выполнен любым пользователем, который может создавать ресурсы в подписке, но на втором шаге требуются разрешения на управление доступом пользователей (или сотрудничество с лицами, имеющими эти разрешения). Дополнительные сведения см. в разделе Предварительные требования: необходимые разрешения для шага, где требуются разрешения для доступа пользователя.
Создание экземпляра Azure Digital Twins
В этом разделе показано, как создать экземпляр Azure Digital Twins с помощью портала Azure. Перейдите на портал и войдите в систему, используя свои учетные данные.
На портале нажмите кнопку Создать ресурс в меню домашней страницы служб Azure.
Введите запрос azure digital twins в поле поиска и выберите в результатах службу Azure Digital Twins.
Оставьте в поле План значение Azure Digital Twins и нажмите кнопку Создать, чтобы начать создание нового экземпляра службы.
На следующей странице Создание ресурса заполните указанные ниже значения.
- Подписка: используемая подписка Azure
- Группа ресурсов — группа ресурсов, в которой будет развернут экземпляр. Если у вас еще нет группы ресурсов, можно создать ее здесь, выбрав Создать сейчас и введя имя новой группы ресурсов.
- Расположение — регион с поддержкой Azure Digital Twins для развертывания. Дополнительные сведения о языковой поддержке см. в разделе Доступность продуктов Azure по регионам (Azure Digital Twins).
- Имя ресурса — имя вашего экземпляра Azure Digital Twins. Если в вашей подписке есть другой экземпляр Azure Digital Twins в регионе, где уже используется указанное имя, вам будет предложено выбрать другое имя.
- Предоставление доступа к ресурсу — установите флажок в этом разделе, чтобы предоставить учетной записи Azure разрешение на доступ к данным в экземпляре и управление ими. Если именно вы управляете экземпляром, установите этот флажок. Если он недоступен из-за отсутствия у вас разрешения в вашей подписке, можно продолжить создание ресурса и попросить другого пользователя с необходимыми разрешениями предоставить вам роль позже. Дополнительные сведения об этой роли и назначении ролей экземпляру см. в следующем разделе Настройка разрешений доступа пользователей.
- Подписка: используемая подписка Azure
По завершении выберите Просмотр и создание, если вы не хотите настраивать дополнительные параметры для экземпляра. При этом вы перейдете на страницу сводки, где можно просмотреть введенные и завершенные сведения о экземпляре.
Если вы хотите настроить дополнительные сведения для своего экземпляра, в следующем разделе описаны остальные вкладки настройки.
Дополнительные параметры установки
Ниже приведены дополнительные параметры, которые можно настроить во время установки с помощью других вкладок в процессе Создание ресурсов.
- Сети — на этой вкладке можно включить частные конечные точки с помощью Приватного канала Azure, чтобы исключить общедоступную сеть для вашего экземпляра. Инструкции см. в разделе "Включение частного доступа с помощью Приватный канал".
- Дополнительно. На этой вкладке можно включить управляемое удостоверение, назначаемое системой для вашего экземпляра. Если это включено, Azure автоматически создает удостоверение для экземпляра в идентификаторе Microsoft Entra, который можно использовать для проверки подлинности в других службах. Это управляемое удостоверение, назначаемое системой, можно включить при создании экземпляра здесь или более поздней версии в существующем экземпляре. Если вы хотите включить управляемое удостоверение, назначаемое пользователем, вам потребуется сделать это позже в существующем экземпляре.
- Теги — на этой вкладке можно добавить теги к экземпляру, это поможет организовать его в ресурсах Azure. Дополнительные сведения о тегах ресурсов Azure см. в разделе Ресурсы тегов, группы ресурсов и подписки для логической организации.
Проверка успешности и получение важных значений
После завершения установки экземпляра с помощью кнопки Создать можно просмотреть состояние развертывания экземпляра в уведомлениях Azure на панели значков портала. Уведомление будет указывать, когда развертывание выполнено успешно, в какой момент можно выбрать кнопку "Перейти к ресурсу " для просмотра созданного экземпляра.
Если развертывание завершается сбоем, уведомление указывает, почему. Просмотрите уведомление в сообщении об ошибке и повторите попытку создания экземпляра.
Совет
После создания экземпляра можно в любой момент вернуться к его странице, выполнив поиск по имени своего экземпляра на панели поиска портала Azure.
На странице Обзор экземпляра обратите внимание на Имя, Группу ресурсов и Имя узла. Эти значения важны, и их может потребоваться использовать при продолжении работы с экземпляром Azure Digital Twins. Если другие пользователи буду заниматься программированием в экземпляре, вы должны использовать эти значения совместно с ними.
Теперь у вас есть экземпляр Azure Digital Twins, готовый к работе. Далее вы получите соответствующие разрешения пользователя Azure для управления им.
Настройка прав доступа пользователей
Azure Digital Twins использует идентификатор Microsoft Entra для управления доступом на основе ролей (RBAC). Это означает, что прежде чем пользователь сможет выполнять вызовы плоскости данных в ваш экземпляр Azure Digital Twins, ему нужно назначить роль с соответствующими правами доступа.
Для Azure Digital Twins такой ролью является Владелец данных Azure Digital Twins. Дополнительные сведения о назначении ролей и безопасности см. в статье Безопасность для решений Azure Digital Twins.
Примечание.
Эта роль отличается от роли владельца идентификатора Microsoft Entra, которая также может быть назначена в области экземпляра Azure Digital Twins. Это две отдельные роли с правами управления, и Владелец не предоставляет доступ к функциям плоскости данных, предоставляемым Владельцем данных Azure Digital Twins.
В этом разделе показано, как создать назначение ролей для пользователя в экземпляре Azure Digital Twins с помощью электронной почты этого пользователя в клиенте Microsoft Entra в подписке Azure. В зависимости от вашей роли в организации вы можете задать такую привилегию для себя или настроить возможность ее реализации другим пользователем, который будет управлять экземпляром Azure Digital Twins.
Создать назначение роли для пользователя в Azure Digital Twins можно двумя способами:
- во время создания экземпляра Azure Digital Twins;
- с помощью Системы управления идентификацией и доступом (IAM).
В обоих случаях необходимы одинаковые разрешения.
Предварительные условия: требования к предоставлению разрешений
Чтобы выполнить описанные ниже шаги, у вас должна быть роль в подписке со следующими разрешениями:
- создание ресурсов Azure и управление ими;
- управление доступом пользователей к ресурсам Azure (включая предоставление и делегирование разрешений).
Общие роли, отвечающие этому требованию: Владелец или Администратор учетной записи либо сочетание ролей Администратор доступа пользователей и Участник. Полное описание ролей и разрешений, включая разрешения, включенные в другие роли, посетите роли Azure, роли Записи Майкрософт и роли администратора классической подписки в документации по Azure RBAC.
Чтобы узнать роль, назначенную вам в подписке, перейдите на страницу подписки на портале Azure (используя представленную ссылку или поиск по строке Подписки в поле поиска на портале). Найдите имя используемой подписки и просмотрите свою роль в столбце Моя роль:
Если вы обнаружите, что значение является участником или другой ролью, которая не имеет необходимых разрешений, описанных выше, вы можете связаться с пользователем в подписке с этими разрешениями (например, владельцем подписки или администратором учетной записи) и продолжить одним из следующих способов:
- попросите этого пользователя выполнить процесс назначения ролей от вашего имени;
- попросите этого пользователя повысить вашу роль в подписке, чтобы получить разрешения на продолжение работы. Выбор оптимального варианта зависит от особенностей вашей организации и вашей роли в ней.
Назначение роли во время создания экземпляра
При создании ресурса Azure Digital Twins с помощью процедуры, описанной выше в этой статье, в разделе Предоставить доступ к ресурсу выберите роль владельца данных Azure Digital Twins. Это обеспечит себе полный доступ к API плоскости данных.
Если у вас нет разрешения на назначение роли для удостоверения, флажок будет недоступен.
В этом случае вы все равно можете успешно создать ресурс Azure Digital Twins, но позже пользователь с соответствующими разрешениями должен будет назначить эту роль вам или другому пользователю, который будет управлять данными экземпляра.
Назначение роли с помощью Системы управления идентификацией и доступом (IAM)
Вы также можете назначить роль владельца данных Azure Digital Twins с помощью параметров управления доступом в Системе управления идентификацией и доступом Azure.
Сначала откройте страницу своего экземпляра Azure Digital Twins на портале Azure.
Выберите Управление доступом (IAM) .
Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".
Назначьте роль владельца данных Azure Digital Twins. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Параметр Значение Роль Владелец данных Azure Digital Twins Назначить доступ для Пользователь, группа или субъект-служба Участники Найдите имя или адрес электронной почты пользователя, чтобы назначить
Проверка успешного выполнения
Вы можете просмотреть назначение ролей, настроенное в разделе "Назначения ролей управления доступом (IAM). > Пользователь должен отображаться в списке с ролью Владелец данных Azure Digital Twins.
Теперь у вас есть экземпляр Azure Digital Twins, готовый к работе, и назначенные разрешения для управления им.
Включение и отключение управляемого удостоверения для экземпляра
В этом разделе показано, как добавить управляемое удостоверение (назначаемое системой или назначаемое пользователем) в существующий экземпляр Azure Digital Twins. Эту страницу можно также использовать для отключения управляемого удостоверения в экземпляре, который уже имеет его.
Для начала в окне браузера откройте портал Azure.
Найдите имя своего экземпляра на панели поиска и выберите его, чтобы просмотреть сведения.
Выберите удостоверение в меню слева.
Используйте вкладки, чтобы выбрать тип управляемого удостоверения, который требуется добавить или удалить.
Назначаемое системой: после выбора этой вкладки выберите параметр "Включить ", чтобы включить эту функцию, или отключить ее, чтобы удалить ее.
Нажмите кнопку Сохранить, а затем Да для подтверждения. После включения удостоверения, назначаемого системой, на этой странице будут отображаться дополнительные поля с идентификатором и разрешениями нового удостоверения (назначения ролей Azure).
Назначаемое пользователем (предварительная версия): после выбора этой вкладки выберите "Связать управляемое удостоверение, назначаемое пользователем", и следуйте инструкциям, чтобы выбрать удостоверение для связи с экземпляром.
Или, если здесь уже есть удостоверение, которое вы хотите отключить, можно установить флажок рядом с ним в списке и удалить его.
После добавления удостоверения вы можете выбрать его имя в списке, чтобы открыть его сведения. На странице сведений можно просмотреть идентификатор объекта и использовать меню слева, чтобы просмотреть назначения ролей Azure.
Рекомендации по отключению управляемых удостоверений
Важно учитывать последствия того, что любые изменения удостоверения или ее роли могут иметь на ресурсах, использующих его. Если вы используете управляемые удостоверения с конечными точками Azure Digital Twins или журналом данных, а удостоверение отключено, или из него удаляется необходимая роль, подключение к конечной точке или журналу данных может стать недоступным, и поток событий будет нарушен.
Следующие шаги
Проверьте отдельные вызовы API REST в экземпляре с помощью команд CLI Azure Digital Twins:
См. раздел о том, как подключить клиентское приложение к экземпляру с помощью кода проверки подлинности: