Разрешения на сайте azureiotsuite.com

Что происходит при входе

При первом входе сайт azureiotsuite.com определяет ваши уровни разрешений в зависимости от выбранного клиента Azure Active Directory (AAD) и подписки Azure.

1. Сначала сайт получает из Azure сведения о ваших клиентах AAD, чтобы заполнить список клиентов, который отображается рядом с вашим именем пользователя после входа. В настоящее время сайт может одновременно получать маркеры пользователя только для одного клиента. Поэтому, если вы переключитесь между клиентами в раскрывающемся списке в правом верхнем углу сайта, вам придется выполнить вход с указанием этого клиента, чтобы получить для него маркеры.

2. После этого сайт получает из Azure сведения о подписках, связанных с выбранным клиентом. Доступные подписки можно просмотреть при создании нового предварительно настроенного решения.

3. Наконец, сайт получает сведения о всех ресурсах в подписках и группах ресурсов, помеченных как предварительно настроенные решения, и заполняет элементы на домашней странице.

В следующих разделах описываются роли, которые позволяют управлять доступом к предварительно настроенным решениям.

Роли AAD

Роли AAD определяют возможность подготавливать предварительно настроенные решения и управлять пользователями в предварительно настроенных решениях.

Дополнительные сведения о ролях администратора в AAD см. в статье Назначение ролей администратора в Azure AD. В этой статье основное внимание уделяется ролям глобального администратора, а также пользовательским ролям каталога, которые используются в предварительно настроенных решениях.

Глобальный администратор.

В одном клиенте AAD может быть несколько глобальных администраторов.

• Создавая клиент AAD, вы по умолчанию становитесь его глобальным администратором.
• Глобальный администратор может подготовить предварительно настроенное решение. В таком случае ему назначается роль администратора приложения в клиенте AAD.
• Если другой пользователь в том же клиенте AAD создаст приложение, глобальному администратору будет по умолчанию присвоена роль только для чтения.
• Глобальный администратор может назначать пользователям роли для приложений, используя портал Azure.

Пользователь домена

На каждый клиент AAD может приходиться много пользователей домена.

• Пользователь домена может подготовить предварительно настроенное решение на сайте azureiotsuite.com. По умолчанию пользователю домена предоставляется роль Администратор в подготавливаемом приложении.
• Пользователь домена может создать приложение с помощью скрипта build.cmd в репозитории azure-iot-remote-monitoring, azure-iot-predictive-maintenance или azure-iot-connected-factory . Однако ему по умолчанию присваивается роль только для чтения, так как он не имеет права назначать роли.
• Если другой пользователь в клиенте AAD создаст приложение, пользователю домена по умолчанию будет присвоена роль только для чтения для этого приложения.
• Пользователь домена не может назначать роли для приложений, поэтому он не может добавлять пользователей к ролям или присваивать пользователям роли для приложения, даже если он подготовил это приложение.

Гостевой пользователь

В одном клиенте AAD может быть много гостевых пользователей. Пользователи-гости обладают ограниченным набором прав в клиенте AAD. Поэтому они не могут подготавливать предварительно настроенные решения в клиенте AAD.

Дополнительные сведения о пользователях и ролях в AAD см. в следующих ресурсах:

• Добавление новых пользователей или пользователей с учетными записями Майкрософт в Azure Active Directory
• Назначение пользователя или группы корпоративному приложению в предварительной версии Azure Active Directory

Роли администратора подписки Azure

Роли администратора Azure определяют возможность сопоставлять подписку Azure с клиентом AD.

Дополнительные сведения о ролях администраторов Azure см. в статье Добавление или изменение ролей администратора Azure, управляющих подписками и службами.

Роли приложений

Роли приложения позволяют контролировать доступ к устройствам в рамках предварительно настроенного решения.

В подготовленном приложении существует две определенные и одна неявная роль.

• Администратор может добавлять, удалять устройства и управлять ими, а также изменять параметры.
• Только для чтения. Просмотр устройств, правил, действий, заданий и телеметрии.

Вы можете найти разрешения, назначаемые каждой роли, в исходном файле RolePermissions.cs.

Изменение ролей приложений для пользователя

Чтобы сделать пользователя в Active Directory администратором предварительно настроенного решения, можно выполнить описанную ниже процедуру.

Изменять роли пользователей может только глобальный администратор AAD.

1. Перейдите на портал Azure.
2. Выберите Azure Active Directory.
3. Убедитесь, что вы используете каталог, который вы выбрали на сайте azureiotsuite.com при подготовке решения. При наличии нескольких каталогов, связанных с подпиской, можно переключаться между ними, щелкнув имя учетной записи в правом верхнем углу страницы портала.
4. Щелкните Корпоративные приложения, а затем Все приложения.
5. Отобразите все приложения с состоянием Любой. Затем найдите приложения с именем вашего предварительно настроенного решения.
6. Щелкните имя приложения, совпадающее с именем предварительно настроенного решения.
7. Щелкните Пользователи и группы.
8. Выберите пользователя, для которого нужно изменить роли.
9. Щелкните Назначить и выберите роль (например, Администратор), которую нужно назначить пользователю, установив соответствующий флажок.

Вопросы и ответы

Я являюсь администратором службы и хочу изменить сопоставление каталогов подписки и конкретного клиента AAD. Как выполнить эту задачу?

Ознакомьтесь с разделом Добавление существующей подписки в каталог Azure AD

Я являюсь пользователем (членом) домена в клиенте AAD и создаю предварительно настроенное решение. Как мне получить роль для своего приложения?

Попросите глобального администратора назначить вас глобальным администратором клиента AAD, а затем назначьте роли пользователям самостоятельно. Кроме того, вы можете попросить глобального администратора назначить вам роль напрямую. Если вы хотите сменить клиент AAD, в котором развернуто ваше предварительно настроенное решение, см. следующий вопрос.

Как сменить клиент AAD, которому назначены мое предварительно настроенное решение удаленного мониторинга и приложение?

Вы можете запустить облачное развертывание со страницы https://github.com/Azure/azure-iot-remote-monitoring и затем выполнить повторное развертывание с помощью нового клиента AAD. При создании клиента AAD вы по умолчанию назначаетесь глобальным администратором с разрешениями на добавление пользователей и назначение им ролей.

1. Создайте каталог AAD на портале Azure.
2. Перейдите к https://github.com/Azure/azure-iot-remote-monitoring.
3. Выполните команду build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution} (например, build.cmd cloud debug myRMSolution).
4. При появлении запроса задайте параметр tenantid для нового клиента вместо предыдущего клиента.

Я хочу сменить администратора службы и соадминистратора при входе в систему с использованием учетной записи организации

См. справочную статью Смена администратора службы и соадминистратора при входе в систему с использованием учетной записи организации.

Почему появляется ошибка «У вашей учетной записи нет необходимых разрешений для создания решения. Обратитесь к администратору учетной записи или попробуйте использовать другую учетную запись»

Руководствуйтесь следующей схемой:

Почему эта ошибка появляется при наличии подписки Azure? "Для создания предварительно настроенных решений требуется подписка Azure. Вы можете создать бесплатную пробную учетную запись всего за несколько минут".

Если точно известно, что у вас есть подписка Azure, проверьте сопоставление клиентов для своей подписки и убедитесь, что в раскрывающемся списке выбран правильный клиент. Если клиент выбран правильно, следуйте приведенной выше схеме и проверьте сопоставление подписки и этого клиента AAD.

Дальнейшие действия

Чтобы продолжить изучение IoT Suite, см. статью Настройка предварительно настроенного решения.