تمكين هوية مُدارة لتوجيه أحداث Azure Digital Twins

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توضح هذه المقالة كيفية تمكين هوية معينة من قبل النظام لمثيل Azure Digital Twins واستخدام الهوية عند إعادة توجيه الأحداث إلى وجهات التوجيه المعتمدة. لا يلزم إعداد هوية مدارة للتوجيه، ولكن يمكن أن يساعد المثيل على الوصول بسهولة إلى الموارد الأخرى المحمية بواسطة Azure AD، مثل مراكز الأحداث ووجهات ناقل الخدمةوحاوية تخزين Azure.

فيما يلي الخطوات التي تمت تغطيتها في هذه المقالة:

1. قم بإنشاء مثيل Azure Digital Twins باستخدام هوية معينة من قبل النظام أو قم بتمكين الهوية المعينة من قبل النظام على مثيل Azure Digital Twins موجود.
2. أضف دورا أو أدوارا مناسبة إلى الهوية. على سبيل المثال، قم بتعيين دور مرسل بيانات مركز أحداث Azure إلى الهوية إذا كانت نقطة النهاية هي مراكز الأحداث، أو دور مرسل البيانات ناقل خدمة Azure إذا كانت نقطة النهاية هي ناقل الخدمة.
3. قم بإنشاء نقطة نهاية في Azure Digital Twins يمكنها استخدام الهويات المعينة من قبل النظام للمصادقة.

تمكين الهوية المدارة من قبل النظام للمثيل

عند تمكين هوية معينة من قبل النظام على مثيل Azure Digital Twins، يقوم Azure تلقائيا بإنشاء هوية لها في Azure Active Directory (Azure AD). ويمكن بعد ذلك استخدام هذه الهوية للمصادقة على نقاط نهاية Azure Digital Twins لإعادة توجيه الأحداث.

يمكنك تمكين الهويات المدارة من قبل النظام لمثيل Azure Digital Twins بطريقتين مختلفتين:

• قم بتمكينه كجزء من الإعداد الأولي للمثيل.
• قم بتمكينه لاحقا على مثيل موجود بالفعل.

ستعطي أي من طرق الإنشاء هذه نفس خيارات التكوين ونفس النتيجة النهائية للمثيل الخاص بك. يوضح هذا القسم كيفية القيام بكليهما.

إضافة هوية مدارة بواسطة النظام أثناء إنشاء مثيل

في هذا القسم، ستتعرف على كيفية تمكين هوية مدارة بواسطة النظام لمثيل Azure Digital Twins أثناء إنشاء المثيل. يمكنك تمكين الهوية سواء كنت تقوم بإنشاء المثيل باستخدام مدخل Azure أو Azure CLI. استخدم علامات التبويب أدناه لتحديد التعليمات الخاصة بتجربتك المفضلة.

المدخل

لإضافة هوية مدارة أثناء إنشاء مثيل في البوابة الإلكترونية، ابدأ في إنشاء مثيل كما تفعل عادة.

يوجد خيار الهوية المدارة بواسطة النظام في علامة التبويب خيارات متقدمة من إعداد المثيل.

في علامة التبويب هذه، حدد الخيار تشغيلللهوية المدارة من قبل النظام لتشغيل هذه الميزة.

يمكنك بعد ذلك استخدام أزرار التنقل السفلية لمتابعة بقية إعداد المثيل.

CLI

في CLI، يمكنك إضافة --assign-identity معلمة إلى az dt create الأمر المستخدم لإنشاء المثيل. (لمزيد من المعلومات حول هذا الأمر، راجع الوثائق المرجعية الخاصة به أو الإرشادات العامة لإعداد مثيل Azure Digital Twins).

لإنشاء مثيل بهوية مدارة من قبل النظام، أضف المعلمة على --assign-identity النحو التالي:

az dt create --dt-name <new-instance-name> --resource-group <resource-group> --assign-identity

إضافة هوية مدارة بواسطة النظام إلى مثيل موجود

في هذا القسم، ستضيف هوية يديرها النظام إلى مثيل Azure Digital Twins موجود بالفعل. استخدم علامات التبويب أدناه لتحديد التعليمات الخاصة بتجربتك المفضلة.

المدخل

ابدأ بفتح مدخل Azure في مستعرض.

1. ابحث عن اسم المثيل الخاص بك في شريط بحث البوابة الإلكترونية، وحدده لعرض تفاصيله.

2. حدد الهوية في القائمة اليمنى.

3. في هذه الصفحة، حدد الخيار تشغيل لتشغيل هذه الميزة.

4. حدد الزر حفظ ، ونعم للتأكيد.

   

بعد حفظ التغيير، ستظهر المزيد من الحقول في هذه الصفحة لمعرف الكائنوالأذونات الخاصة بالهوية الجديدة.

يمكنك نسخ معرف الكائن من هنا إذا لزم الأمر، واستخدام الزر أذونات لعرض أدوار Azure التي تم تعيينها للهوية. لإعداد بعض الأدوار، تابع إلى القسم التالي.

CLI

مرة أخرى، يمكنك إضافة الهوية إلى المثيل الخاص بك باستخدام az dt create الأمر والمعلمة --assign-identity . بدلا من توفير اسم جديد لمثيل لإنشائه، يمكنك توفير اسم مثيل موجود بالفعل لتحديث قيمة --assign-identity هذا المثيل.

الأمر الخاص بتمكين الهوية المدارة هو نفسه الأمر لإنشاء مثيل بهوية مدارة من قبل النظام. كل ما يتغير هو قيمة معلمة اسم المثيل:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --assign-identity

لتعطيل الهوية المدارة على مثيل حيث يتم تمكينها حاليا، استخدم الأمر المشابه التالي للتعيين --assign-identity إلى false.

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --assign-identity false

تعيين أدوار Azure للهوية

بمجرد إنشاء هوية معينة من قبل النظام لمثيل Azure Digital Twins، ستحتاج إلى تعيين أدوار مناسبة لها للمصادقة باستخدام أنواع مختلفة من نقاط النهاية لتوجيه الأحداث إلى الوجهات المدعومة. يصف هذا القسم خيارات الدور وكيفية تعيينها إلى الهوية المعينة من قبل النظام.

ملاحظة

هذه خطوة مهمة - بدونها ، لن تتمكن الهوية من الوصول إلى نقاط النهاية ولن يتم تسليم الأحداث.

الوجهات المدعومة وأدوار Azure

فيما يلي الحد الأدنى من الأدوار التي تحتاجها الهوية للوصول إلى نقطة نهاية، بناء على نوع الوجهة. ستعمل الأدوار ذات الأذونات الأعلى (مثل أدوار مالك البيانات) أيضا.

الوجهة	دور Azure
مراكز أحداث Azure	مرسل بيانات مراكز أحداث Azure Event Hubs
ناقل خدمة Azure	مرسل بيانات ناقل خدمة Azure
Azure storage container	مساهم بيانات Storage Blob

لمزيد من المعلومات حول نقاط النهاية والمسارات وأنواع الوجهات المدعومة للتوجيه في Azure Digital Twins، راجع مسارات الأحداث.

تعيين الدور

ملاحظة

يجب إكمال هذا القسم بواسطة مستخدم Azure لديه أذونات لإدارة وصول المستخدم إلى موارد Azure، بما في ذلك منح الأذونات وتفويضها. الأدوار الشائعة التي تفي بهذا المطلب هي المالكأو مسؤول الحسابأو مجموعة من مدير وصول المستخدمو المساهم. لمزيد من المعلومات حول متطلبات الأذونات لأدوار Azure Digital Twins، راجع إعداد مثيل ومصادقة.

استخدم علامات التبويب أدناه لتحديد التعليمات الخاصة بتجربتك المفضلة.

المدخل

لتعيين دور للهوية، ابدأ بفتح مدخل Azure في مستعرض.

1. انتقل إلى مورد نقطة النهاية (مركز الأحداث أو موضوع ناقل الخدمة أو حاوية التخزين) من خلال البحث عن اسمه في شريط بحث البوابة الإلكترونية.

2. حدد Access control (IAM).

3. حدد Add>Add role assignment لفتح صفحة إضافة تعيين الدور.

4. قم بتعيين الدور المطلوب للهوية المدارة لمثيل Azure Digital Twins الخاص بك، باستخدام المعلومات أدناه. للحصول على خطوات تفصيلية، راجع ⁧⁩تعيين أدوار Azure باستخدام مدخل Microsoft Azure⁧⁩.

   إعداد	القيمة
   الدور	حدد الدور المطلوب من القائمة المنسدلة.
   تعيين الوصول إلى	ضمن الهوية المدارة المعينة من قبل النظام، حدد التوائم الرقمية.
   الأعضاء	حدد الهوية المدارة لمثيل Azure Digital Twins الذي يتم تعيين الدور له. يتطابق اسم الهوية المدارة مع اسم المثيل، لذا اختر اسم مثيل Azure Digital Twins.

   

CLI

يمكنك إضافة المعلمة --scopes إلى az dt create الأمر لتعيين الهوية إلى نطاق واحد أو أكثر مع دور محدد. يمكن استخدام الأمر الذي يحتوي على هذه المعلمة عند إنشاء المثيل لأول مرة، أو لاحقا عن طريق المرور باسم مثيل موجود بالفعل.

في ما يلي مثال ينشئ مثيلا بهوية مدارة من قبل النظام، ويعين هذه الهوية دورا مخصصا يسمى MyCustomRole في مركز أحداث.

az dt create --dt-name <new-instance-name> --resource-group <resource-group> --assign-identity --scopes "/subscriptions/<subscription ID>/resourceGroups/<resource-group>/providers/Microsoft.EventHub/namespaces/<Event-Hubs-namespace>/eventhubs/<event-hub-name>" --role MyCustomRole

لمزيد من الأمثلة على تعيينات الأدوار باستخدام هذا الأمر، راجع az dt create reference documents.

يمكنك أيضا استخدام مجموعة أوامر تعيين دور az لإنشاء الأدوار وإدارتها. يمكن استخدام هذا الأمر لدعم سيناريوهات أخرى حيث لا تريد تجميع تعيين دور باستخدام الأمر إنشاء.

إنشاء نقطة نهاية باستخدام المصادقة المستندة إلى الهوية

بعد إعداد هوية مدارة بواسطة النظام لمثيل Azure Digital Twins وتعيينه للدور (الأدوار) المناسب، يمكنك إنشاء نقاط نهاية Azure Digital Twins التي يمكنها استخدام الهوية للمصادقة. يتوفر هذا الخيار فقط لمراكز الأحداث ونقاط النهاية من نوع ناقل الخدمة (وهو غير مدعوم لشبكة الأحداث).

ملاحظة

لا يمكنك تحرير نقطة نهاية تم إنشاؤها بالفعل باستخدام هوية تستند إلى المفتاح للتغيير إلى مصادقة تستند إلى الهوية. يجب عليك اختيار نوع المصادقة عند إنشاء نقطة النهاية لأول مرة.

استخدم علامات التبويب أدناه لتحديد التعليمات الخاصة بتجربتك المفضلة.

المدخل

ابدأ في اتباع الإرشادات لإنشاء نقطة نهاية Azure Digital Twins.

عندما تصل إلى خطوة إكمال التفاصيل المطلوبة لنوع نقطة النهاية، تأكد من تحديد مستند إلى الهوية لنوع المصادقة.

أكمل إعداد نقطة النهاية وحدد حفظ.

CLI

يتم إنشاء نقطة النهاية باستخدام CLI عن طريق إضافة --auth-type معلمة إلى az dt endpoint create الأمر المستخدم لإنشاء نقطة النهاية. (لمزيد من المعلومات حول هذا الأمر، راجع الوثائق المرجعية الخاصة به أو الإرشادات العامة لإعداد نقطة نهاية Azure Digital Twins).

لإنشاء نقطة نهاية تستخدم المصادقة المستندة إلى الهوية، حدد نوع المصادقة IdentityBased باستخدام المعلمة --auth-type . يوضح المثال أدناه هذه الوظيفة لنقطة نهاية مراكز الأحداث.

az dt endpoint create eventhub --endpoint-name <endpoint-name> --eventhub-resource-group <eventhub-resource-group> --eventhub-namespace <eventhub-namespace> --eventhub <eventhub-name> --auth-type IdentityBased --dt-name <instance-name>

اعتبارات تعطيل الهويات التي يديرها النظام

نظرا لأن الهوية تتم إدارتها بشكل منفصل عن نقاط النهاية التي تستخدمها، فمن المهم مراعاة التأثيرات التي يمكن أن تحدثها أي تغييرات تطرأ على الهوية أو أدوارها على نقاط النهاية في مثيل Azure Digital Twins. إذا تم تعطيل الهوية، أو تمت إزالة دور ضروري لنقطة نهاية منها، فقد يتعذر الوصول إلى نقطة النهاية وسيتعطل تدفق الأحداث.

للاستمرار في استخدام نقطة نهاية تم إعدادها باستخدام هوية مدارة تم تعطيلها الآن، ستحتاج إلى حذف نقطة النهاية وإعادة إنشائها بنوع مصادقة مختلف. قد يستغرق الأمر ما يصل إلى ساعة حتى تستأنف الأحداث التسليم إلى نقطة النهاية بعد هذا التغيير.

الخطوات التالية

تعرف على المزيد حول الهويات المدارة في Azure AD:

• الهويات المُدارة لموارد Azure