Administrar usuarios y roles en la aplicación de IoT Central
En este artículo se describe cómo puede agregar, editar y eliminar usuarios en la aplicación de Azure IoT Central. También se describe cómo administrar roles en la aplicación.
Para acceder y usar la sección Permisos, debe disponer del rol Administrador de aplicaciones para una aplicación de Azure IoT Central o de un rol personalizado que incluya permisos de administración. Si crea una aplicación de Azure IoT Central, se le asigna automáticamente el rol Administrator de aplicación para esa aplicación.
Para obtener información sobre cómo administrar usuarios y roles mediante la API REST de IoT Central, consulte Uso de la API REST de IoT Central para administrar usuarios y roles.
Agregar usuarios
Cada usuario debe tener una cuenta de usuario antes de poder iniciar sesión y acceder a la aplicación. IoT Central admite cuentas de usuario de Microsoft, cuentas de Microsoft Entra, grupos de Microsoft Entra y entidades de servicio de Microsoft Entra. Para más información, consulte la ayuda para cuentas de Microsoft e Inicio rápido: incorporación de nuevos usuarios a Microsoft Entra ID.
Para agregar un usuario a una aplicación de IoT Central, vaya a la página Usuarios de la sección Permisos:
Para agregar un usuario, en la página Usuarios, seleccione + Asignar usuario. Para agregar una entidad de servicio en la página Usuarios, elija + Asignar entidad de servicio. Para agregar un grupo de Microsoft Entra en la página Usuarios, elija + Asignar grupo. Empiece a escribir el nombre de la entidad de servicio o del grupo de Active Directory para rellenar automáticamente el formulario.
Nota:
Las entidades de servicio y los grupos de Active Directory deben pertenecer al mismo inquilino de Microsoft Entra que la suscripción de Azure asociada a la aplicación de IoT Central.
Si la aplicación usa organizaciones, elija una organización para asignarla al usuario en el menú desplegable Organización.
Seleccione un rol para el usuario en el menú desplegable Rol. Más información sobre los roles en la sección Administración de roles de este artículo:
Los roles disponibles dependen de la organización a la que está asociado el usuario. Puede asignar roles de aplicación a usuarios asociados a la organización raíz y roles de organización a usuarios asociados a cualquier otra organización de la jerarquía.
Nota:
Un usuario que tenga un rol personalizado que le conceda permisos para agregar otros usuarios solo puede agregar usuarios a un rol que tenga los mismos permisos que el suyo o unos inferiores.
Al invitar a un nuevo usuario, debe compartir la dirección URL de la aplicación con él y pedirle que inicie sesión. Una vez que haya iniciado sesión por primera vez, la aplicación aparece en la página Mis aplicaciones del usuario.
Nota:
Si se elimina un usuario de Microsoft Entra ID y, después, se vuelve a agregar, el usuario no podrá iniciar sesión en la aplicación IoT Central. Para volver a habilitar el acceso, el administrador de la aplicación debe eliminar al usuario y en la aplicación y volver a agregarlo también.
Las limitaciones siguientes se aplican a los grupos y entidades de servicio de Microsoft Entra:
- El número total de grupos de Microsoft Entra para cada aplicación de IoT Central no puede ser superior a 20.
- El número total de grupos únicos de Microsoft Entra del mismo inquilino de Microsoft Entra no puede ser superior a 200 en todas las aplicaciones de IoT Central.
- Las entidades de servicio que forman parte de un grupo de Microsoft Entra no tienen acceso automáticamente a la aplicación. Las entidades de servicio se deben agregar explícitamente.
Edición de los roles y las organizaciones que se asignan a los usuarios
Los roles y las organizaciones no se pueden cambiar una vez asignados. Para cambiar el rol o la organización asignada a un usuario, elimine el usuario y agréguelo de nuevo con un rol u organización diferente.
Nota:
Los roles asignados son específicos de la aplicación de IoT Central y no se pueden administrar desde Azure Portal.
Eliminar usuarios
Para eliminar usuarios, seleccione una o más casillas en la página Usuarios. A continuación, seleccione Eliminar.
Administrar roles
Los roles le permiten controlar qué usuarios de la organización tienen permiso para realizar varias tareas en IoT Central. Hay tres roles integrados que se pueden asignar a los usuarios de la aplicación. También puede crear roles personalizados si necesita un control más preciso.
Administrador de aplicaciones
Los usuarios del rol Administrador de aplicación pueden administrar y controlar todas las partes de la aplicación, incluida la facturación.
El usuario que crea una aplicación se asigna automáticamente al rol Administrador de aplicación. Siempre debe haber al menos un usuario en el rol Administrador de aplicación.
Generador de aplicaciones
Los usuarios con el rol Generador de aplicaciones pueden administrar todas las partes de la aplicación, pero no pueden realizar cambios en las pestañas Aplicación o Exportación de datos.
Operador de aplicaciones
Los usuarios de rol Operador de aplicaciones pueden supervisar el estado y el mantenimiento del dispositivo. No se les permite realizar cambios en las plantillas de dispositivo ni administrar la aplicación. Esto significa que los operadores pueden agregar y eliminar dispositivos, administrar conjuntos de dispositivos y ejecutar análisis y trabajos.
Administrador de organización
IoT Central agrega este rol automáticamente al agregar una organización a la aplicación. Este rol restringe a los administradores de la organización el acceso a algunas funcionalidades de toda la aplicación, como facturación, personalización de marca, colores, tokens de API e información del grupo de inscripción.
Los usuarios con el rol de Administrador de la organización pueden invitar usuarios a la aplicación, crear suborganizaciones dentro de su jerarquía organizativa y administrar los dispositivos dentro de su organización.
Operador de organización
IoT Central agrega este rol automáticamente al agregar una organización a la aplicación. Este rol impide que los operadores de la organización accedan a algunas funcionalidades de toda la aplicación.
Los usuarios del rol Operador de organización pueden completar tareas como agregar dispositivos, ejecutar comandos, ver datos del dispositivo, crear paneles y crear grupos de dispositivos.
Visor de organización
IoT Central agrega este rol automáticamente al agregar una organización a la aplicación.
Los usuarios con el rol Visor de organización pueden ver elementos como dispositivos y sus datos, paneles de la organización, grupos de dispositivos y plantillas de dispositivo.
Crear un rol personalizado
Si la solución requiere controles de acceso más precisos, puede crear roles con conjuntos de permisos personalizados. Para crear un rol personalizado, vaya a la página Roles de la sección Permisos de la aplicación y elija una de estas opciones:
- Seleccione + Nuevo, agregue un nombre y una descripción para el rol y seleccione Aplicación u Organización como tipo de rol. Esta opción le permite crear una definición de rol desde cero.
- Vaya a un rol existente y seleccione Copiar. Esta opción le permite empezar con una definición de rol existente que puede personalizar.
Advertencia
No se puede cambiar el tipo de rol después de crearlo.
Cuando invita a un usuario a la aplicación, si asocia el usuario a:
- la organización raíz, entonces, solo están disponibles los roles de Aplicación.
- cualquier otra organización, entonces, solo están disponibles los roles de Aplicación.
Puede agregar usuarios al rol personalizado de la misma manera que agrega usuarios a un rol integrado.
Opciones de roles personalizados
Al definir un rol personalizado, elige el conjunto de permisos que se concede a un usuario si es miembro del rol. Algunos permisos dependen de otros. Por ejemplo, si agrega a un rol el permiso Update personal dashboards (Actualizar paneles personales), se agrega automáticamente el permiso View personal dashboards (Ver paneles personales). En las tablas siguientes se resumen los permisos disponibles (y sus dependencias), que puede usar al crear roles personalizados.
Administración de dispositivos
Permisos de la plantilla de dispositivo
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Administración | Ver Otras dependencias: ver instancias de dispositivo |
| Control total | Ver, administrar Otras dependencias: ver instancias de dispositivo |
Permisos de instancia de dispositivo
| Nombre | Dependencias |
|---|---|
| Ver | Ninguno Otras dependencias: ver plantillas de dispositivo y grupos de dispositivos |
| Actualizar | Ver Otras dependencias: ver plantillas de dispositivo y grupos de dispositivos |
| Crear | Ver Otras dependencias: ver plantillas de dispositivo y grupos de dispositivos |
| Eliminar | Ver Otras dependencias: ver plantillas de dispositivo y grupos de dispositivos |
| Ejecutar comandos | Actualizar, ver Otras dependencias: ver plantillas de dispositivo y grupos de dispositivos |
| Visualización de datos sin procesar | Ver Otras dependencias: ver plantillas de dispositivo y grupos de dispositivos |
| Visualización de archivos de dispositivo cargados | Ver Otras dependencias: ver plantillas de dispositivo y grupos de dispositivos |
| Eliminación de archivos de dispositivo cargados | Ver Otras dependencias: ver plantillas de dispositivo y grupos de dispositivos |
| Control total | Ver, actualizar, crear, eliminar, ejecutar comandos, ver datos sin procesar Otras dependencias: ver plantillas de dispositivo y grupos de dispositivos |
Permisos de grupos de dispositivos
| Nombre | Dependencias |
|---|---|
| Ver | Ninguno Otras dependencias: ver plantillas de dispositivo e instancias de dispositivos |
| Actualizar | Ver Otras dependencias: ver plantillas de dispositivo e instancias de dispositivos |
| Crear | Ver, actualizar Otras dependencias: ver plantillas de dispositivo e instancias de dispositivos |
| Eliminar | Ver Otras dependencias: ver plantillas de dispositivo e instancias de dispositivos |
| Control total | Ver, actualizar, crear, eliminar Otras dependencias: ver plantillas de dispositivo e instancias de dispositivos |
Permisos de administración de conectividad de dispositivos
| Nombre | Dependencias |
|---|---|
| Leer instancias | Ninguno Otras dependencias: Ver plantillas de dispositivo, grupos de dispositivos e instancias de dispositivo |
| Administrar instancia | Leer instancias Otras dependencias: Ver plantillas de dispositivo, grupos de dispositivos e instancias de dispositivo |
| Lectura global | None |
| Administración global | Lectura global |
| Control total | Leer instancias, administrar instancias, lectura global, administración global Otras dependencias: Ver plantillas de dispositivo, grupos de dispositivos e instancias de dispositivo |
Manifiestos de implementación de Edge
| Nombre | Dependencias |
|---|---|
| Leer instancias | Ninguno Otras dependencias: Ver plantillas de dispositivo, grupos de dispositivos e instancias de dispositivo |
| Administrar instancia | Leer instancias Otras dependencias: Ver plantillas de dispositivo, grupos de dispositivos e instancias de dispositivo |
| Lectura global | None |
| Administración global | Lectura global |
| Control total | Leer instancias, administrar instancias, lectura global, administración global Otras dependencias: Ver plantillas de dispositivo, grupos de dispositivos e instancias de dispositivo. Actualizar instancias de dispositivo |
Permisos de trabajos
| Nombre | Dependencias |
|---|---|
| Ver | Ninguno Otras dependencias: ver plantillas de dispositivo, instancias de dispositivo y grupos de dispositivos |
| Actualizar | Ver Otras dependencias: ver plantillas de dispositivo, instancias de dispositivo y grupos de dispositivos |
| Crear | Ver, actualizar Otras dependencias: ver plantillas de dispositivo, instancias de dispositivo y grupos de dispositivos |
| Eliminar | Ver Otras dependencias: ver plantillas de dispositivo, instancias de dispositivo y grupos de dispositivos |
| Ejecutar | Ver Otras dependencias: ver plantillas de dispositivo, instancias de dispositivo y los grupos de dispositivos; actualizar instancias de dispositivo; ejecutar comandos en instancias de dispositivo |
| Control total | Ver, actualizar, crear, eliminar, ejecutar Otras dependencias: ver plantillas de dispositivo, instancias de dispositivo y los grupos de dispositivos; actualizar instancias de dispositivo; ejecutar comandos en instancias de dispositivo |
Permisos de reglas
| Nombre | Dependencias |
|---|---|
| Ver | Ninguno Otras dependencias: ver plantillas de dispositivo |
| Actualizar | Ver Otras dependencias: ver plantillas de dispositivo |
| Crear | Ver, actualizar Otras dependencias: ver plantillas de dispositivo |
| Eliminar | Ver Otras dependencias: ver plantillas de dispositivo |
| Control total | Ver, actualizar, crear, eliminar Otras dependencias: ver plantillas de dispositivo |
Administración de la aplicación
Permisos de configuración de la aplicación
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Actualizar | Ver |
| Copiar | Ver Otras dependencias: ver plantillas de dispositivo, instancias de dispositivo, grupos de dispositivos, paneles, exportación de datos, personalización de marca, vínculos de ayuda, roles personalizados, reglas |
| Eliminar | Ver |
| Control total | Ver, actualizar, copiar, eliminar Otras dependencias: ver plantillas de dispositivo, grupos de dispositivos, paneles de la aplicación, exportación de datos, personalización de marca, vínculos de ayuda, roles personalizados, reglas |
Permisos de exportación de plantillas de aplicación
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Exportación | Ver Otras dependencias: ver plantillas de dispositivo, instancias de dispositivo, grupos de dispositivos, paneles, exportación de datos, personalización de marca, vínculos de ayuda, roles personalizados, reglas |
| Control total | Ver, exportar Otras dependencias: ver plantillas de dispositivo, grupos de dispositivos, paneles de la aplicación, exportación de datos, personalización de marca, vínculos de ayuda, roles personalizados, reglas |
Permisos de carga de archivos de dispositivo
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Administración | Ver |
| Control total | Ver, administrar |
Permisos de facturación
| Nombre | Dependencias |
|---|---|
| Administración | None |
| Control total | Administración |
Permisos de registro de auditoría
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Control total | Ver |
Precaución
Cualquier usuario con permiso para ver el registro de auditoría puede ver todas las entradas de registro, incluso si no tiene permiso para ver o modificar las entidades mostradas en el registro. Por lo tanto, cualquier usuario que pueda ver el registro podrá ver la identidad de cualquier entidad modificada y los cambios realizados en esta.
Administración de usuarios y roles
Permisos de roles personalizados
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Actualizar | Ver |
| Crear | Ver, actualizar |
| Eliminar | Ver |
| Control total | Ver, actualizar, crear, eliminar |
Permisos de administración de usuarios
| Nombre | Dependencias |
|---|---|
| Ver | Ninguno Otras dependencias: ver roles personalizados |
| Sumar | Ver Otras dependencias: ver roles personalizados |
| Eliminar | Ver Otras dependencias: ver roles personalizados |
| Control total | Ver, agregar, eliminar Otras dependencias: ver roles personalizados |
Permisos de administración de la organización
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Actualizar | Ver |
| Crear | Ver, actualizar |
| Eliminar | Ver |
| Control total | Ver, actualizar, crear, eliminar |
Nota:
Un usuario que tenga un rol personalizado que le conceda permisos para agregar otros usuarios solo puede agregar usuarios a un rol que tenga los mismos permisos que el suyo o unos inferiores.
Personalización de la aplicación
Permisos de paneles de la aplicación
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Actualizar | Ver |
| Crear | Ver, actualizar |
| Eliminar | Ver |
| Control total | Ver, actualizar, crear, eliminar |
Permisos de paneles personales
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Actualizar | Ver |
| Crear | Ver, actualizar |
| Eliminar | Ver |
| Control total | Ver, actualizar, crear, eliminar |
Permisos del explorador de datos
| Nombre | Dependencias |
|---|---|
| Ver | Ninguno Otras dependencias: Ver grupos de dispositivo, plantillas de dispositivos e instancias de dispositivo |
| Actualizar | Ver Otras dependencias: Ver grupos de dispositivo, plantillas de dispositivos e instancias de dispositivo |
| Crear | Ver, actualizar Otras dependencias: Ver grupos de dispositivo, plantillas de dispositivos e instancias de dispositivo |
| Eliminar | Ver Otras dependencias: Ver grupos de dispositivo, plantillas de dispositivos e instancias de dispositivo |
| Control total | Ver, actualizar, crear, eliminar Otras dependencias: Ver grupos de dispositivo, plantillas de dispositivos e instancias de dispositivo |
Permisos de personalización de marca, iconos de favoritos y colores
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Actualizar | Ver |
| Control total | Ver, actualizar |
Permisos de vínculos de ayuda
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Actualizar | Ver |
| Control total | Ver, actualizar |
Extensión de la aplicación
Permisos de exportación de datos
| Nombre | Dependencias |
|---|---|
| Ver | None |
| Actualizar | Ver |
| Crear | Ver, actualizar |
| Eliminar | Ver |
| Control total | Ver, actualizar, crear, eliminar |
Permisos de token de API
| Nombre | Dependencias |
|---|---|
| Ver | Ninguno Otras dependencias: ver roles personalizados |
| Crear | Ver Otras dependencias: ver roles personalizados |
| Eliminar | Ver Otras dependencias: ver roles personalizados |
| Control total | Ver, crear, eliminar Otras dependencias: ver roles personalizados |