Autorisations sur le site azureiotsuite.com

Que se passe-t-il lorsque vous vous connectez ?

Lorsque vous vous connectez pour la première fois à azureiotsuite.com, le site détermine vos niveaux d’autorisation en fonction du client Azure Active Directory (AAD) et de l’abonnement Azure sélectionné.

1. Tout d’abord, afin de remplir la liste des clients qui apparaît en regard de votre nom d’utilisateur, le site recherche dans Azure les clients ADD auxquels vous appartenez. Actuellement, le site peut obtenir des jetons d’utilisateur pour un seul client. Par conséquent, lorsque vous basculez sur d’autres clients en utilisant la liste déroulante dans le coin supérieur droit, le site vous reconnecte à ce client pour obtenir les jetons pour ce client.

2. Ensuite, le site détecte à partir d’Azure, les abonnements que vous avez associés au client sélectionné. Vous pouvez voir les abonnements disponibles lorsque vous créez une nouvelle solution préconfigurée.

3. Enfin, le site extrait toutes les ressources dans les abonnements et les groupes de ressources marqués en tant que solutions préconfigurées et renseigne les mosaïques de la page d’accueil.

Les sections suivantes décrivent les rôles qui contrôlent l’accès aux solutions préconfigurées.

Rôles AAD

Les rôles AAD contrôlent la possibilité d’approvisionnement de solutions préconfigurées et gèrent les utilisateurs dans une solution préconfigurée.

Pour plus d’informations sur les rôles d’administrateur dans ADD, consultez la page Attribution de rôles d’administrateur dans Azure AD. Cet article se concentre sur les rôles d’annuaire Administrateur général et Utilisateur tels qu’utilisés par les solutions préconfigurées.

Administrateur général

Il peut y avoir de nombreux administrateurs généraux pour chaque locataire AAD :

• Lorsque vous créez un client AAD, vous en devenez par défaut l’administrateur.
• L’administrateur général peut approvisionner une solution préconfigurée et se voir attribuer le rôle Administrateur de l’application au sein de son locataire AAD.
• Si un autre utilisateur du même locataire AAD crée une application, le rôle attribué par défaut à l’administrateur général est Lecture seule.
• Les administrateurs généraux peuvent attribuer des rôles aux utilisateurs pour les applications à l’aide du Portail Azure.

Utilisateur de domaine

Il peut y avoir de nombreux utilisateurs de domaine pour chaque locataire AAD :

• Un utilisateur de domaine peut approvisionner une solution préconfigurée via le site azureiotsuite.com. Par défaut, l’utilisateur de domaine se voit accorder le rôle Administrateur dans l’application approvisionnée.
• Un utilisateur de domaine peut créer une application à l’aide du script build.cmd dans le référentiel azure-iot-remote-monitoring, azure-iot-predictive-maintenance ou azure-iot-connected-factory . Toutefois, le rôle accordé par défaut à l’utilisateur de domaine est Lecture seule, car un utilisateur de domaine n’est pas autorisé à attribuer des rôles.
• Si un autre utilisateur du locataire AAD crée une application, l’utilisateur de domaine se voit attribuer le rôle Lecture seule par défaut pour cette application.
• Un utilisateur de domaine ne peut pas attribuer des rôles pour des applications ; par conséquent, il ne peut pas ajouter des utilisateurs ou des rôles pour les utilisateurs d’une application, même s’ils l’ont approvisionnée.

Utilisateur invité

Il peut y avoir de nombreux utilisateurs invités pour chaque locataire AAD. Les utilisateurs invités disposent d’un ensemble limité de droits au sein du client AAD. Par conséquent, les utilisateurs invités ne peuvent pas approvisionner une solution préconfigurée dans le client AAD.

Pour plus d’informations sur les utilisateurs et les rôles dans AAD, consultez les ressources suivantes :

• Créer des utilisateurs dans Azure AD
• Affecter des utilisateurs aux applications

Rôles de l’administrateur d’abonnement Azure

Les rôles d’administration Azure permettent de contrôler la fonctionnalité de mappage d’un abonnement Azure sur un client AD.

Pour plus d’informations sur les rôles d’administrateur Azure, consultez l’article Guide pratique pour ajouter ou modifier le coadministrateur, l’administrateur de services fédérés et l’administrateur de compte.

Rôles d’application

Les rôles d’application contrôlent l’accès aux périphériques de votre solution préconfigurée.

Une application approvisionnée comporte deux rôles définis et un rôle implicite défini :

• Administrateur : contrôle totalement l’ajout, la gestion et la suppression des appareils, ainsi que la modification des paramètres.
• Lecture seule : peut afficher les appareils, actions, règles, travaux et télémétrie.

Vous pouvez trouver les autorisations attribuées à chaque rôle dans le fichier source RolePermissions.cs.

Modification des rôles d’application pour un utilisateur

Vous pouvez utiliser la procédure suivante pour définir un utilisateur dans Active Directory en tant qu’administrateur de votre solution préconfigurée.

Vous devez être un administrateur général AAD pour modifier les rôles d’un utilisateur :

1. Accédez au portail Azure.
2. Sélectionnez Azure Active Directory.
3. Veillez à utiliser l’annuaire que vous avez choisi sur azureiotsuite.com lorsque vous avez approvisionné votre solution. Si vous avez plusieurs annuaires associés à votre abonnement, vous pouvez basculer entre eux si vous cliquez sur le nom de votre compte en haut à droite du portail.
4. Cliquez sur Applications d’entreprise, puis sur Toutes les applications.
5. Affichez toutes les applications avec n’importe quel état. Recherchez ensuite une application avec le nom de votre solution préconfigurée.
6. Cliquez sur le nom de l’application qui correspond au nom de votre solution préconfigurée.
7. Cliquez sur Utilisateurs et groupes.
8. Sélectionnez l’utilisateur dont vous souhaitez permuter les rôles.
9. Cliquez sur Attribuer, puis sélectionnez le rôle (par exemple, Admin) que vous souhaitez attribuer à l’utilisateur en cochant la case correspondante.

Forum aux questions

Je suis un administrateur de service et je souhaite modifier le mappage d’annuaire entre mon abonnement et un client AAD spécifique. Comment mener à bien cette tâche ?

Voir Comment ajouter un abonnement existant à votre répertoire Azure AD

Je suis un utilisateur/membre du domaine sur le client AAD et j’ai créé une solution préconfigurée. Comment puis-je me voir attribuer un rôle pour mon application ?

Demandez à un administrateur général de vous faire passer administrateur général du locataire AAD, puis attribuez vous-même des rôles aux utilisateurs. Vous pouvez également demander à un administrateur général d’attribuer directement un rôle. Si vous souhaitez modifier le client AAD sur lequel votre solution préconfigurée a été déployée, passez à la question suivante.

Comment puis-je activer le client AAD auquel la solution préconfigurée de contrôle à distance et l’application sont affectées ?

Vous pouvez exécuter un déploiement cloud à partir de https://github.com/Azure/azure-iot-remote-monitoring, puis redéployer avec un client AAD nouvellement créé. Comme vous êtes, par défaut, administrateur général, lorsque vous créez un locataire AAD, vous disposez des autorisations nécessaires pour ajouter des utilisateurs et leur attribuer des rôles.

1. Créez un annuaire ADD dans le portail Azure .
2. Atteindre https://github.com/Azure/azure-iot-remote-monitoring.
3. Exécutez build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution} (par exemple, build.cmd cloud debug myRMSolution)
4. Lorsque vous y êtes invité, définissez le tenantid du client que vous venez de créer et non celui du client précédent.

Je souhaite modifier la fonctionnalité administrateur de service ou coadministrateur lors d’une connexion avec un compte de société

Voir l’article de support Modification de la fonctionnalité Administrateur de service et Coadministrateur lors d’une connexion avec un compte de société.

Pourquoi est-ce que je reçois cette erreur ? « Votre compte n’a pas les autorisations suffisantes pour créer une solution. Veuillez contacter votre administrateur de compte ou essayer avec un autre compte. »

Examinez le schéma suivant pour obtenir des conseils :

Notes

Si l’erreur persiste après votre validation en tant qu’administrateur global sur le client AAD et que coadministrateur sur l’abonnement, demandez à votre administrateur de compte de supprimer l’utilisateur et de réattribuer les autorisations nécessaires dans l’ordre suivant : tout d’abord, ajoutez l’utilisateur en tant qu’administrateur global, puis ajoutez un utilisateur en tant que coadministrateur sur l’abonnement Azure. Si les problèmes persistent, contactez le service Aide et support.

Pourquoi affiche-t-il cette erreur alors que j’ai un abonnement Azure ? « Vous devez avoir un abonnement Azure pour créer des solutions préconfigurées. Vous pouvez créer un compte d'essai gratuit en quelques minutes seulement. »

Si vous êtes sûr de disposer d’un abonnement Azure, validez le mappage de votre abonnement client et assurez-vous que c’est le bon client qui est sélectionné dans la liste déroulante. Si vous avez validé le locataire souhaité, suivez le schéma ci-dessus et validez le mappage de votre abonnement et de ce locataire AAD.

Étapes suivantes

Pour poursuivre votre formation concernant IoT Suite, découvrez comment personnaliser une solution préconfigurée.