Felügyelt identitás engedélyezése az Azure Digital Twins-események útválasztásához
Ez a cikk bemutatja, hogyan engedélyezheti a rendszer által hozzárendelt identitást egy Azure Digital Twins-példányhoz, és hogyan használhatja az identitást az események támogatott útválasztási célhelyekre történő továbbításakor. A felügyelt identitások beállítása nem szükséges az útválasztáshoz, de segíthet a példánynak más, Azure AD által védett erőforrásokhoz, például az Event Hubshoz, Service Bus célhelyekhez és az Azure Storage-tárolóhoz való egyszerű hozzáférésben.
A cikk az alábbi lépéseket ismerteti:
- Hozzon létre egy Azure Digital Twins-példányt egy rendszer által hozzárendelt identitással, vagy engedélyezze a rendszer által hozzárendelt identitást egy meglévő Azure Digital Twins-példányon.
- Adjon hozzá egy megfelelő szerepkört vagy szerepkört az identitáshoz. Rendelje hozzá például az Azure Event Hub adatküldő szerepkört az identitáshoz, ha a végpont Event Hubs, vagy Azure Service Bus adatküldő szerepkört, ha a végpont Service Bus.
- Hozzon létre egy végpontot az Azure Digital Twinsben, amely rendszer által hozzárendelt identitásokat használhat hitelesítéshez.
Rendszer által felügyelt identitás engedélyezése a példányhoz
Ha engedélyezi a rendszer által hozzárendelt identitást az Azure Digital Twins-példányon, az Azure automatikusan létrehoz egy identitást a Azure Active Directory (Azure AD)-ben. Ez az identitás ezután az Azure Digital Twins-végpontokon való hitelesítéshez használható az eseménytovábbításhoz.
Az Azure Digital Twins-példányok rendszer által felügyelt identitásait kétféleképpen engedélyezheti:
- Engedélyezze a példány kezdeti beállításának részeként.
- Engedélyezze később egy már létező példányon.
A létrehozási módszerek bármelyike ugyanazokat a konfigurációs lehetőségeket és ugyanazt a végeredményt adja a példányhoz. Ez a szakasz mindkettőt ismerteti.
Rendszer által felügyelt identitás hozzáadása a példány létrehozásakor
Ebben a szakaszban megtudhatja, hogyan engedélyezheti a rendszer által felügyelt identitást egy Azure Digital Twins-példányhoz a példány létrehozása során. Engedélyezheti az identitást, függetlenül attól, hogy a példányt a Azure Portal vagy az Azure CLI-vel hozza létre. Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.
Ha felügyelt identitást szeretne hozzáadni a példány létrehozása során a portálon, kezdje el létrehozni a példányt a szokásos módon.
A rendszer által felügyelt identitás beállítás a példánybeállítás Speciális lapján található.
Ezen a lapon válassza a Rendszer által felügyelt identitásbekapcsolva lehetőségét a funkció bekapcsolásához.
Ezután az alsó navigációs gombokkal folytathatja a többi példány beállítását.
Rendszer által felügyelt identitás hozzáadása egy meglévő példányhoz
Ebben a szakaszban egy rendszer által felügyelt identitást fog hozzáadni egy már létező Azure Digital Twins-példányhoz. Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.
Először nyissa meg a Azure Portal egy böngészőben.
Keresse meg a példány nevét a portál keresősávján, és válassza ki a példányt a részleteinek megtekintéséhez.
Válassza az Identitás lehetőséget a bal oldali menüben.
Ezen a lapon válassza a Be lehetőséget a funkció bekapcsolásához.
Kattintson a Mentés gombra, majd az Igen gombra a megerősítéshez.
A módosítás mentése után további mezők jelennek meg ezen a lapon az új identitás objektumazonosítójára és engedélyére vonatkozóan.
Szükség esetén innen másolhatja az objektumazonosítót , és az Engedélyek gombbal megtekintheti az identitáshoz rendelt Azure-szerepköröket. Néhány szerepkör beállításához lépjen tovább a következő szakaszra.
Azure-szerepkörök hozzárendelése az identitáshoz
Miután létrehozott egy rendszer által hozzárendelt identitást az Azure Digital Twins-példányhoz, hozzá kell rendelnie a megfelelő szerepköröket a különböző típusú végpontokkal való hitelesítéshez, hogy az eseményeket a támogatott célhelyekre irányíthassa. Ez a szakasz a szerepkör-beállításokat és azok rendszer által hozzárendelt identitáshoz való hozzárendelését ismerteti.
Megjegyzés
Ez egy fontos lépés – nélküle az identitás nem fog tudni hozzáférni a végpontokhoz, és az események nem lesznek kézbesítve.
Támogatott célhelyek és Azure-szerepkörök
Az alábbi minimális szerepkörök szükségesek ahhoz, hogy az identitás hozzáférjen egy végponthoz a cél típusától függően. A magasabb engedélyekkel (például adattulajdonosi szerepkörökkel) rendelkező szerepkörök is működni fognak.
Cél | Azure-szerepkör |
---|---|
Azure Event Hubs | Azure Event Hubs adatküldő |
Azure Service Bus | Azure Service Bus adatküldő |
Azure Storage-tároló | Storage-blobadatok közreműködője |
A végpontokról, útvonalakról és az Azure Digital Twinsben az útválasztáshoz támogatott céltípusokról további információt az Eseményútvonalak című témakörben talál.
A szerepkör hozzárendelése
Megjegyzés
Ezt a szakaszt olyan Azure-felhasználónak kell kitöltenie, aki jogosult az Azure-erőforrásokhoz való felhasználói hozzáférés kezelésére, beleértve az engedélyek megadását és delegálását. A követelménynek megfelelő gyakori szerepkörök a tulajdonos, a fiókadminisztrátor vagy a felhasználói hozzáférés-rendszergazda és a közreműködő kombinációja. További információ az Azure Digital Twins-szerepkörök engedélykövetelményeiről: Példány és hitelesítés beállítása.
Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.
Ha szerepkört szeretne hozzárendelni az identitáshoz, először nyissa meg a Azure Portal egy böngészőben.
Keresse meg a végponterőforrást (az eseményközpontot, Service Bus témakört vagy tárolót) úgy, hogy a portál keresősávjában megkeresi a nevét.
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza az AddAdd>szerepkör-hozzárendelés lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.
Rendelje hozzá a kívánt szerepkört az Azure Digital Twins-példány felügyelt identitásához az alábbi információk alapján. Részletes lépésekért lásd: Azure-szerepkörök hozzárendelése a Azure Portal használatával.
Beállítás Érték Szerepkör Válassza ki a kívánt szerepkört a legördülő menüből. Hozzáférés hozzárendelése ehhez A Rendszer által hozzárendelt felügyelt identitás területen válassza a Digital Twins elemet. Tagok Válassza ki a szerepkörhöz hozzárendelt Azure Digital Twins-példány felügyelt identitását. A felügyelt identitás neve megegyezik a példány nevével, ezért válassza ki az Azure Digital Twins-példány nevét.
Végpont létrehozása identitásalapú hitelesítéssel
Miután beállított egy rendszer által felügyelt identitást az Azure Digital Twins-példányhoz, és hozzárendelte a megfelelő szerepkör(ek)hez, létrehozhat olyan Azure Digital Twins-végpontokat , amelyek az identitást használhatják a hitelesítéshez. Ez a beállítás csak az Event Hubs és Service Bus típusú végpontok esetében érhető el (az Event Grid esetében nem támogatott).
Megjegyzés
Az identitásalapú hitelesítésre való váltáshoz nem szerkeszthetők a kulcsalapú identitással már létrehozott végpontok. A végpont első létrehozásakor ki kell választania a hitelesítési típust.
Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.
Kezdje el követni az utasításokat egy Azure Digital Twins-végpont létrehozásához.
Amikor a végponttípushoz szükséges adatok elvégzésének lépéséhez ér, mindenképpen válassza ki az identitásalapú hitelesítési típust.
Fejezze be a végpont beállítását, és válassza a Mentés lehetőséget.
A rendszer által felügyelt identitások letiltásával kapcsolatos szempontok
Mivel az identitások kezelése külön történik az azt használó végpontoktól, fontos figyelembe venni, hogy az identitás vagy a szerepkörök változásai milyen hatással lehetnek az Azure Digital Twins-példány végpontjaira. Ha az identitás le van tiltva, vagy a végponthoz szükséges szerepkör el lesz távolítva, a végpont elérhetetlenné válhat, és az események folyamata megszakad.
Ha továbbra is olyan végpontot szeretne használni, amelyet egy már letiltott felügyelt identitással állítottak be, törölnie kell a végpontot, és újra létre kell hoznia egy másik hitelesítési típussal. A módosítás után akár egy órát is igénybe vehet, amíg az események folytatják a kézbesítést a végpontra.
Következő lépések
További információ a felügyelt identitásokról az Azure AD-ben: