Felügyelt identitás engedélyezése az Azure Digital Twins-események útválasztásához

Ez a cikk bemutatja, hogyan engedélyezheti a rendszer által hozzárendelt identitást egy Azure Digital Twins-példányhoz, és hogyan használhatja az identitást az események támogatott útválasztási célhelyekre történő továbbításakor. A felügyelt identitások beállítása nem szükséges az útválasztáshoz, de segíthet a példánynak más, Azure AD által védett erőforrásokhoz, például az Event Hubshoz, Service Bus célhelyekhez és az Azure Storage-tárolóhoz való egyszerű hozzáférésben.

A cikk az alábbi lépéseket ismerteti:

  1. Hozzon létre egy Azure Digital Twins-példányt egy rendszer által hozzárendelt identitással, vagy engedélyezze a rendszer által hozzárendelt identitást egy meglévő Azure Digital Twins-példányon.
  2. Adjon hozzá egy megfelelő szerepkört vagy szerepkört az identitáshoz. Rendelje hozzá például az Azure Event Hub adatküldő szerepkört az identitáshoz, ha a végpont Event Hubs, vagy Azure Service Bus adatküldő szerepkört, ha a végpont Service Bus.
  3. Hozzon létre egy végpontot az Azure Digital Twinsben, amely rendszer által hozzárendelt identitásokat használhat hitelesítéshez.

Rendszer által felügyelt identitás engedélyezése a példányhoz

Ha engedélyezi a rendszer által hozzárendelt identitást az Azure Digital Twins-példányon, az Azure automatikusan létrehoz egy identitást a Azure Active Directory (Azure AD)-ben. Ez az identitás ezután az Azure Digital Twins-végpontokon való hitelesítéshez használható az eseménytovábbításhoz.

Az Azure Digital Twins-példányok rendszer által felügyelt identitásait kétféleképpen engedélyezheti:

  • Engedélyezze a példány kezdeti beállításának részeként.
  • Engedélyezze később egy már létező példányon.

A létrehozási módszerek bármelyike ugyanazokat a konfigurációs lehetőségeket és ugyanazt a végeredményt adja a példányhoz. Ez a szakasz mindkettőt ismerteti.

Rendszer által felügyelt identitás hozzáadása a példány létrehozásakor

Ebben a szakaszban megtudhatja, hogyan engedélyezheti a rendszer által felügyelt identitást egy Azure Digital Twins-példányhoz a példány létrehozása során. Engedélyezheti az identitást, függetlenül attól, hogy a példányt a Azure Portal vagy az Azure CLI-vel hozza létre. Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.

Ha felügyelt identitást szeretne hozzáadni a példány létrehozása során a portálon, kezdje el létrehozni a példányt a szokásos módon.

A rendszer által felügyelt identitás beállítás a példánybeállítás Speciális lapján található.

Ezen a lapon válassza a Rendszer által felügyelt identitásbekapcsolva lehetőségét a funkció bekapcsolásához.

Screenshot of the Azure portal showing the Advanced tab of the Create Resource dialog for Azure Digital Twins. System managed identity is turned on.

Ezután az alsó navigációs gombokkal folytathatja a többi példány beállítását.

Rendszer által felügyelt identitás hozzáadása egy meglévő példányhoz

Ebben a szakaszban egy rendszer által felügyelt identitást fog hozzáadni egy már létező Azure Digital Twins-példányhoz. Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.

Először nyissa meg a Azure Portal egy böngészőben.

  1. Keresse meg a példány nevét a portál keresősávján, és válassza ki a példányt a részleteinek megtekintéséhez.

  2. Válassza az Identitás lehetőséget a bal oldali menüben.

  3. Ezen a lapon válassza a Be lehetőséget a funkció bekapcsolásához.

  4. Kattintson a Mentés gombra, majd az Igen gombra a megerősítéshez.

    Screenshot of the Azure portal showing the Identity page for an Azure Digital Twins instance.

A módosítás mentése után további mezők jelennek meg ezen a lapon az új identitás objektumazonosítójára és engedélyére vonatkozóan.

Szükség esetén innen másolhatja az objektumazonosítót , és az Engedélyek gombbal megtekintheti az identitáshoz rendelt Azure-szerepköröket. Néhány szerepkör beállításához lépjen tovább a következő szakaszra.

Azure-szerepkörök hozzárendelése az identitáshoz

Miután létrehozott egy rendszer által hozzárendelt identitást az Azure Digital Twins-példányhoz, hozzá kell rendelnie a megfelelő szerepköröket a különböző típusú végpontokkal való hitelesítéshez, hogy az eseményeket a támogatott célhelyekre irányíthassa. Ez a szakasz a szerepkör-beállításokat és azok rendszer által hozzárendelt identitáshoz való hozzárendelését ismerteti.

Megjegyzés

Ez egy fontos lépés – nélküle az identitás nem fog tudni hozzáférni a végpontokhoz, és az események nem lesznek kézbesítve.

Támogatott célhelyek és Azure-szerepkörök

Az alábbi minimális szerepkörök szükségesek ahhoz, hogy az identitás hozzáférjen egy végponthoz a cél típusától függően. A magasabb engedélyekkel (például adattulajdonosi szerepkörökkel) rendelkező szerepkörök is működni fognak.

Cél Azure-szerepkör
Azure Event Hubs Azure Event Hubs adatküldő
Azure Service Bus Azure Service Bus adatküldő
Azure Storage-tároló Storage-blobadatok közreműködője

A végpontokról, útvonalakról és az Azure Digital Twinsben az útválasztáshoz támogatott céltípusokról további információt az Eseményútvonalak című témakörben talál.

A szerepkör hozzárendelése

Megjegyzés

Ezt a szakaszt olyan Azure-felhasználónak kell kitöltenie, aki jogosult az Azure-erőforrásokhoz való felhasználói hozzáférés kezelésére, beleértve az engedélyek megadását és delegálását. A követelménynek megfelelő gyakori szerepkörök a tulajdonos, a fiókadminisztrátor vagy a felhasználói hozzáférés-rendszergazda és a közreműködő kombinációja. További információ az Azure Digital Twins-szerepkörök engedélykövetelményeiről: Példány és hitelesítés beállítása.

Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.

Ha szerepkört szeretne hozzárendelni az identitáshoz, először nyissa meg a Azure Portal egy böngészőben.

  1. Keresse meg a végponterőforrást (az eseményközpontot, Service Bus témakört vagy tárolót) úgy, hogy a portál keresősávjában megkeresi a nevét.

  2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  3. Válassza az AddAdd>szerepkör-hozzárendelés lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.

  4. Rendelje hozzá a kívánt szerepkört az Azure Digital Twins-példány felügyelt identitásához az alábbi információk alapján. Részletes lépésekért lásd: Azure-szerepkörök hozzárendelése a Azure Portal használatával.

    Beállítás Érték
    Szerepkör Válassza ki a kívánt szerepkört a legördülő menüből.
    Hozzáférés hozzárendelése ehhez A Rendszer által hozzárendelt felügyelt identitás területen válassza a Digital Twins elemet.
    Tagok Válassza ki a szerepkörhöz hozzárendelt Azure Digital Twins-példány felügyelt identitását. A felügyelt identitás neve megegyezik a példány nevével, ezért válassza ki az Azure Digital Twins-példány nevét.

    Add role assignment page

Végpont létrehozása identitásalapú hitelesítéssel

Miután beállított egy rendszer által felügyelt identitást az Azure Digital Twins-példányhoz, és hozzárendelte a megfelelő szerepkör(ek)hez, létrehozhat olyan Azure Digital Twins-végpontokat , amelyek az identitást használhatják a hitelesítéshez. Ez a beállítás csak az Event Hubs és Service Bus típusú végpontok esetében érhető el (az Event Grid esetében nem támogatott).

Megjegyzés

Az identitásalapú hitelesítésre való váltáshoz nem szerkeszthetők a kulcsalapú identitással már létrehozott végpontok. A végpont első létrehozásakor ki kell választania a hitelesítési típust.

Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.

Kezdje el követni az utasításokat egy Azure Digital Twins-végpont létrehozásához.

Amikor a végponttípushoz szükséges adatok elvégzésének lépéséhez ér, mindenképpen válassza ki az identitásalapú hitelesítési típust.

Screenshot of creating an endpoint of type Event Hubs.

Fejezze be a végpont beállítását, és válassza a Mentés lehetőséget.

A rendszer által felügyelt identitások letiltásával kapcsolatos szempontok

Mivel az identitások kezelése külön történik az azt használó végpontoktól, fontos figyelembe venni, hogy az identitás vagy a szerepkörök változásai milyen hatással lehetnek az Azure Digital Twins-példány végpontjaira. Ha az identitás le van tiltva, vagy a végponthoz szükséges szerepkör el lesz távolítva, a végpont elérhetetlenné válhat, és az események folyamata megszakad.

Ha továbbra is olyan végpontot szeretne használni, amelyet egy már letiltott felügyelt identitással állítottak be, törölnie kell a végpontot, és újra létre kell hoznia egy másik hitelesítési típussal. A módosítás után akár egy órát is igénybe vehet, amíg az események folytatják a kézbesítést a végpontra.

Következő lépések

További információ a felügyelt identitásokról az Azure AD-ben: