Felügyelt identitás engedélyezése az Azure Digital Twins-események útválasztásához

Ez a cikk bemutatja, hogyan engedélyezheti a rendszer által hozzárendelt identitást egy Azure Digital Twins-példányhoz, és hogyan használhatja az identitást az események támogatott útválasztási célhelyekre történő továbbításakor. A felügyelt identitások beállítása nem szükséges az útválasztáshoz, de segíthet a példánynak más, Azure AD által védett erőforrásokhoz, például az Event Hubshoz, Service Bus célhelyekhez és az Azure Storage-tárolóhoz való egyszerű hozzáférésben.

A cikk az alábbi lépéseket ismerteti:

1. Hozzon létre egy Azure Digital Twins-példányt egy rendszer által hozzárendelt identitással, vagy engedélyezze a rendszer által hozzárendelt identitást egy meglévő Azure Digital Twins-példányon.
2. Adjon hozzá egy megfelelő szerepkört vagy szerepkört az identitáshoz. Rendelje hozzá például az Azure Event Hub adatküldő szerepkört az identitáshoz, ha a végpont Event Hubs, vagy Azure Service Bus adatküldő szerepkört, ha a végpont Service Bus.
3. Hozzon létre egy végpontot az Azure Digital Twinsben, amely rendszer által hozzárendelt identitásokat használhat hitelesítéshez.

Rendszer által felügyelt identitás engedélyezése a példányhoz

Ha engedélyezi a rendszer által hozzárendelt identitást az Azure Digital Twins-példányon, az Azure automatikusan létrehoz egy identitást a Azure Active Directory (Azure AD)-ben. Ez az identitás ezután az Azure Digital Twins-végpontokon való hitelesítéshez használható az eseménytovábbításhoz.

Az Azure Digital Twins-példányok rendszer által felügyelt identitásait kétféleképpen engedélyezheti:

• Engedélyezze a példány kezdeti beállításának részeként.
• Engedélyezze később egy már létező példányon.

A létrehozási módszerek bármelyike ugyanazokat a konfigurációs lehetőségeket és ugyanazt a végeredményt adja a példányhoz. Ez a szakasz mindkettőt ismerteti.

Rendszer által felügyelt identitás hozzáadása a példány létrehozásakor

Ebben a szakaszban megtudhatja, hogyan engedélyezheti a rendszer által felügyelt identitást egy Azure Digital Twins-példányhoz a példány létrehozása során. Engedélyezheti az identitást, függetlenül attól, hogy a példányt a Azure Portal vagy az Azure CLI-vel hozza létre. Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.

Portál

Ha felügyelt identitást szeretne hozzáadni a példány létrehozása során a portálon, kezdje el létrehozni a példányt a szokásos módon.

A rendszer által felügyelt identitás beállítás a példánybeállítás Speciális lapján található.

Ezen a lapon válassza a Rendszer által felügyelt identitásbekapcsolva lehetőségét a funkció bekapcsolásához.

Ezután az alsó navigációs gombokkal folytathatja a többi példány beállítását.

Parancssori felület

A parancssori felületen hozzáadhat egy paramétert --assign-identity a az dt create példány létrehozásához használt parancshoz. (A parancsról további információt a referenciadokumentációban vagy az Azure Digital Twins-példány beállításának általános utasításaiban talál.

A rendszer által felügyelt identitással rendelkező példány létrehozásához adja hozzá a --assign-identity következő paramétert:

az dt create --dt-name <new-instance-name> --resource-group <resource-group> --assign-identity

Rendszer által felügyelt identitás hozzáadása egy meglévő példányhoz

Ebben a szakaszban egy rendszer által felügyelt identitást fog hozzáadni egy már létező Azure Digital Twins-példányhoz. Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.

Portál

Először nyissa meg a Azure Portal egy böngészőben.

1. Keresse meg a példány nevét a portál keresősávján, és válassza ki a példányt a részleteinek megtekintéséhez.

2. Válassza az Identitás lehetőséget a bal oldali menüben.

3. Ezen a lapon válassza a Be lehetőséget a funkció bekapcsolásához.

4. Kattintson a Mentés gombra, majd az Igen gombra a megerősítéshez.

   

A módosítás mentése után további mezők jelennek meg ezen a lapon az új identitás objektumazonosítójára és engedélyére vonatkozóan.

Szükség esetén innen másolhatja az objektumazonosítót , és az Engedélyek gombbal megtekintheti az identitáshoz rendelt Azure-szerepköröket. Néhány szerepkör beállításához lépjen tovább a következő szakaszra.

Parancssori felület

Ismét hozzáadhatja az identitást a példányhoz a parancs és --assign-identity a az dt create paraméter használatával. Ahelyett, hogy új nevet ad meg egy létrehozandó példányhoz, megadhatja egy már létező példány nevét, hogy frissítse az adott példány értékét --assign-identity .

A felügyelt identitás engedélyezésére vonatkozó parancs megegyezik a rendszer által felügyelt identitással rendelkező példány létrehozásához szükséges paranccsal. Mindez a példánynév paraméter értéke:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --assign-identity

Ha le szeretné tiltani a felügyelt identitást egy olyan példányon, amelyen jelenleg engedélyezve van, használja a következő hasonló parancsot a beállításhoz --assign-identityfalse.

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --assign-identity false

Azure-szerepkörök hozzárendelése az identitáshoz

Miután létrehozott egy rendszer által hozzárendelt identitást az Azure Digital Twins-példányhoz, hozzá kell rendelnie a megfelelő szerepköröket a különböző típusú végpontokkal való hitelesítéshez, hogy az eseményeket a támogatott célhelyekre irányíthassa. Ez a szakasz a szerepkör-beállításokat és azok rendszer által hozzárendelt identitáshoz való hozzárendelését ismerteti.

Megjegyzés

Ez egy fontos lépés – nélküle az identitás nem fog tudni hozzáférni a végpontokhoz, és az események nem lesznek kézbesítve.

Támogatott célhelyek és Azure-szerepkörök

Az alábbi minimális szerepkörök szükségesek ahhoz, hogy az identitás hozzáférjen egy végponthoz a cél típusától függően. A magasabb engedélyekkel (például adattulajdonosi szerepkörökkel) rendelkező szerepkörök is működni fognak.

Cél	Azure-szerepkör
Azure Event Hubs	Azure Event Hubs adatküldő
Azure Service Bus	Azure Service Bus adatküldő
Azure Storage-tároló	Storage-blobadatok közreműködője

A végpontokról, útvonalakról és az Azure Digital Twinsben az útválasztáshoz támogatott céltípusokról további információt az Eseményútvonalak című témakörben talál.

A szerepkör hozzárendelése

Megjegyzés

Ezt a szakaszt olyan Azure-felhasználónak kell kitöltenie, aki jogosult az Azure-erőforrásokhoz való felhasználói hozzáférés kezelésére, beleértve az engedélyek megadását és delegálását. A követelménynek megfelelő gyakori szerepkörök a tulajdonos, a fiókadminisztrátor vagy a felhasználói hozzáférés-rendszergazda és a közreműködő kombinációja. További információ az Azure Digital Twins-szerepkörök engedélykövetelményeiről: Példány és hitelesítés beállítása.

Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.

Portál

Ha szerepkört szeretne hozzárendelni az identitáshoz, először nyissa meg a Azure Portal egy böngészőben.

1. Keresse meg a végponterőforrást (az eseményközpontot, Service Bus témakört vagy tárolót) úgy, hogy a portál keresősávjában megkeresi a nevét.

2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. Válassza az AddAdd>szerepkör-hozzárendelés lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.

4. Rendelje hozzá a kívánt szerepkört az Azure Digital Twins-példány felügyelt identitásához az alábbi információk alapján. Részletes lépésekért lásd: Azure-szerepkörök hozzárendelése a Azure Portal használatával.

   Beállítás	Érték
   Szerepkör	Válassza ki a kívánt szerepkört a legördülő menüből.
   Hozzáférés hozzárendelése ehhez	A Rendszer által hozzárendelt felügyelt identitás területen válassza a Digital Twins elemet.
   Tagok	Válassza ki a szerepkörhöz hozzárendelt Azure Digital Twins-példány felügyelt identitását. A felügyelt identitás neve megegyezik a példány nevével, ezért válassza ki az Azure Digital Twins-példány nevét.

   

Parancssori felület

A paramétert a parancshoz az dt create adva --scopes hozzárendelheti az identitást egy vagy több megadott szerepkörrel rendelkező hatókörhöz. Az ezzel a paraméterrel rendelkező parancs a példány első létrehozásakor vagy később egy már létező példány nevének megadásával használható.

Íme egy példa, amely létrehoz egy példányt egy rendszer által felügyelt identitással, és hozzárendeli ezt az identitást egy eseményközpontban meghívott MyCustomRole egyéni szerepkörhöz.

az dt create --dt-name <new-instance-name> --resource-group <resource-group> --assign-identity --scopes "/subscriptions/<subscription ID>/resourceGroups/<resource-group>/providers/Microsoft.EventHub/namespaces/<Event-Hubs-namespace>/eventhubs/<event-hub-name>" --role MyCustomRole

A paranccsal történő szerepkör-hozzárendelésekre további példákat az az dt create referenciadokumentációban talál.

A szerepkörök létrehozásához és kezeléséhez az az szerepkör-hozzárendelési parancscsoportot is használhatja. Ez a parancs olyan egyéb forgatókönyvek támogatására használható, ahol nem szeretné csoportosítani a szerepkör-hozzárendelést a létrehozási paranccsal.

Végpont létrehozása identitásalapú hitelesítéssel

Miután beállított egy rendszer által felügyelt identitást az Azure Digital Twins-példányhoz, és hozzárendelte a megfelelő szerepkör(ek)hez, létrehozhat olyan Azure Digital Twins-végpontokat , amelyek az identitást használhatják a hitelesítéshez. Ez a beállítás csak az Event Hubs és Service Bus típusú végpontok esetében érhető el (az Event Grid esetében nem támogatott).

Megjegyzés

Az identitásalapú hitelesítésre való váltáshoz nem szerkeszthetők a kulcsalapú identitással már létrehozott végpontok. A végpont első létrehozásakor ki kell választania a hitelesítési típust.

Az alábbi lapfülek segítségével kiválaszthatja az előnyben részesített felületre vonatkozó utasításokat.

Portál

Kezdje el követni az utasításokat egy Azure Digital Twins-végpont létrehozásához.

Amikor a végponttípushoz szükséges adatok elvégzésének lépéséhez ér, mindenképpen válassza ki az identitásalapú hitelesítési típust.

Fejezze be a végpont beállítását, és válassza a Mentés lehetőséget.

Parancssori felület

A végpont parancssori felülettel való létrehozását úgy végezheti el, hogy hozzáad egy --auth-type paramétert a az dt endpoint create végpont létrehozásához használt parancshoz. (A parancsról további információt a referenciadokumentációban vagy az Azure Digital Twins-végpont beállításának általános utasításaiban talál.

Identitásalapú hitelesítést használó végpont létrehozásához adja meg a IdentityBased hitelesítési típust a --auth-type paraméterrel. Az alábbi példa ezt a funkciót szemlélteti egy Event Hubs-végpont esetében.

az dt endpoint create eventhub --endpoint-name <endpoint-name> --eventhub-resource-group <eventhub-resource-group> --eventhub-namespace <eventhub-namespace> --eventhub <eventhub-name> --auth-type IdentityBased --dt-name <instance-name>

A rendszer által felügyelt identitások letiltásával kapcsolatos szempontok

Mivel az identitások kezelése külön történik az azt használó végpontoktól, fontos figyelembe venni, hogy az identitás vagy a szerepkörök változásai milyen hatással lehetnek az Azure Digital Twins-példány végpontjaira. Ha az identitás le van tiltva, vagy a végponthoz szükséges szerepkör el lesz távolítva, a végpont elérhetetlenné válhat, és az események folyamata megszakad.

Ha továbbra is olyan végpontot szeretne használni, amelyet egy már letiltott felügyelt identitással állítottak be, törölnie kell a végpontot, és újra létre kell hoznia egy másik hitelesítési típussal. A módosítás után akár egy órát is igénybe vehet, amíg az események folytatják a kézbesítést a végpontra.

Következő lépések

További információ a felügyelt identitásokról az Azure AD-ben:

• Azure-erőforrások felügyelt identitásai