Общие сведения о миграцииAbout migration

В пакете SDK для Azure Sphere 19.10 в проверку подлинности пользователей и управление облаком внесены два важных изменения.The Azure Sphere 19.10 SDK introduces two important changes to user authentication and cloud management.

Начиная с этого выпуска, Azure Sphere поддерживает проверку подлинности пользователей на основе ролей.Starting with this release, Azure Sphere supports role-based user authentication. Этот метод проверки подлинности поддерживает вход с любой учетной записью Майкрософт, рабочей или учебной учетной записью организации, и позволяет назначать определенные роли отдельным пользователям.This authentication method supports login with any Microsoft or work/school account and enables you to assign specific roles to individual users.

Изменения в управлении облаком упрощают группировку устройств и развертывание приложений.Changes to cloud management make it easier to group your devices and to deploy applications.

В результате этих изменений вам потребуется перенести клиенты и пользователей Azure Sphere в новую среду проверки подлинности и управления облаком.As a result of these changes, you'll be required to migrate your Azure Sphere tenant and users to a new authentication and cloud management environment. Миграция является однократным и необратимым действием.Migration is a one-time, irreversible action. В этой статье описаны изменения, которые внесены в проверку подлинности и управление облаком, а также предлагаются рекомендации по планированию миграции.This topic describes the changes to authentication and cloud management and provides guidance on how to plan your migration.

Изменения в проверке подлинностиChanges to authentication

Переход на проверку подлинности на основе ролей предоставляет несколько преимуществ.The change to role-based authentication provides several benefits:

  • Пользователи могут входить в Azure Sphere с любой учетной записью Майкрософт.Users can sign in to Azure Sphere with any Microsoft account. Вы по-прежнему можете использовать рабочую или учебную учетную запись, как и в предыдущих выпусках. Но теперь эта учетная запись не является обязательной.You can still use a work/school account, as with previous releases, but such an account is no longer required.

  • У каждого клиента Azure Sphere один или несколько локальных администраторов, которые управляют доступом и ролями пользователей.Each Azure Sphere tenant has one or more local administrators, who manage user access and roles. Ранее все пользователи получали полный доступ к клиенту.Previously, all users had complete access to the tenant. Локальный администратор, например управляющий развертыванием или использованием Azure Sphere, не мог ограничивать действия отдельных пользователей.A local administrator, such as a deployment or operations manager for Azure Sphere, could not limit the activities of individual users.

В новой модели проверки подлинности пользователи могут иметь любую из нескольких ролей.In the new authentication model, users can have any of several roles.

  • Администратор имеет полный доступ ко всем устройствам и операциям в клиенте, включая добавление или удаление других пользователей.An Administrator has full access to all devices and operations within the tenant, including the permission to add or delete other users. Роль администратора по умолчанию назначается пользователю, который выполняет миграцию.The Administrator role is assigned by default to the user who performs the migration.
  • Участник может добавлять устройства, а также создавать и изменять развертывания.A Contributor can add devices and create and change deployments. У разработчиков программного обеспечения и оборудования, которые создают приложения, управляют подключенными устройствами и обновляют развертывания, но не имеют отношения к управлению доступом к клиенту, должна быть роль участника.Software and hardware developers who create applications, manage connected devices, and update deployments, but are not responsible for managing tenant access, should have the Contributor role.
  • Читатель имеет доступ к сведениям о клиенте, включая утвержденные устройства, текущие развертывания и, при наличии, любые отчеты об ошибках на устройствах.A Reader has access to information about the tenant, including the claimed devices, the current deployments, and, when available, any error reporting data from the devices. Эта роль подходит для сотрудников, которые выполняют эксплуатацию и обслуживание, а также отвечают за отслеживание производительности подключенных устройств в системах для пользователей.This role is appropriate for maintenance and operations personnel who are responsible for tracking connected device performance at end-user installations.

Если вы самостоятельный пользователь, миграция будет очень простой.If you are an individual user, migration is straightforward. Если вы входите в большую организацию, которая использует Azure Sphere, вам потребуется выполнить предварительное планирование.If you are part of a wider organization using Azure Sphere, then you'll need to plan ahead. При миграции каждого пользователя Azure Sphere нужно отдельно добавить в новую среду.As part of migration, each individual Azure Sphere user must be added to the new environment. Существующие удостоверения невозможно перенести из старой среды.Their existing identity will not migrate from the previous environment. В зависимости от того, как вы предпочитаете управлять клиентом Azure Sphere, пользователей может добавлять администратор или сами пользователи.Depending on how you choose to manage your Azure Sphere tenant, an administrator can add the users or the users can add themselves. Подробнее см. статью о планировании миграции.See Plan your migration for details.

Изменения в модели управления облакомChanges to the cloud management model

Изменения в модели управления облаком упрощают создание развертываний и упорядочение устройств.Changes to the cloud management model make it easier to create deployments and organize devices. В новой модели действуют следующие правила:In the new model:

  • У каждого клиента есть продукты.Every tenant has products. Продукты обозначают типы устройств (например, кофеварка или посудомоечная машина).The products are your device types, such as coffee makers or dishwashers.
  • Каждый продукт имеет одну или несколько групп устройств.Every product has one or more device groups. Все устройства в одной группе устройств относятся к одному типу продукта.All the devices in a device group are the same type of product. Azure Sphere создает три группы устройств по умолчанию для каждого нового продукта: группа разработки, группа тестирования и рабочая группа.By default, Azure Sphere creates three default device groups for every product: “Development”, “Field Test”, and “Production”. Например, большинство устройств некоторого продукта могут находиться в рабочей группе, а несколько — в группе тестирования.For example, most of the devices of a certain product might be in the Production group, while a few are in the Field Test group.
  • У каждой группы устройств есть развертывания, которые состоят из набора образов для выполнения на устройствах.Every device group has a deployment, which consists of the set of images that run on its devices.

Вам больше не нужно настраивать каналы для приложений.You no longer have to set up feeds for your applications. Вы создаете для продукта группу устройств и назначаете этой группе устройств развертывание.You create a device group for a product and assign a deployment to the device group.

После переносаAfter migration

После миграции в новую среду будут действовать следующие условия:After migration to the new environment:

  • Для пользователей, которые входят в старую среду, этот клиент больше не отображается.Users who log in to the old environment can no longer see the tenant.
  • Пользователям должна быть назначена роль в клиенте.Users must be assigned a role in the tenant. Пользователь без роли может войти в систему, но не может просматривать любые сведения или выполнять любые действия.A user who lacks a role can log in, but cannot see any details or perform any actions. Пользователь, который переносит клиент, по умолчанию получает роль администратора.The user who migrates the tenant is by default assigned an Administrator role. Другие пользователи не получают роли по умолчанию. Администратору следует явным образом назначить роль каждому пользователю.No other users receive default roles; an Administrator must explicitly assign a role to each user.

Что осталось прежнимWhat doesn't change

Несмотря на значительные изменения в проверке подлинности пользователей и модели управления облаком, основная часть ранее настроенной инфраструктуры не будет изменяться в выпуске пакета SDK 19.10.Although the user authentication and cloud management model changes are significant, most of the infrastructure you've already set up will not change with the 19.10 SDK release.

  • Сами клиенты Azure Sphere остаются без изменений. Изменяется только метод проверки подлинности для доступа к клиенту.Your Azure Sphere tenants remain unchanged; only the authentication required to access a tenant changes.
  • Устройства, которые были утверждены для клиента, остаются утвержденными для этого клиента.The devices that have been claimed to a tenant remain claimed to that tenant.
  • Приложения, которые выполняются на устройстве, остаются без изменений.The applications that are currently running on your devices will not change.
  • Существующие развертывания остаются без изменений.Your existing deployments will not change. Те же образы будут доставляться на те же устройства.The same images will be delivered to the same devices.
  • Все привязки ценовых категорий продукта и устройств к группам, которые вы настроили в старой модели, останутся без изменений.All product SKU/device-group pairs that you set up under the old model will continue to exist. Но если вы ранее настроили группу устройств, которая содержит несколько ценовых категорий продуктов, она будет разбита на несколько групп устройств, связанных с разными продуктами.However, if you previously set up a device group that contains multiple product SKUs, it will be split into multiple device groups, each of which is associated with a different product.

Планирование миграцииPlan your migration

Перед установкой пакета SDK версии 19.10 следует обдумать, как и когда будет осуществляться миграция.Before you install the 19.10 SDK, decide how and when you will migrate. Если вы самостоятельный пользователь, миграцию можно начинать сразу.If you are an individual user, you can migrate immediately. Если вы входите в более крупную организацию, которая использует Azure Sphere, то миграцию придется выполнить тому пользователю, который первым войдет в новую среду с пакетом SDK версии 19.10. После этого другие пользователи этого клиента не смогут использовать команды azsphere, связанные с облаком, пока не обновят свою систему до пакета SDK 19.10.If you are part of a wider organization using Azure Sphere, then the first person to log in to the new environment with the 19.10 SDK will be required to migrate the tenant, after which any other users in that tenant will not be able to use any cloud-dependent azsphere commands until they too upgrade to the 19.10 SDK. Справочник по команде azsphere интерфейса командной строки содержит список команд, связанных с облаком.The azsphere CLI reference contains a list of the cloud-dependent commands.

Caution

Продолжайте использовать пакет SDK 19.09, пока не будете готовы к миграции.Continue using the 19.09 SDK until you are ready to perform the migration. Если вы уже установили пакет SDK 19.10, но не готовы к миграции, удалите его, скачайте пакет SDK 19.09 и снова установите его.If you have already installed the 19.10 SDK but are not ready to migrate, uninstall it, then download the 19.09 SDK and reinstall it.

Пакет SDK 19.10 для Azure Sphere поддерживает только новую проверку подлинности пользователей и новую среду управления облаком.The 19.10 Azure Sphere SDK supports only the new user authentication and cloud management environment. После установки пакета SDK 19.10 будет доступна только одна команда azsphere, связанная с облаком, которая и запускает перенос клиента.After you install the 19.10 SDK, the only cloud-dependent azsphere command that you can use starts the migration process for a tenant. Все остальные команды, связанные с облаком, будут завершаться ошибкой.All other cloud-dependent commands will fail.

Миграция для отдельного пользователяMigrating an individual

Если вы единственный пользователь клиента Azure Sphere, процедура миграции в новую среду для вас описана здесь.If you are the only Azure Sphere user, Migrate an individual describes how to migrate to the new environment.

Миграция для организацииMigrating an organization

Для организации следует тщательно продумать миграцию.For an organization, you should carefully plan the migration. Для миграции потребуется, чтобы все пользователи одновременно установили новый пакет SDK.The migration will require all users to install the new SDK immediately. Также понадобится обновить все скрипты сборки.Any build scripts must also be updated. Пакет SDK 19.09 не удастся использовать, если вы примените его после миграции.The 19.09 SDK will fail if you use it after migration.

Для небольшой группы пользователей Azure мы рекомендуем следующий подход:For a small group of Azure Sphere users, we recommend the following approach:

  1. Первый пользователь, который установит пакет SDK версии 19.10, может перенести клиент и стать его первым администратором.The first person to install the 19.10 SDK can migrate the tenant and become its first administrator. После миграции пакет SDK версии 19.09 больше не будет работать для существующих пользователей.After migration, the 19.09 SDK will no longer work for existing users.
  2. Когда другие пользователи захотят войти в систему после миграции, им потребуется установить пакет SDK 19.10 и перенести свои данные в новую среду в роли дополнительных администраторов клиента.When additional users try to log in after migration, they must install the 19.10 SDK and migrate themselves as additional administrators of the tenant.
  3. Когда все пользователи будут перенесены, администратор может удалить старую версию доступа.After all users have migrated, an administrator can remove legacy access.

Для большой группы пользователей Azure мы рекомендуем следующий подход:For a large group of Azure Sphere users, we recommend the following approach:

  1. Выберите пользователя в своей организации, который станет первым администратором клиента Azure Sphere.Choose a person in your organization as the initial administrator for your Azure Sphere tenant. Этот человек будет отвечать за начальную миграцию и добавление других пользователей в клиент.This person will be responsible for performing the initial migration and adding other users to the tenant. У первого администратора должна быть учетная запись входа для существующего клиента Azure Sphere.The initial administrator must already have a login account for the existing Azure Sphere tenant. После миграции можно в любой момент добавить дополнительных администраторов.You can always add additional administrators after migration.
  2. Составьте список пользователей, которым требуется доступ к клиенту Azure Sphere. Определите наиболее подходящую роль для каждого пользователя.Compile a list of users who require access to the Azure Sphere tenant, along with the role that is appropriate for each user.
  3. Выберите время и дату переноса и сообщите их всем текущим пользователям Azure Sphere.Choose a time and date for the migration and notify all current Azure Sphere users. Миграция не потребует много времени и усилий. Но существующие пользователи не смогут войти в Azure Sphere или выполнять любые действия, связанные с облаком, пока не выполнят этот процесс.Although the migration process is not time-consuming or complicated, existing users will be unable to log in to Azure Sphere or perform any cloud-dependent actions until they upgrade.
  4. При начале миграции уведомите об этом всех пользователей и напомните, что они временно лишаются доступа к Azure Sphere.At migration time, notify users that migration is starting and that their access to Azure Sphere will be temporarily unavailable.
  5. Удалите устаревший метод доступа сразу после начала миграции.Remove legacy access as soon as the migration is started.
  6. По завершении миграции добавьте удостоверения пользователей и роли согласно заранее составленному списку.When migration is complete, add the user identities and roles from your compiled list.
  7. Уведомите пользователей о завершении миграции, чтобы они могли скачать пакет SDK версии 19.10 и продолжить работу с Azure Sphere.Notify users when migration is complete, so that they can download the 19.10 SDK and continue using Azure Sphere.

Эта процедура обеспечивает гарантированный результат для всей организации и позволяет администраторам назначить пользователям соответствующие роли.This procedure ensures predictable results for the entire organization and enables administrators to assign the appropriate roles to users. Заранее назначив администратора и опубликовав стратегию миграции, вы предотвратите установку пакета SDK 19.10 пользователями раньше времени. Ведь если такой пользователь выполнит миграцию, он без предупреждения лишит доступа всех остальных пользователей.By designating an administrator and publicizing the migration strategy well ahead of time, you can ensure that a single user doesn't install the 19.10 SDK, perform the migration, and thus cut off access to remaining users without warning.

Здесь вы найдете описание процесса, который позволяет перенести многопользовательскую организацию в новую среду.Migrate an organization describes how to migrate a multi-user organization to the new environment.

Important

Миграцию отменить нельзя, это одноразовый и однонаправленный процесс.You cannot reverse a migration; it's a one-time, one-way process. Перенос клиента позволит применять управление доступом на основе ролей. Но после миграции вы не сможете вернуться к использованию пакета SDK 19.09 или обычного имени для входа.Tenant migration enables role-based access control, and after migration you cannot go back to using the 19.09 SDK or login. Если при попытке входа поступает сообщение об ошибке You do not have any tenant associated with this account, возможно, кто-то в вашей организации уже перенес клиент.If you try to log in but instead see the error You do not have any tenant associated with this account, it is possible that someone in your organization migrated your tenant. В таком случае обратитесь к другим сотрудникам своей организации, которые работают с Azure Sphere.If this happens, contact the others in your organization who are working with Azure Sphere. Пользователь, который перенес клиент, может добавить вас в новый клиент и вы тогда сможете использовать пакет SDK версии 19.10.The person who migrated the tenant can add your login to the new tenant and you'll be ready to use the 19.10 SDK.

Что произойдет, если не выполнять миграцию?What happens if I don't migrate?

Если вы не выполните миграцию в новую среду, можно спокойно продолжать использовать пакет SDK 19.09.If you don't migrate to the new environment, you can continue to use the 19.09 SDK for now. Это не повлияет на работоспособность существующих развертываний и сценариев их использования.Your existing deployments and development scenarios will continue to work. Но вы не сможете использовать пакет SDK версии 19.09 для создания новых клиентов, ценовых категорий продуктов, номеров SKU, компонентов и групп устройств.However, you will not be able to use the 19.09 SDK to create new tenants, product SKUs, SKUs, components, and device groups. Ни одна из новых функций пакета SDK версии 19.10 также не будет доступна.None of the new features in the 19.10 SDK will be available to you.

В будущем мы планируем удалить поддержку пакета SDK 19.09.Support for the 19.09 SDK will be removed in the future. В этом случае миграция станет обязательной.At that point it will be necessary to migrate. Вы не сможете использовать пакет SDK версии 19.10 или любой более поздней версии, пока не выполните миграцию.You cannot use the 19.10 SDK or any later SDK unless you migrate.