Dela via

Behörigheter på webbplatsen azureiotsuite.com

  • Artikel

Vad händer när du loggar in

Första gången du loggar in på azureiotsuite.com avgör webbplatsen vilka behörighetsnivåer du har baserat på den valda Azure Active Directory-klientorganisationen (AAD) och Azure-prenumerationen.

  1. För att först fylla i listan över klienter som visas bredvid ditt användarnamn får webbplatsen reda på från Azure vilka AAD-klienter du tillhör. För närvarande kan webbplatsen bara hämta användartoken för en klient i taget. När du byter klientorganisation med hjälp av listrutan i det övre högra hörnet loggar webbplatsen därför in dig i klientorganisationen för att hämta token för den klientorganisationen.

  2. Därefter får webbplatsen reda på från Azure vilka prenumerationer du har associerat med den valda klientorganisationen. Du ser de tillgängliga prenumerationerna när du skapar en ny förkonfigurerad lösning.

  3. Slutligen hämtar webbplatsen alla resurser i prenumerationerna och resursgrupperna som taggats som förkonfigurerade lösningar och fyller i panelerna på startsidan.

I följande avsnitt beskrivs de roller som styr åtkomsten till de förkonfigurerade lösningarna.

AAD-roller

AAD-rollerna styr möjligheten att etablera förkonfigurerade lösningar och hantera användare i en förkonfigurerad lösning.

Mer information om administratörsroller i AAD finns i Tilldela administratörsroller i Azure AD. Den aktuella artikeln fokuserar på katalogrollerna Global administratör och Användare som används av de förkonfigurerade lösningarna.

Global administratör

Det kan finnas många globala administratörer per AAD-klientorganisation:

  • När du skapar en AAD-klientorganisation är du som standard den globala administratören för den klientorganisationen.
  • Den globala administratören kan etablera en förkonfigurerad lösning och tilldelas en Admin roll för programmet i AAD-klientorganisationen.
  • Om en annan användare i samma AAD-klientorganisation skapar ett program är standardrollen som beviljas den globala administratören ReadOnly.
  • En global administratör kan tilldela användare till roller för program med hjälp av Azure Portal.

Domänanvändare

Det kan finnas många domänanvändare per AAD-klientorganisation:

  • En domänanvändare kan etablera en förkonfigurerad lösning via azureiotsuite.com-webbplatsen . Som standard beviljas domänanvändaren den Admin rollen i det etablerade programmet.
  • En domänanvändare kan skapa ett program med hjälp av skriptet build.cmd på lagringsplatsen azure-iot-remote-monitoring, azure-iot-predictive-maintenance eller azure-iot-connected-factory . Standardrollen som beviljas domänanvändaren är dock ReadOnly, eftersom en domänanvändare inte har behörighet att tilldela roller.
  • Om en annan användare i AAD-klienten skapar ett program tilldelas domänanvändaren rollen ReadOnly som standard för programmet.
  • En domänanvändare kan inte tilldela roller för program. Därför kan en domänanvändare inte lägga till användare eller roller för användare för ett program även om de har etablerat det.

Gästanvändare

Det kan finnas många gästanvändare per AAD-klientorganisation. Gästanvändare har en begränsad uppsättning rättigheter i AAD-klientorganisationen. Därför kan gästanvändare inte etablera en förkonfigurerad lösning i AAD-klientorganisationen.

Mer information om användare och roller i AAD finns i följande resurser:

Administratörsroller för Azure-prenumeration

Azure-administratörsrollerna styr möjligheten att mappa en Azure-prenumeration till en AD-klientorganisation.

Läs mer om Azure-administratörsrollerna i artikeln Så här lägger du till eller ändrar Azure-medadministratör, tjänstadministratör och kontoadministratör.

Programroller

Programrollerna styr åtkomsten till enheter i din förkonfigurerade lösning.

Det finns två definierade roller och en implicit roll som definierats i ett etablerat program:

  • Admin: Har fullständig kontroll för att lägga till, hantera, ta bort enheter och ändra inställningar.
  • Readonly: Kan visa enheter, regler, åtgärder, jobb och telemetri.

Du hittar de behörigheter som tilldelats varje roll i källfilen RolePermissions.cs .

Ändra programroller för en användare

Du kan använda följande procedur för att göra en användare i Active Directory till administratör för din förkonfigurerade lösning.

Du måste vara global AAD-administratör för att ändra roller för en användare:

  1. Gå till Azure-portalen.
  2. Välj Azure Active Directory.
  3. Kontrollera att du använder den katalog som du valde på azureiotsuite.com när du etablerade lösningen. Om du har flera kataloger associerade med din prenumeration kan du växla mellan dem om du klickar på ditt kontonamn längst upp till höger i portalen.
  4. Klicka på Företagsprogram och sedan på Alla program.
  5. Visa alla program med valfri status. Sök sedan efter ett program med namnet på din förkonfigurerade lösning.
  6. Klicka på namnet på det program som matchar ditt förkonfigurerade lösningsnamn.
  7. Klicka på Användare och grupper.
  8. Välj den användare som du vill byta roller för.
  9. Klicka på Tilldela och välj den roll (till exempel Admin) som du vill tilldela användaren, klicka på bockmarkeringen.

Vanliga frågor

Jag är tjänstadministratör och vill ändra katalogmappningen mellan min prenumeration och en specifik AAD-klientorganisation. Hur gör jag för att slutföra den här uppgiften?

Se Lägga till en befintlig prenumeration i din Azure AD-katalog

Jag är domänanvändare/medlem i AAD-klienten och jag har skapat en förkonfigurerad lösning. Hur gör jag för att tilldelas en roll för mitt program?

Be en global administratör att göra dig till global administratör för AAD-klienten och tilldela sedan roller till användarna själv. Du kan också be en global administratör att tilldela dig en roll direkt. Om du vill ändra den AAD-klientorganisation som din förkonfigurerade lösning har distribuerats till kan du läsa nästa fråga.

Hur gör jag för att växla den AAD-klientorganisation som min förkonfigurerade lösning för fjärrövervakning och program har tilldelats till?

Du kan köra en molndistribution från https://github.com/Azure/azure-iot-remote-monitoring och distribuera om med en nyligen skapad AAD-klientorganisation. Eftersom du som standard är global administratör när du skapar en AAD-klientorganisation har du behörighet att lägga till användare och tilldela roller till dessa användare.

  1. Skapa en AAD-katalog i Azure Portal.
  2. Gå till https://github.com/Azure/azure-iot-remote-monitoring.
  3. Kör build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution} (till exempel build.cmd cloud debug myRMSolution)
  4. När du uppmanas till det anger du tenantid till din nyligen skapade klientorganisation i stället för din tidigare klientorganisation.

Jag vill ändra en tjänstadministratör eller Co-Administrator när jag är inloggad med ett organisationskonto

Se supportartikeln Ändra tjänstadministratör och Co-Administrator när du är inloggad med ett organisationskonto.

Varför visas det här felet? "Ditt konto har inte rätt behörighet för att skapa en lösning. Kontakta kontoadministratören eller försök med ett annat konto."

Titta på följande diagram för vägledning:

Anteckning

Om du fortsätter att se felet när du har verifierat att du är global administratör för AAD-klienten och en medadministratör för prenumerationen, måste kontoadministratören ta bort användaren och tilldela om nödvändiga behörigheter i den här ordningen. Lägg först till användaren som global administratör och lägg sedan till användare som medadministratör för Azure-prenumerationen. Om problemen kvarstår kontaktar du Hjälp & Support.

Varför visas det här felet när jag har en Azure-prenumeration? "En Azure-prenumeration krävs för att skapa förkonfigurerade lösningar. Du kan skapa ett kostnadsfritt utvärderingskonto på bara några minuter."

Om du är säker på att du har en Azure-prenumeration kontrollerar du klientmappningen för din prenumeration och ser till att rätt klientorganisation har valts i listrutan. Om du har verifierat att den önskade klienten är korrekt följer du föregående diagram och validerar mappningen av din prenumeration och den här AAD-klientorganisationen.

Nästa steg

Om du vill lära dig mer om IoT Suite kan du se hur du kan anpassa en förkonfigurerad lösning.