Azure Digital Twins örneği ve kimlik doğrulaması (CLI) ayarlama
Bu makale, örneği oluşturma ve kimlik doğrulamasını ayarlama dahil olmak üzere yeni bir Azure Digital Twins örneği ayarlama adımlarını kapsar. Bu makaleyi tamamladıktan sonra programlamaya başlamaya hazır bir Azure Digital Twins örneğiniz olacak.
Yeni bir Azure Digital Twins örneği için tam kurulum iki bölümden oluşur:
- Örneği oluşturma
- Kullanıcı erişim izinlerini ayarlama: Azure kullanıcılarının, azure ve verilerini yönetebilmek için Azure Digital Twins örneğinde Azure Digital Twins Veri Sahibi rolüne sahip olması gerekir. Bu adımda, Azure aboneliğinin Sahibi/yöneticisi olarak bu rolü Azure Digital Twins örneğinizi yönetecek kişiye atayacaksınız. Bu kendiniz veya kuruluşunuzdaki başka biri olabilir.
Önemli
Bu makalenin tamamını tamamlamak ve tamamen kullanılabilir bir örneği ayarlamak için Azure aboneliğinde hem kaynakları hem de kullanıcı erişimini yönetmek için izinlere sahip olmanız gerekir. İlk adım, abonelikte kaynak oluşturabilen herkes tarafından tamamlanabilir, ancak ikinci adım kullanıcı erişim yönetimi izinleri (veya bu izinlere sahip birinin işbirliği) gerektirir. Bu konuda daha fazla bilgi için Önkoşullar: Kullanıcı erişim izni adımı için gerekli izinler bölümünden bilgi edinebilirsiniz.
Ön koşullar
Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.
CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.
Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.
İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.
Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.
CLI oturumlarını ayarlama
CLI'da Azure Digital Twins ile çalışmaya başlamak için ilk yapmanız gereken oturum açmak ve cli bağlamını bu oturum için aboneliğinize ayarlamaktır. CLI pencerenizde şu komutları çalıştırın:
az login
az account set --subscription "<your-Azure-subscription-ID>"
Bahşiş
Yukarıdaki komutta yer alan kimlik yerine abonelik adınızı da kullanabilirsiniz.
Bu aboneliği Azure Digital Twins ile ilk kez kullanıyorsanız, Azure Digital Twins ad alanına kaydolmak için bu komutu çalıştırın. (Emin değilseniz, geçmişte yapmış olsanız bile yeniden çalıştırmanız sorun değildir.)
az provider register --namespace 'Microsoft.DigitalTwins'
Ardından Azure Digital Twins ve diğer IoT hizmetleriyle etkileşime yönelik komutları etkinleştirmek üzere Azure CLI için Microsoft Azure IoT Uzantısı'nı ekleyeceksiniz. Uzantının en son sürümüne sahip olduğunuzdan emin olmak için şu komutu çalıştırın:
az extension add --upgrade --name azure-iot
Artık Azure CLI'da Azure Digital Twins ile çalışmaya hazırsınız.
Kullanılabilir en üst düzey Azure Digital Twins komutlarının listesini görmek için istediğiniz zaman komutunu çalıştırarak az dt --help bunu doğrulayabilirsiniz.
Azure Digital Twins örneğini oluşturma
Bu bölümde, CLI komutunu kullanarak yeni bir Azure Digital Twins örneği oluşturacaksınız. Aşağıdaki bilgileri sağlamanız gerekir:
- Örneğin dağıtılacağı kaynak grubu. Henüz mevcut bir kaynak grubunuz yoksa şu komutla bir kaynak grubu oluşturabilirsiniz:
az group create --location <region> --name <name-for-your-resource-group> - Dağıtım için bir bölge. Hangi bölgelerin Azure Digital Twins'i desteklediğini görmek için bölgeye göre kullanılabilir Azure ürünlerini ziyaret edin.
- Örneğinin adı. Aboneliğinizde zaten belirtilen adı kullanan bölgede başka bir Azure Digital Twins örneği varsa farklı bir ad seçmeniz istenir.
Örneği oluşturmak için aşağıdaki az dt komutunda bu değerleri kullanın:
az dt create --dt-name <name-for-your-Azure-Digital-Twins-instance> --resource-group <your-resource-group> --location <region>
Örneği için yönetilen kimlik oluşturma veya genel ağ erişimini etkinleştirme/devre dışı bırakma gibi oluşturma sırasında kaynağınızla ilgili ek şeyler belirtmek için komuta eklenebilecek birkaç isteğe bağlı parametre vardır. Desteklenen parametrelerin tam listesi için az dt create reference belgelerine bakın.
Yönetilen kimlikle örneği oluşturma
Azure Digital Twins örneğinizde yönetilen kimliği etkinleştirdiğinizde, Microsoft Entra Id'de bu kimlik için bir kimlik oluşturulur. Bu kimlik daha sonra diğer hizmetlerde kimlik doğrulaması yapmak için kullanılabilir. Azure Digital Twins örneği oluşturulurken veya daha sonra mevcut bir örnekte yönetilen kimliği etkinleştirebilirsiniz.
Seçtiğiniz yönetilen kimlik türü için aşağıdaki CLI komutunu kullanın.
Sistem tarafından atanan kimlik komutu
Sistem tarafından atanan kimliğin etkinleştirildiği bir Azure Digital Twins örneği oluşturmak için, örneği oluşturmak için kullanılan komuta bir --mi-system-assigned parametre az dt create ekleyebilirsiniz. (Oluşturma komutu hakkında daha fazla bilgi için başvuru belgelerine veya Azure Digital Twins örneği ayarlamaya yönelik genel yönergelere bakın).
Sistem tarafından atanan bir kimliğe sahip bir örnek oluşturmak için parametresini --mi-system-assigned şu şekilde ekleyin:
az dt create --dt-name <new-instance-name> --resource-group <resource-group> --mi-system-assigned
Kullanıcı tarafından atanan kimlik komutu
Kullanıcı tarafından atanan bir kimliğe sahip bir örnek oluşturmak için parametresini kullanarak mevcut kullanıcı tarafından atanan kimliğin --mi-user-assigned kimliğini belirtin, örneğin:
az dt create --dt-name <new-instance-name> --resource-group <resource-group> --mi-user-assigned <user-assigned-identity-resource-ID>
Başarıyı doğrulama ve önemli değerleri toplama
Örnek başarıyla oluşturulduysa, CLI'daki sonuç aşağıdaki gibi görünür ve oluşturduğunuz kaynak hakkında bilgi verir:
Çıktıdan Azure Digital Twins örneğinin hostName, name ve resourceGroup değerlerini not edin. Bu değerlerin tümü önemlidir ve kimlik doğrulamasını ve ilgili Azure kaynaklarını ayarlamak için Azure Digital Twins örneğiniz ile çalışmaya devam ettikçe bunları kullanmanız gerekebilir. Diğer kullanıcılar örnekte programlama yapacaksa, bu değerleri onlarla paylaşmanız gerekir.
Bahşiş
bu özellikleri ve örneğinizin tüm özelliklerini istediğiniz zaman komutunu çalıştırarak az dt show --dt-name <your-Azure-Digital-Twins-instance>görebilirsiniz.
Artık kullanıma hazır bir Azure Digital Twins örneğiniz var. Ardından, bunu yönetmek için uygun Azure kullanıcı izinlerini vereceksiniz.
Kullanıcı erişim izinlerini ayarlama
Azure Digital Twins, rol tabanlı erişim denetimi (RBAC) için Microsoft Entra Id kullanır. Bu, bir kullanıcının Azure Digital Twins örneğinize veri düzlemi çağrıları yapabilmesi için önce kullanıcıya uygun izinlere sahip bir rol atanması gerektiği anlamına gelir.
Azure Digital Twins için bu rol Azure Digital Twins Veri Sahibi'dir. Azure Digital Twins için Güvenlik çözümlerinde roller ve güvenlik hakkında daha fazla bilgi edinebilirsiniz.
Dekont
Bu rol, Azure Digital Twins örneği kapsamında da atanabilen Microsoft Entra Id Sahip rolünden farklıdır. Bunlar iki ayrı yönetim rolü olup Sahip, Azure Digital Twins Veri Sahibi ile verilen veri düzlemi özelliklerine erişim izni vermez.
Bu bölümde, Azure aboneliğinizdeki Microsoft Entra kiracısında bu kullanıcının e-postasını kullanarak Azure Digital Twins örneğinizdeki bir kullanıcı için nasıl rol ataması oluşturacağınız gösterilir. Kuruluşunuzdaki rolünüze bağlı olarak, bu izni kendiniz için ayarlayabilir veya Azure Digital Twins örneğini yönetecek başka biri adına ayarlayabilirsiniz.
Önkoşullar: İzin gereksinimleri
Aşağıdaki adımların tümünü tamamlayabilmek için aboneliğinizde aşağıdaki izinlere sahip bir rolünüzün olması gerekir:
- Azure kaynaklarını oluşturma ve yönetme
- Azure kaynaklarına kullanıcı erişimini yönetme (izin verme ve temsilci atama dahil)
Bu gereksinimi karşılayan yaygın roller Sahip, Hesap yöneticisi veya Kullanıcı Erişimi Yönetici istrator ve Katkıda Bulunan birleşimidir. Diğer rollere hangi izinlerin dahil olduğu dahil olmak üzere rollerin ve izinlerin tam açıklaması için Azure RBAC belgelerinde Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri makalesini ziyaret edin.
Aboneliğinizdeki rolünüzü görüntülemek için Azure portalındaki abonelikler sayfasını ziyaret edin (bu bağlantıyı kullanabilir veya portal arama çubuğuyla Abonelikler'i arayabilirsiniz). Kullanmakta olduğunuz aboneliğin adını arayın ve rolünüzü Rolüm sütununda görüntüleyin:
Değerin Katkıda Bulunan veya yukarıda açıklanan gerekli izinlere sahip olmayan başka bir rol olduğunu fark ederseniz, aboneliğinizde bu izinlere (abonelik Sahibi veya Hesap yöneticisi gibi) sahip olan kullanıcıyla iletişim kurabilir ve aşağıdaki yollardan biriyle devam edebilirsiniz:
- Rol atama adımlarını sizin yerinize tamamlamalarını isteyin.
- Devam etme izinlerine sahip olabilmeniz için abonelik üzerindeki rolünüzü yükseltmelerini isteyin. Bunun uygun olup olmadığı kuruluşunuza ve kuruluşunuzdaki rolünüze bağlıdır.
Rolü atama
Bir kullanıcıya Azure Digital Twins örneğini yönetme izni vermek için, bu kullanıcıya örnek içinde Azure Digital Twins Veri Sahibi rolünü atamanız gerekir.
Rolü atamak için aşağıdaki komutu kullanın (Azure aboneliğinde yeterli izinlere sahip bir kullanıcı tarafından çalıştırılmalıdır). komutu, rolün atanması gereken kullanıcının Microsoft Entra hesabındaki kullanıcı asıl adını geçirmenizi gerektirir. Çoğu durumda, bu değer kullanıcının Microsoft Entra hesabındaki e-postası ile eşleşecektir.
az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<Azure-AD-user-principal-name-of-user-to-assign>" --role "Azure Digital Twins Data Owner"
Bu komutun sonucu, kullanıcı için oluşturulan rol ataması hakkında bilgi elde edilir.
Dekont
Bu komut, CLI'nın graph veritabanında kullanıcı veya hizmet sorumlusunu bulamadığını belirten bir hata döndürürse:
Bunun yerine kullanıcının Nesne Kimliğini kullanarak rolü atayın. Bu, kişisel Microsoft hesaplarında (MSA) bulunan kullanıcılar için oluşabilir.
Kullanıcı hesabını seçmek ve ayrıntılarını açmak için Microsoft Entra kullanıcılarının Azure portal sayfasını kullanın. Kullanıcının Nesne Kimliğini kopyalayın:
Ardından, yukarıdaki parametre için assignee kullanıcının Nesne Kimliğini kullanarak rol atama listesi komutunu yineleyin.
Başarılı olduğunu doğrulama
Rol atamasını başarıyla ayarladığınızı denetlemenin bir yolu, Azure portalda Azure Digital Twins örneğinin rol atamalarını görüntülemektir. Azure portalında Azure Digital Twins örneğine gidin. Bu sayfaya ulaşmak için Azure Digital Twins örneklerinin sayfasında arayabilir veya portal arama çubuğunda adını arayabilirsiniz.
Ardından Erişim denetimi (IAM) > Rol atamaları altında atanan tüm rollerini görüntüleyin. Rol atamanız listede görünmelidir.
Artık kullanıma hazır bir Azure Digital Twins örneğiniz var ve bunu yönetmek için izinler atamış oldunuz.
Örnek için yönetilen kimliği etkinleştirme/devre dışı bırakma
Bu bölümde, zaten var olan bir Azure Digital Twins örneğine yönetilen kimlik ekleme adımları gösterilmektedir. Ayrıca, yönetilen kimliği zaten sahip olan bir örnekte devre dışı bırakabilirsiniz.
Seçtiğiniz yönetilen kimlik türü için aşağıdaki CLI komutlarını kullanın.
Sistem tarafından atanan kimlik komutları
Mevcut bir örnek için sistem tarafından atanan kimliği etkinleştirme komutu, sistem tarafından atanan kimlikle yeni bir örnek oluşturmak için kullanılan komutla aynıdıraz dt create. Oluşturulacak örneğin yeni adını sağlamak yerine, zaten var olan bir örneğin adını sağlayabilirsiniz. Ardından parametresini eklediğinizden --mi-system-assigned emin olun.
az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --mi-system-assigned
Sistem tarafından atanan kimliği şu anda etkin olan bir örnekte devre dışı bırakmak için, olarak ayarlamak --mi-system-assignedfalseiçin aşağıdaki komutu kullanın.
az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --mi-system-assigned false
Kullanıcı tarafından atanan kimlik komutları
Mevcut bir örnekte kullanıcı tarafından atanan bir kimliği etkinleştirmek için, aşağıdaki komutta mevcut kullanıcı tarafından atanan kimliğin kimliğini sağlayın:
az dt identity assign --dt-name <name-of-existing-instance> --resource-group <resource-group> --user <user-assigned-identity-resource-ID>
Şu anda etkin olan bir örnekte kullanıcı tarafından atanan kimliği devre dışı bırakmak için aşağıdaki komutta kimliğin kimliğini sağlayın:
az dt identity remove --dt-name <name-of-existing-instance> --resource-group <resource-group> --user <user-assigned-identity-resource-ID>
Yönetilen kimlikleri devre dışı bırakmak için dikkat edilmesi gerekenler
Kimlikte veya rollerinde yapılan değişikliklerin onu kullanan kaynaklar üzerindeki etkilerini göz önünde bulundurmak önemlidir. Azure Digital Twins uç noktalarınızla veya veri geçmişi için yönetilen kimlikler kullanıyorsanız ve kimlik devre dışı bırakılırsa veya gerekli bir rol bu kimlikten kaldırılırsa uç nokta veya veri geçmişi bağlantısına erişilemez hale gelebilir ve olay akışı kesintiye uğrayacaktır.
Artık devre dışı bırakılmış yönetilen kimlikle ayarlanmış bir uç noktayı kullanmaya devam etmek için, uç noktayı silmeniz ve farklı bir kimlik doğrulaması türüyle yeniden oluşturmanız gerekir. Bu değişiklik sonrasında, olayların uç noktaya tesliminin sürdürülmesi bir saat kadar sürebilir.
Sonraki adımlar
Azure Digital Twins CLI komutlarını kullanarak örneğinizde tek tek REST API çağrılarını test edin:
Alternatif olarak, kimlik doğrulama koduyla bir istemci uygulamasını örneğinize nasıl bağlayabilirsiniz?