Azure dijital TWINS 'de rol tabanlı erişim denetimiRole-based access control in Azure Digital Twins

Azure dijital TWINS, uzamsal grafiğinizde belirli veriler, kaynaklar ve eylemler üzerinde kesin erişim denetimi imkanı sunar.Azure Digital Twins enables precise access control over specific data, resources, and actions in your spatial graph. Bu, ayrıntılı rol ve rol tabanlı erişim denetimi (RBAC) adlı izin yönetimini kolaylaştırır.It does so through granular role and permission management called role-based access control (RBAC). RBAC, Roller ve _rol atamalarından_oluşur.RBAC consists of roles and role assignments. Roller, izin düzeyini belirler.Roles identify the level of permissions. Rol atamaları bir rolü kullanıcı veya cihazla ilişkilendirir.Role assignments associate a role with a user or device.

RBAC kullanarak, izin verilebilir:Using RBAC, permission can be granted to:

  • Bir kullanıcı.A user.
  • Bir cihaz.A device.
  • Hizmet sorumlusu.A service principal.
  • Kullanıcı tanımlı bir işlev.A user-defined function.
  • Bir etki alanına ait olan tüm kullanıcılar.All users who belong to a domain.
  • Bir kiracı.A tenant.

Erişim derecesi de ince ayar yapılabilir.The degree of access can also be fine-tuned.

RBAC, uzamsal grafiğin Devralındığı izinlerle benzersizdir.RBAC is unique in that permissions are inherited down the spatial graph.

RBAC ile ne yapabilirim?What can I do with RBAC?

Geliştirici, RBAC 'yi kullanarak şunları alabilir:A developer might use RBAC to:

  • Kullanıcıya, tüm bina için veya yalnızca belirli bir oda veya zemin için cihazları yönetme yeteneği verin.Grant a user the ability to manage devices for an entire building, or only for a specific room or floor.
  • Tüm grafik veya yalnızca grafiğin bir bölümü için tüm uzamsal grafik düğümlerine yönetici genel erişimi verin.Grant an administrator global access to all spatial graph nodes for an entire graph, or only for a section of the graph.
  • Erişim tuşları dışında, grafiğe bir destek uzmanı okuma erişimi verin.Grant a support specialist read access to the graph, except for access keys.
  • Tüm grafik nesnelerine bir etki alanı okuma erişiminin her üyesine izin verin.Grant every member of a domain read access to all graph objects.

RBAC en iyi uygulamalarıRBAC best practices

Rol tabanlı erişim denetimi, erişimi, izinleri ve rolleri yönetmeye yönelik devralma temelli bir güvenlik stratejisidir.Role-based access control is an inheritance-driven security strategy for managing access, permissions, and roles. Alt roller, üst rollerden izinleri devralınır.Descendent roles inherit permissions from parent roles. İzinler, üst rolden devralınmaksızın da atanabilir.Permissions also can be assigned without being inherited from a parent role. Ayrıca, gerektiğinde bir rolü özelleştirmek için de atanabilir.They also can be assigned to customize a role as needed.

Örneğin, bir alan yöneticisinin belirtilen bir alana yönelik tüm işlemleri çalıştırmak için genel erişime ihtiyacı vardır.For example, a Space Administrator might need global access to run all operations for a specified space. Erişim, alanın altındaki veya içindeki tüm düğümleri içerir.Access includes all nodes underneath or within the space. Cihaz yükleyicisinin, cihazlar ve sensörler için yalnızca okuma ve güncelleştirme izinlerine ihtiyacı bulunabilir.A Device Installer might need only read and update permissions for devices and sensors.

Her durumda, roller tam olarak verilir ve en az ayrıcalık Ilkesi başına görevlerini yerine getirmek için gereken erişimden daha fazla olmaz .In every case, roles are granted exactly and no more than the access required to fulfill their tasks per the Principle of Least Privilege. Bu ilkeye göre yalnızcabir kimlik verilir:According to this principle, an identity is granted only:

  • İşini tamamlaması için gereken erişim miktarı.The amount of access needed to complete its job.
  • Bir rol, işini gerçekleştirme ile ilgili ve sınırlı.A role appropriate and limited to carrying out its job.

Önemli

Her zaman en az ayrıcalık Ilkesini izleyin.Always follow the Principle of Least Privilege.

Aşağıdaki iki önemli rol tabanlı erişim denetimi uygulaması:Two other important role-based access control practices to follow:

  • Her rolün doğru izinlere sahip olduğunu doğrulamak için rol atamalarını düzenli olarak denetleyin.Periodically audit role assignments to verify that each role has the correct permissions.
  • Bireyler rolleri veya atamaları değiştirirken rolleri ve atamaları temizleyin.Clean up roles and assignments when individuals change roles or assignments.

RollerRoles

Rol tanımlarıRole definitions

Rol tanımı bir rol oluşturan izinlerin ve diğer özniteliklerin koleksiyonudur.A role definition is a collection of permissions and other attributes that constitute a role. Rol tanımı, bu role sahip herhangi bir nesnenin gerçekleştirebileceği oluşturma, okuma, güncelleştirmeve silme işlemlerini içeren izin verilen işlemleri listeler.A role definition lists the allowed operations, which include CREATE, READ, UPDATE, and DELETE that any object with that role may perform. Ayrıca, izinlerin hangi nesne türlerine uygulanacağını de belirtir.It also specifies to which object types the permissions apply to.

Aşağıdaki tabloda, Azure dijital TWINS 'de kullanılabilen roller açıklanmaktadır:The following table describes the roles that are available in Azure Digital Twins:

RolRole AçıklamaDescription TanımlayıcısınıIdentifier
Alan YöneticisiSpace Administrator Belirtilen alan ve altındaki tüm düğümler için Oluştur, Oku, Güncelleştirve Sil izinleri.CREATE, READ, UPDATE, and DELETE permission for the specified space and all nodes underneath. Küresel izin.Global permission. 98e44ad7-28d4-4007-853b-b9968ad132d198e44ad7-28d4-4007-853b-b9968ad132d1
Kullanıcı YöneticisiUser Administrator Kullanıcılar ve kullanıcıyla ilgili nesneler için oluşturma, okuma, güncelleştirmeve silme izni.CREATE, READ, UPDATE, and DELETE permission for users and user-related objects. Boşluklar için Oku izni.READ permission for spaces. dfaac54c-f583-4dd2-b45d-8d4bbc0aa1acdfaac54c-f583-4dd2-b45d-8d4bbc0aa1ac
Cihaz YöneticisiDevice Administrator Cihazlar ve cihazla ilgili nesneler için oluşturma, okuma, güncelleştirmeve silme izni.CREATE, READ, UPDATE, and DELETE permission for devices and device-related objects. Boşluklar için Oku izni.READ permission for spaces. 3cdfde07-bc16-40d9-bed3-66d49a8f52ae3cdfde07-bc16-40d9-bed3-66d49a8f52ae
Anahtar YöneticisiKey Administrator Erişim tuşları için oluşturma, okuma, güncelleştirmeve silme izni.CREATE, READ, UPDATE, and DELETE permission for access keys. Boşluklar için Oku izni.READ permission for spaces. 5a0b1afc-e118-4068-969f-b50efb8e5da65a0b1afc-e118-4068-969f-b50efb8e5da6
Belirteç YöneticisiToken Administrator Erişim anahtarları için Oku ve Güncelleştir izinleri.READ and UPDATE permission for access keys. Boşluklar için Oku izni.READ permission for spaces. 38a3bb21-5424-43b4-b0bf-78ee228840c338a3bb21-5424-43b4-b0bf-78ee228840c3
KullanıcıUser İlgili ilgili nesneleri içeren boşluklar, algılayıcılar ve kullanıcılar için okuma izni.READ permission for spaces, sensors, and users, which includes their corresponding related objects. b1ffdb77-c635-4e7e-ad25-948237d85b30b1ffdb77-c635-4e7e-ad25-948237d85b30
Destek uzmanıSupport Specialist Erişim anahtarları hariç her şey için Oku izni.READ permission for everything except access keys. 6e46958b-dc62-4e7c-990C-c3da2e0309696e46958b-dc62-4e7c-990c-c3da2e030969
Cihaz yükleyicisiDevice Installer İlgili ilgili nesneleri içeren cihazlar ve algılayıcılar için okuma ve güncelleştirme izni.READ and UPDATE permission for devices and sensors, which includes their corresponding related objects. Boşluklar için Oku izni.READ permission for spaces. b16dd9fe-4efe-467b-8c8c-720e2ff8817cb16dd9fe-4efe-467b-8c8c-720e2ff8817c
Ağ geçidi cihazıGateway Device Algılayıcılar için izin Oluştur .CREATE permission for sensors. İlgili ilgili nesneleri içeren cihazlar ve algılayıcılar için okuma izni.READ permission for devices and sensors, which includes their corresponding related objects. d4c69766-e9bd-4e61-bfc1-d8b6e686c7a8d4c69766-e9bd-4e61-bfc1-d8b6e686c7a8

Not

Önceki rollerin tam tanımlarını almak için, sistem/rol API 'sini sorgulayın.To retrieve the full definitions for the previous roles, query the system/roles API. Rol atamaları oluşturmayı ve yönetmeyiokuyarak daha fazla bilgi edinin.Learn more by reading Creating and managing role assignments.

Nesne tanımlayıcı türleriObject identifier types

@No__t-0 (veya nesne tanımlayıcı türü), bir role verilen kimliğin türünü ifade eder.The objectIdType (or object identifier type) refers to the type of identity that's given to a role. @No__t-0 ve UserDefinedFunctionId türlerinden ayrı olarak, nesne tanımlayıcı türleri Azure Active Directory nesnelerinin özelliklerine karşılık gelir.Apart from the DeviceId and UserDefinedFunctionId types, object identifier types correspond to properties of Azure Active Directory objects.

Aşağıdaki tabloda, Azure dijital TWINS 'de desteklenen nesne tanımlayıcı türleri yer almaktadır:The following table contains the supported object identifier types in Azure Digital Twins:

TürType AçıklamaDescription
UserIDUserId Bir kullanıcıya bir rol atar.Assigns a role to a user.
DeviceIDDeviceId Cihaza bir rol atar.Assigns a role to a device.
DomainNameDomainName Bir etki alanı adına bir rol atar.Assigns a role to a domain name. Belirtilen etki alanı adına sahip her Kullanıcı ilgili rolün erişim haklarına sahiptir.Each user with the specified domain name has the access rights of the corresponding role.
DeğerineTenantId Bir kiracıya bir rol atar.Assigns a role to a tenant. Belirtilen Azure AD kiracı KIMLIĞINE ait olan her Kullanıcı ilgili rolün erişim haklarına sahiptir.Each user who belongs to the specified Azure AD tenant ID has the access rights of the corresponding role.
ServiceprincipalıdServicePrincipalId Hizmet sorumlusu nesne KIMLIĞINE bir rol atar.Assigns a role to a service principal object ID.
UserdefinedfunctionıdUserDefinedFunctionId Kullanıcı tanımlı bir işleve (UDF) bir rol atar.Assigns a role to a user-defined function (UDF).

İpucu

Rol atamaları oluşturma ve yönetmekonusunu okuyarak hizmet sorumlusuna izin verme hakkında bilgi edinin.Learn how to grant permissions to your service principal by reading Creating and managing role assignments.

Aşağıdaki başvuru belgesi makaleleri şunları anlatmaktadır:The following reference documentation articles describe:

Rol atamalarıRole assignments

Bir Azure dijital TWINS rol ataması, bir kullanıcı veya Azure AD kiracısı gibi bir nesneyi bir rol ve boşluk ile ilişkilendirir.An Azure Digital Twins role assignment associates an object, such as a user or an Azure AD tenant, with a role and a space. Bu alana ait olan tüm nesnelere izinler verilir.Permissions are granted to all objects that belong to that space. Alan, altındaki tüm uzamsal grafiği içerir.The space includes the entire spatial graph beneath it.

Örneğin, bir kullanıcıya bir yapı temsil eden uzamsal grafiğin kök düğümü için DeviceInstaller rolüne sahip bir rol ataması verilir.For example, a user is given a role assignment with the role DeviceInstaller for the root node of a spatial graph, which represents a building. Kullanıcı daha sonra bu düğüm ve binanın diğer tüm alt alanları için cihazları okuyabilir ve güncelleştirebilir.The user can then read and update devices for that node and all other child spaces in the building.

Bir alıcıya izin vermek için bir rol ataması oluşturun.To grant permissions to a recipient, create a role assignment. İzinleri iptal etmek için rol atamasını kaldırın.To revoke permissions, remove the role assignment.

Önemli

Rol atamaları oluşturma ve yönetmeile rol atamaları hakkında daha fazla bilgi edinin.Learn more about role assignments by reading Creating and managing role assignments.

Sonraki adımlarNext steps