Udostępnij przez

Przewodnik po zabezpieczeniach usługi IoT Central

Aplikacja usługi IoT Central umożliwia monitorowanie urządzeń i zarządzanie nimi, umożliwiając szybkie ocenianie scenariusza IoT. Ten przewodnik dotyczy administratorów, którzy zarządzają zabezpieczeniami w aplikacjach usługi IoT Central.

W usłudze IoT Central można skonfigurować zabezpieczenia i zarządzać nimi w następujących obszarach:

  • Dostęp użytkownika do aplikacji.
  • Dostęp urządzenia do aplikacji.
  • Programowy dostęp do aplikacji.
  • Uwierzytelnianie do innych usług z aplikacji.
  • Użyj bezpiecznej sieci wirtualnej.
  • Dzienniki audytu rejestrują aktywność w aplikacji.

Zarządzanie dostępem użytkowników

Każdy użytkownik musi mieć konto użytkownika, zanim będzie mógł się zalogować i uzyskać dostęp do aplikacji usługi IoT Central. Usługa IoT Central obecnie obsługuje konta Microsoft i konta Microsoft Entra, ale nie grupy Microsoft Entra.

Role umożliwiają kontrolowanie, kto w organizacji może wykonywać różne zadania w usłudze IoT Central. Każda rola ma określony zestaw uprawnień, które określają, co użytkownik w roli może zobaczyć i zrobić w aplikacji. Istnieją trzy wbudowane role, które można przypisać do użytkowników aplikacji. Możesz również tworzyć role niestandardowe z określonymi uprawnieniami, jeśli potrzebujesz bardziej szczegółowej kontroli.

Organizacje umożliwiają zdefiniowanie hierarchii do zarządzania tym, którzy użytkownicy mogą mieć dostęp do jakich urządzeń w aplikacji IoT Central. Rola użytkownika określa ich uprawnienia do urządzeń, które widzą, oraz doświadczenia, do których mogą uzyskiwać dostęp. Użyj organizacji, aby zaimplementować aplikację wieloszczeblową.

Aby dowiedzieć się więcej, zobacz:

Zarządzanie dostępem do urządzeń

Urządzenia uwierzytelniają się w aplikacji usługi IoT Central przy użyciu tokenu sygnatury dostępu współdzielonego (SAS) lub certyfikatu X.509. Certyfikaty X.509 są zalecane w środowiskach produkcyjnych.

W usłudze IoT Central grupy połączeń urządzeń służą do zarządzania opcjami uwierzytelniania urządzeń w aplikacji usługi IoT Central.

Aby dowiedzieć się więcej, zobacz:

Mechanizmy kontroli sieci na potrzeby dostępu do urządzeń

Domyślnie urządzenia łączą się z usługą IoT Central za pośrednictwem publicznego Internetu. Aby uzyskać więcej zabezpieczeń, połącz urządzenia z aplikacją usługi IoT Central przy użyciu prywatnego punktu końcowego w usłudze Azure Virtual Network.

Prywatne punkty końcowe używają prywatnych adresów IP z przestrzeni adresowej sieci wirtualnej, aby połączyć urządzenia prywatnie z aplikacją usługi IoT Central. Ruch sieciowy między urządzeniami w sieci wirtualnej a platformą IoT przechodzi przez sieć wirtualną i link prywatny w sieci szkieletowej firmy Microsoft, eliminując narażenie na publiczne internet.

Aby dowiedzieć się więcej, zobacz Zabezpieczenia sieci dla usługi IoT Central przy użyciu prywatnych punktów końcowych.

Zarządzanie dostępem programowym

Interfejs API REST usługi IoT Central umożliwia tworzenie aplikacji klienckich, które integrują się z aplikacjami usługi IoT Central. Interfejs API REST umożliwia pracę z zasobami w aplikacji usługi IoT Central, takimi jak szablony urządzeń, urządzenia, zadania, użytkownicy i role.

Każde wywołanie interfejsu API REST usługi IoT Central wymaga nagłówka autoryzacji, którego IoT Central używa do ustalenia tożsamości osoby wywołującej i uprawnień, które są przyznane wywołującemu w aplikacji.

Aby uzyskać dostęp do aplikacji usługi IoT Central przy użyciu interfejsu API REST, możesz użyć:

  • Token elementu nośnego Entra firmy Microsoft. Token elementu nośnego jest skojarzony z kontem użytkownika Microsoft Entra lub jednostką usługi. Token przyznaje obiektowi wywołującemu te same uprawnienia, które użytkownik lub podmiot usługi ma w aplikacji IoT Central.
  • Token interfejsu API usługi IoT Central. Token API jest skojarzony z rolą w aplikacji IoT Central.

Aby dowiedzieć się więcej, zobacz Jak uwierzytelniać i autoryzować wywołania interfejsu API REST usługi IoT Central.

Uwierzytelnij się do innych usług

Podczas konfigurowania ciągłego eksportu danych z aplikacji usługi IoT Central do usługi Azure Blob Storage, Azure Service Bus lub Azure Event Hubs można użyć parametrów połączenia lub tożsamości zarządzanej do uwierzytelniania. Podczas konfigurowania ciągłego eksportu danych z aplikacji IoT Central do Azure Data Explorer można uwierzytelniać się za pomocą zasady usługi lub tożsamości zarządzanej.

Tożsamości zarządzane są bezpieczniejsze, ponieważ:

  • Nie przechowujesz poświadczeń dla twojego zasobu w łańcuchu połączenia w aplikacji IoT Central.
  • Poświadczenia są automatycznie powiązane z okresem istnienia aplikacji usługi IoT Central.
  • Zarządzane tożsamości automatycznie rotują regularnie swoje klucze zabezpieczeń.

Aby dowiedzieć się więcej, zobacz:

Nawiązywanie połączenia z miejscem docelowym w bezpiecznej sieci wirtualnej

Eksportowanie danych w usłudze IoT Central umożliwia ciągłe przesyłanie strumieniowe danych urządzeń do miejsc docelowych, takich jak Azure Blob Storage, Azure Event Hubs, Azure Service Bus Messaging. Możesz zablokować te miejsca docelowe przy użyciu sieci wirtualnej platformy Azure i prywatnych punktów końcowych. Aby umożliwić usłudze IoT Central łączenie się z celem w bezpiecznej sieci wirtualnej, skonfiguruj wyjątek zapory sieciowej. Aby dowiedzieć się więcej, zobacz Eksportowanie danych do bezpiecznego miejsca docelowego w sieci wirtualnej platformy Azure.

Dzienniki inspekcji

Dzienniki inspekcji umożliwiają administratorom śledzenie aktywności w aplikacji usługi IoT Central. Administratorzy mogą zobaczyć, kto dokonał zmian w jakich godzinach. Aby dowiedzieć się więcej, zobacz Używanie dzienników inspekcji do śledzenia aktywności w aplikacji usługi IoT Central.

Dalsze kroki

Teraz, po zapoznaniu się z informacjami na temat zabezpieczeń w aplikacji usługi Azure IoT Central, sugerowanym następnym krokiem jest poznanie sposobu zarządzania użytkownikami i rolami w aplikacji usługi IoT Central.

  • Last updated on