Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Device Update wykorzystuje kontrolę dostępu opartej na rolach platformy Azure, aby zapewnić uwierzytelnianie i autoryzację dla użytkowników oraz interfejsów API usługowych. Aby inni użytkownicy i aplikacje mieli dostęp do usługi Device Update, użytkownicy lub aplikacje muszą mieć dostęp do tego zasobu. Konieczne jest również skonfigurowanie dostępu dla głównego obiektu usługi Azure Device Update, aby pomyślnie wdrażać aktualizacje i zarządzać urządzeniami.
Konfigurowanie ról kontroli dostępu
Są to role obsługiwane przez usługę Device Update:
| Nazwa roli | Opis |
|---|---|
| Administrator aktualizacji urządzeń | Ma dostęp do wszystkich zasobów usługi Device Update |
| Czytnik aktualizacji urządzenia | Może wyświetlać wszystkie aktualizacje i wdrożenia |
| Administrator zawartości aktualizacji urządzenia | Może wyświetlać, importować i usuwać aktualizacje |
| Czytnik treści związanych z aktualizacjami urządzenia | Może wyświetlać aktualizacje |
| Administrator wdrożeń aktualizacji urządzeń | Może zarządzać wdrażaniem aktualizacji na urządzeniach |
| Odczyt wdrożeń aktualizacji dla urządzeń | Może wyświetlać wdrożenia aktualizacji urządzeń |
Kombinacja ról może służyć do zapewnienia odpowiedniego poziomu dostępu. Na przykład deweloper może importować aktualizacje i zarządzać nimi przy użyciu roli Administrator zawartości aktualizacji urządzenia, ale musi mieć rolę Czytelnik wdrożeń aktualizacji urządzeń, aby wyświetlić postęp aktualizacji. Z drugiej strony operator rozwiązania z rolą Czytelnik aktualizacji urządzeń może wyświetlać wszystkie aktualizacje, ale musi użyć roli Administrator wdrożeń aktualizacji urządzeń w celu wdrożenia określonej aktualizacji na urządzeniach.
Konfigurowanie dostępu dla jednostki usługi Azure Device Update w usłudze IoT Hub
Usługa Device Update dla usługi IoT Hub komunikuje się z usługą IoT Hub na potrzeby wdrożeń i zarządzania aktualizacjami na dużą skalę. Aby umożliwić Device Update wykonanie tego zadania, użytkownicy muszą ustawić dostęp konta współtwórcy danych dla jednostki usługi Azure Device Update w uprawnieniach IoT Hub.
Poniższe akcje zostaną zablokowane w nadchodzącej wersji, jeśli te uprawnienia nie są ustawione:
- Utwórz wdrożenie
- Anulowanie wdrożenia
- Ponów próbę wdrożenia
- Uzyskaj urządzenie
- Przejdź do IoT Hub połączonego z Twoim wystąpieniem Device Update. Kliknij pozycję Kontrola dostępu (IAM)
- Kliknij pozycję + Dodaj —>Dodaj przypisanie roli
- Na karcie Rola wybierz pozycję Współautor danych usługi IoT Hub
- Kliknij przycisk Dalej. Dla Przydziel dostęp do wybierz Użytkownik, grupa lub usługa główna. Kliknij + Wybierz członków, a następnie wyszukaj „Azure Device Update”.
- Kliknij przycisk Dalej —>Przeglądanie i przypisywanie
Aby sprawdzić, czy uprawnienia zostały ustawione poprawnie:
- Przejdź do IoT Hub połączonego z Twoim wystąpieniem Device Update. Kliknij pozycję Kontrola dostępu (IAM)
- Kliknij Sprawdź dostęp
- Wybierz użytkownika, grupę lub jednostkę usługi i wyszukaj 'Azure Device Update'
- Po kliknięciu 'Azure Device Update', sprawdź, czy rola Współtwórca danych IoT Hub jest wyświetlana w obszarze Przypisania ról
Uwierzytelnij się do interfejsów API REST aktualizacji urządzenia
Usługa Device Update używa usługi Azure Active Directory (AD) do uwierzytelniania w interfejsach API REST. Aby rozpocząć pracę, należy utworzyć i skonfigurować aplikację kliencką.
Tworzenie aplikacji klienckiej usługi Azure AD
Aby zintegrować aplikację lub usługę z Azure AD, najpierw zarejestruj aplikację kliencką w Azure AD. Konfiguracja aplikacji klienckiej będzie się różnić w zależności od wymaganego przepływu autoryzacji (użytkowników, aplikacji lub tożsamości zarządzanych). Aby na przykład wywołać usługę Device Update z:
- Aplikacja mobilna lub komputerowa, dodaj platformę aplikacji mobilnych i komputerowych z
https://login.microsoftonline.com/common/oauth2/nativeclientdla identyfikatora URI przekierowania. - Witryna internetowa z niejawnym logowaniem, dodaj platformę internetową i wybierz pozycję Tokeny dostępu (używane dla przepływów niejawnych).
Konfigurowanie uprawnień
Następnie dodaj uprawnienia do wywoływania usługi Device Update do aplikacji:
- Przejdź do strony uprawnień interfejsu API aplikacji i wybierz pozycję Dodaj uprawnienie.
- Przejdź do API wykorzystywanych przez moją organizację i wyszukaj Azure Device Update.
- Wybierz uprawnienie user_impersonation i wybierz Dodaj uprawnienia.
Żądanie tokenu autoryzacji
Interfejs API REST aktualizacji urządzenia wymaga tokenu autoryzacji OAuth 2.0 w nagłówku żądania. W poniższych sekcjach przedstawiono kilka przykładów sposobów żądania tokenu autoryzacji.
Korzystanie z Azure CLI
az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'
Korzystanie z biblioteki MSAL programu PowerShell
MSAL.PS moduł PowerShell działa jako warstwa nad biblioteką Microsoft Authentication Library for .NET (MSAL .NET). Obsługuje różne metody uwierzytelniania.
Używanie poświadczeń użytkownika:
$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope
Używanie poświadczeń użytkownika z kodem urządzenia:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode
Używanie poświadczeń aplikacji:
$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'
Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert
Wsparcie dla tożsamości zarządzanych
Zarządzane tożsamości zapewniają usługom Azure automatycznie zarządzaną tożsamość w ramach Azure AD w bezpieczny sposób. Eliminuje to konieczność zarządzania poświadczeniami przez deweloperów poprzez zapewnienie tożsamości. Usługa Device Update dla usługi IoT Hub obsługuje tożsamości zarządzane przypisane przez system.
Tożsamość zarządzana przypisana przez system
Aby dodać i usunąć tożsamość zarządzaną przypisaną przez system w witrynie Azure Portal:
- Zaloguj się do witryny Azure Portal i przejdź do żądanej aktualizacji urządzenia dla konta usługi IoT Hub.
- Przejdź do sekcji Tożsamość w portalu aktualizacji urządzenia dla usługi IoT Hub
- Przejdź do sekcji Tożsamość w portalu usługi IoT Hub
- Na karcie Przypisane przez system wybierz Włączone, a następnie kliknij Zapisz.
Aby usunąć tożsamość zarządzaną przypisaną przez system z konta aktualizacji urządzeń dla usługi IoT Hub, wybierz opcję Wyłączone i kliknij przycisk Zapisz.