Partilhar via

Controlar o acesso ao Serviço de Provisionamento de Dispositivo (DPS) do Hub IoT do Azure usando a ID do Microsoft Entra (visualização)

Você pode usar a ID do Microsoft Entra para autenticar solicitações para APIs do DPS (Serviço de Provisionamento de Dispositivos) do Hub IoT do Azure, como criar identidade de dispositivo e invocar método direto. Você também pode usar o controle de acesso baseado em função do Azure (Azure RBAC) para autorizar essas mesmas APIs de serviço. Usando essas tecnologias juntas, você pode conceder permissões para acessar APIs do DPS (Serviço de Provisionamento de Dispositivos) do Hub IoT do Azure a uma entidade de segurança do Microsoft Entra. Essa entidade de segurança pode ser um usuário, grupo ou entidade de serviço de aplicativo.

Autenticar o acesso usando a ID do Microsoft Entra e controlar as permissões usando o RBAC do Azure oferece segurança aprimorada e facilidade de uso em tokens de segurança. Para minimizar possíveis problemas de segurança inerentes aos tokens de segurança, recomendamos que você use a ID do Microsoft Entra com seu DPS (Serviço de Provisionamento de Dispositivo) do Hub IoT do Azure sempre que possível.

Nota

A autenticação com o Microsoft Entra ID não é suportada para as APIs de dispositivo do Serviço de Provisionamento de Dispositivo (DPS) do Hub IoT do Azure (como pesquisa de status de registro de dispositivo ou dispositivo de registro). Use chaves simétricas, X.509 ou TPM para autenticar dispositivos no DPS (Serviço de Provisionamento de Dispositivos) do Hub IoT do Azure.

Autenticação e autorização

Quando uma entidade de segurança do Microsoft Entra solicita acesso a uma API do DPS (Serviço de Provisionamento de Dispositivos) do Hub IoT do Azure, a identidade da entidade é autenticada primeiro. Para autenticação, a solicitação precisa conter um token de acesso OAuth 2.0 em tempo de execução. O nome do recurso para solicitar o token é https://azure-devices-provisioning.net. Se o aplicativo for executado em um recurso do Azure, como uma VM do Azure, aplicativo do Azure Functions ou aplicativo do Serviço de Aplicativo do Azure, ele poderá ser representado como uma identidade gerenciada.

Depois que a entidade de segurança do Microsoft Entra for autenticada, a próxima etapa será a autorização. Nesta etapa, o DPS (Serviço de Provisionamento de Dispositivo) do Hub IoT do Azure usa o serviço de atribuição de função do Microsoft Entra para determinar quais permissões a entidade de segurança tem. Se as permissões da entidade de segurança corresponderem ao recurso ou API solicitado, o DPS (Serviço de Provisionamento de Dispositivo) do Hub IoT do Azure autorizará a solicitação. Portanto, esta etapa requer que uma ou mais funções do Azure sejam atribuídas à entidade de segurança. O Serviço de Provisionamento de Dispositivo (DPS) do Hub IoT do Azure fornece algumas funções internas que têm grupos comuns de permissões.

Gerenciar o acesso ao Serviço de Provisionamento de Dispositivo (DPS) do Hub IoT do Azure usando a atribuição de função RBAC do Azure

Com o Microsoft Entra ID e o RBAC, o DPS (Serviço de Provisionamento de Dispositivos) do Hub IoT do Azure exige que a entidade que solicita a API tenha o nível apropriado de permissão para autorização. Para dar permissão ao principal, atribua-lhe uma atribuição de função.

Para garantir o menor privilégio, atribua sempre a função apropriada no menor escopo de recurso possível, que provavelmente é o escopo do DPS (Serviço de Provisionamento de Dispositivos) do Hub IoT do Azure.

O Serviço de Provisionamento de Dispositivo (DPS) do Hub IoT do Azure fornece as seguintes funções internas do Azure para autorizar o acesso às APIs do DPS usando a ID do Microsoft Entra e o RBAC:

Função Description
Contribuidor de dados do serviço de provisionamento de dispositivos Permite acesso total às operações do plano de dados do Serviço de Provisionamento de Dispositivos.
Leitor de dados do serviço de provisionamento de dispositivos Permite acesso total de leitura às propriedades do plano de dados do Serviço de Provisionamento de Dispositivos.

Você também pode definir funções personalizadas para usar com o Serviço de Provisionamento de Dispositivo (DPS) do Hub IoT do Azure combinando as permissões necessárias. Para obter mais informações, consulte Criar funções personalizadas para o controle de acesso baseado em função do Azure.

Âmbito do recurso

Antes de atribuir uma função RBAC do Azure a uma entidade de segurança, determine o escopo de acesso que a entidade de segurança deve ter. É sempre melhor conceder apenas o âmbito mais restrito possível. As funções do RBAC do Azure definidas em um escopo mais amplo são herdadas pelos recursos abaixo delas.

Esta lista descreve os níveis nos quais você pode definir o escopo de acesso ao Hub IoT, começando com o escopo mais estreito:

  • O Serviço de Provisionamento de Dispositivo (DPS) do Hub IoT do Azure. Neste escopo, uma atribuição de função se aplica ao DPS (Serviço de Provisionamento de Dispositivo) do Hub IoT do Azure. Não há suporte para atribuição de função em escopos menores, como grupo de inscrição ou inscrição individual.
  • o grupo de recursos. Neste escopo, uma atribuição de função se aplica a todos os hubs IoT no grupo de recursos.
  • A assinatura. Neste escopo, uma atribuição de função se aplica a todos os hubs IoT em todos os grupos de recursos na assinatura.
  • Um grupo de gestão. Neste escopo, uma atribuição de função se aplica a todos os hubs IoT em todos os grupos de recursos em todas as assinaturas no grupo de gerenciamento.

Permissões para APIs do Serviço de Provisionamento de Dispositivo (DPS) do Hub IoT do Azure

A tabela a seguir descreve as permissões disponíveis para operações de API do DPS (Serviço de Provisionamento de Dispositivos) do Hub IoT do Azure. Para permitir que um cliente chame uma operação específica, certifique-se de que a função RBAC atribuída ao cliente ofereça permissões suficientes para a operação.

Ação do RBAC Description
Microsoft.Devices/provisioningServices/attestationmechanism/details/action Detalhes do mecanismo de obtenção de atestado
Microsoft.Devices/provisioningServices/enrollmentGroups/read Ler grupos de inscrição
Microsoft.Devices/provisioningServices/enrollmentGroups/write Escrever grupos de inscrição
Microsoft.Devices/provisioningServices/enrollmentGroups/delete Excluir grupos de inscrição
Microsoft.Devices/provisioningServices/enrollments/read Ler inscrições
Microsoft.Devices/provisioningServices/enrollments/write Escrever inscrições
Microsoft.Devices/provisioningServices/enrollments/delete Excluir inscrições
Microsoft.Devices/provisioningServices/registrationStates/read Ler estados de registo
Microsoft.Devices/provisioningServices/registrationStates/delete Excluir estados de registro

Extensão do Azure IoT para CLI do Azure

A maioria dos comandos no Serviço de Provisionamento de Dispositivo (DPS) do Hub IoT do Azure dá suporte à autenticação do Microsoft Entra. Você pode controlar o tipo de autenticação usado para executar comandos usando o --auth-type parâmetro que aceita key ou login valores. O key valor é o padrão.

  • Quando --auth-type tem o key valor, a CLI descobre automaticamente uma política adequada quando interage com o DPS (Serviço de Provisionamento de Dispositivo) do Hub IoT do Azure.

  • Quando --auth-type tem o login valor, um token de acesso da CLI do Azure registrada na entidade de segurança é usado para a operação.

  • Atualmente, os seguintes comandos suportam --auth-type:

    • az iot dps enrollment
    • az iot dps enrollment-group
    • az iot dps registration

Para obter mais informações, consulte a página de lançamento da extensão do Azure IoT para a CLI do Azure.

SDKs e amostras

Acesso ao Microsoft Entra ID a partir do portal do Azure

Nota

O acesso ao Microsoft Entra ID do portal do Azure não está disponível durante a visualização.

Próximos passos

  • Last updated on