登录时会发生什么情况
首次在 azureiotsuite.com 登录时,站点会根据当前所选的 Azure Active Directory(AAD)租户和 Azure 订阅确定权限级别。
首先,若要填充用户名旁显示的租户列表,站点会从 Azure 中找出你所属的 AAD 租户。 目前,站点一次只能获取一个租户的用户令牌。 因此,当你使用右上角的下拉列表切换租户时,站点会将你登录到该租户以获取该租户的令牌。
接下来,站点会从 Azure 获取与所选租户关联的订阅。 创建新的预配置解决方案时,会看到可用的订阅。
最后,站点检索标记为预配置解决方案的订阅和资源组中的所有资源,并填充主页上的磁贴。
以下部分介绍控制对预配置解决方案的访问的角色。
AAD 角色
AAD 角色控制预配预配置解决方案的功能,并在预配置解决方案中管理用户。
您可以在 Azure AD 中分配管理员角色找到有关管理员角色的更多信息。 当前文章重点介绍预配置解决方案使用的 全局管理员 和 用户 目录角色。
全局管理员
每个 AAD 租户可以有多个全局管理员:
- 创建 AAD 租户时,默认为该租户的全局管理员。
- 全局管理员可以预配预配置的解决方案,并为其 AAD 租户中的应用程序 分配管理员角色 。
- 如果同一 AAD 租户中的其他用户创建应用程序,则授予全局管理员的默认角色为 ReadOnly。
- 全局管理员可以使用 Azure 门户将用户分配到应用程序的角色。
域用户
每个 AAD 租户可以有多个域用户:
- 域用户可以通过 azureiotsuite.com 站点预配预配置解决方案。 默认情况下,域用户被授予预配应用程序中的 管理员 角色。
- 域用户可以在 azure-iot-remote-monitoring、 azure-iot-predictive-maintenance 或 azure-iot-connected-factory 存储库中使用build.cmd脚本创建应用程序。 但是,授予域用户的默认角色是 ReadOnly,因为域用户无权分配角色。
- 如果 AAD 租户中的其他用户创建应用程序,则默认情况下,域用户将为该应用程序分配 ReadOnly 角色。
- 域用户无法为应用程序分配角色;因此,即使域用户在应用程序中进行了预配,他们也无法为应用程序添加用户或为用户分配角色。
来宾用户
每个 AAD 租户可以有多个来宾用户。 来宾用户在 AAD(Azure Active Directory)租户中拥有一组有限权限。 因此,来宾用户无法在 Azure AD 租户中创建一个已配置好的解决方案。
有关 AAD 中的用户和角色的详细信息,请参阅以下资源:
Azure 订阅管理员角色
Azure 管理员角色控制将 Azure 订阅映射到 AD 租户的功能。
了解有关 Azure 管理员角色的更多信息,请参阅文章如何添加或更改 Azure 共同管理员、服务管理员和帐户管理员。
应用程序角色
应用程序角色控制对预配置解决方案中设备的访问。
预配应用程序中定义了两个已定义的角色和一个隐式角色:
- 管理: 完全控制添加、管理、删除设备和修改设置。
- ReadOnly: 可以查看设备、规则、动作、任务和遥测。
可以在 RolePermissions.cs 源文件中找到分配给每个角色的权限。
更改用户的应用程序角色
可以使用以下过程使 Active Directory 中的用户成为预配置解决方案的管理员。
必须是 AAD 全局管理员才能更改用户的角色:
- 转到 Azure 门户。
- 选择“Azure Active Directory”。
- 在预配解决方案时,请确保使用在 azureiotsuite.com 上选择的目录。 如果有多个目录与订阅关联,则单击门户右上角的帐户名称时,可以在它们之间切换。
- 单击 “企业应用程序”,然后单击 “所有应用程序”。
- 显示所有应用程序,状态为任意。 然后搜索具有预配置解决方案名称的应用程序。
- 单击与预配置解决方案名称匹配的应用程序的名称。
- 单击“用户和组”。
- 选择要切换角色的用户。
- 单击“ 分配 ”并选择要分配给用户的角色(如 管理员),单击复选标记。
常见问题
我是服务管理员,我想更改订阅与特定 AAD 租户之间的目录映射。 如何完成此任务?
我是 AAD 租户上的域用户/成员,我已创建预配置解决方案。 我该如何为我的应用分配一个角色?
让一名全局管理员将您设为 AAD 租户的全局管理员,然后您可以自行向用户分配角色。 或者,请全局管理员直接分配角色。 如果您想要更改您的预配置解决方案部署到的 Azure Active Directory (AAD) 租户,请参阅下一个问题。
如何切换分配给我的 AAD 租户的远程监视和预配置解决方案及应用程序?
可以从https://github.com/Azure/azure-iot-remote-monitoring运行云部署,然后使用新创建的 AAD 租户重新部署。 由于在创建 AAD 租户时是全局管理员,因此你有权添加用户并向这些用户分配角色。
- 在 Azure 门户中创建 AAD 目录。
- 转到 https://github.com/Azure/azure-iot-remote-monitoring 。
- 运行
build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution}(例如,build.cmd cloud debug myRMSolution) - 出现提示时,请将 tenantid 设置为新创建的租户,而不是以前的租户。
我想在使用组织帐户登录时更改服务管理员或 Co-Administrator。
请参阅支持文章 使用组织帐户登录时更改服务管理员以及 Co-Administrator。
为什么我看到此错误? “你的帐户没有创建解决方案的适当权限。 请与帐户管理员联系,或者尝试使用其他帐户。
查看下图以获取指导:
注释
如果在验证你是 AAD 租户的全局管理员和订阅的共同管理员后继续看到错误,请让帐户管理员删除用户并重新分配此顺序所需的权限。 首先,将用户添加为全局管理员,然后将用户添加为 Azure 订阅上的共同管理员。 如果问题仍然存在,请联系 帮助 & 支持。
为什么我有 Azure 订阅时看到此错误? “创建预配置的解决方案需要 Azure 订阅。 只需几分钟即可创建一个免费试用帐户。
如果确定拥有 Azure 订阅,请验证订阅的租户映射,并确保在下拉列表中选择正确的租户。 确认所需的租户正确后,请遵循前面的图表,并验证订阅与此 Azure Active Directory (AAD) 租户的映射。
后续步骤
若要继续了解 IoT 套件,请参阅如何 自定义预配置解决方案。