Azure Digital Twins-példány és -hitelesítés beállítása (CLI)
Ez a cikk az új Azure Digital Twins-példány beállításának lépéseit ismerteti, beleértve a példány létrehozását és a hitelesítés beállítását. A cikk befejezése után egy Azure Digital Twins-példánysal fog rendelkezni, amely készen áll a programozás megkezdésére.
Az új Azure Digital Twins-példány teljes beállítása két részből áll:
- A példány létrehozása
- Felhasználói hozzáférési engedélyek beállítása: Az Azure-felhasználóknak rendelkezniük kell az Azure Digital Twins adattulajdonosi szerepkörével az Azure Digital Twins-példányon ahhoz, hogy kezelni tudják azt és az adatait. Ebben a lépésben Ön, mint az Azure-előfizetés tulajdonosa/rendszergazdája hozzárendeli ezt a szerepkört ahhoz a személyhez, aki az Azure Digital Twins-példányt fogja kezelni. Ez lehet saját maga vagy valaki más a szervezetében.
Fontos
A teljes cikk elvégzéséhez és egy használható példány teljes beállításához engedélyekre van szüksége az erőforrások és a felhasználói hozzáférés kezeléséhez az Azure-előfizetésben. Az első lépést bárki elvégezheti, aki képes erőforrásokat létrehozni az előfizetésen, de a második lépéshez felhasználói hozzáférés-kezelési engedélyekre (vagy az ilyen engedélyekkel rendelkező személy együttműködésére) van szükség. Erről bővebben az Előfeltételek: A felhasználói hozzáférési engedély lépéshez szükséges engedélyek szakaszában olvashat.
Előfeltételek
Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.
Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.
Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.
Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.
Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.
Parancssori felületi munkamenet beállítása
Az Azure Digital Twins parancssori felületen való használatának megkezdéséhez először be kell jelentkeznie, és be kell állítania a CLI-környezetet az előfizetéséhez ehhez a munkamenethez. Futtassa az alábbi parancsokat a parancssori felület ablakában:
az login
az account set --subscription "<your-Azure-subscription-ID>"
Tipp.
A fenti parancsban szereplő azonosító helyett az előfizetés nevét is használhatja.
Ha ez az első alkalom, hogy ezt az előfizetést az Azure Digital Twins szolgáltatással használja, futtassa ezt a parancsot az Azure Digital Twins névtérben való regisztrációhoz. (Ha nem biztos benne, akkor is nyugodtan futtathatja újra, ha valamikor a múltban tette.)
az provider register --namespace 'Microsoft.DigitalTwins'
Ezután hozzáadja az Azure CLI-hez készült Microsoft Azure IoT-bővítményt, hogy lehetővé tegye az Azure Digital Twins és más IoT-szolgáltatások közötti interakció parancsait. Futtassa ezt a parancsot, és győződjön meg arról, hogy a bővítmény legújabb verziójával rendelkezik:
az extension add --upgrade --name azure-iot
Most már készen áll az Azure Digital Twins azure CLI-ben való kezelésére.
Ezt bármikor ellenőrizheti az dt --help , és megtekintheti az elérhető legfelső szintű Azure Digital Twins-parancsok listáját.
Az Azure Digital Twins-példány létrehozása
Ebben a szakaszban egy új Azure Digital Twins-példányt fog létrehozni a CLI paranccsal. Meg kell adnia a következőt:
- Egy erőforráscsoport, amelyben a példány üzembe lesz helyezve. Ha még nem rendelkezik meglévő erőforráscsoporttal, most az alábbi paranccsal hozhat létre egyet:
az group create --location <region> --name <name-for-your-resource-group> - Az üzembe helyezés régiója. Ha meg szeretné tudni, hogy mely régiók támogatják az Azure Digital Twinst, látogasson el régiónként elérhető Azure-termékekre.
- A példány neve. Ha az előfizetésnek van egy másik Azure Digital Twins-példánya abban a régióban, amely már használja a megadott nevet, a rendszer kérni fogja, hogy válasszon másik nevet.
A példány létrehozásához használja ezeket az értékeket az alábbi az dt parancsban :
az dt create --dt-name <name-for-your-Azure-Digital-Twins-instance> --resource-group <your-resource-group> --location <region>
A parancshoz több választható paraméter is hozzáadható, amelyekkel további információkat adhat meg az erőforrásról a létrehozás során, beleértve a példányhoz tartozó felügyelt identitás létrehozását vagy a nyilvános hálózati hozzáférés engedélyezését/letiltását. A támogatott paraméterek teljes listáját az az dt create reference dokumentációjában találja.
A példány létrehozása felügyelt identitással
Ha engedélyezi a felügyelt identitást az Azure Digital Twins-példányon, a rendszer létrehoz egy identitást a Microsoft Entra-azonosítóban. Ez az identitás ezután használható más szolgáltatásokban való hitelesítéshez. Engedélyezheti a felügyelt identitást egy Azure Digital Twins-példányhoz a példány létrehozásakor vagy egy meglévő példányon.
Használja az alábbi CLI-parancsot a választott felügyelt identitástípushoz.
Rendszer által hozzárendelt identitásparancs
Ha olyan Azure Digital Twins-példányt szeretne létrehozni, amelyen engedélyezve van a rendszer által hozzárendelt identitás , hozzáadhat egy paramétert --mi-system-assigned a az dt create példány létrehozásához használt parancshoz. (A létrehozási paranccsal kapcsolatos további információkért tekintse meg a referenciadokumentációt vagy az Azure Digital Twins-példány beállításának általános utasításait).
A rendszer által hozzárendelt identitással rendelkező példány létrehozásához adja hozzá a --mi-system-assigned következő paramétert:
az dt create --dt-name <new-instance-name> --resource-group <resource-group> --mi-system-assigned
Felhasználó által hozzárendelt identitásparancs
Ha egy felhasználó által hozzárendelt identitással rendelkező példányt szeretne létrehozni, adja meg egy meglévő felhasználó által hozzárendelt identitás azonosítóját a --mi-user-assigned paraméterrel, például:
az dt create --dt-name <new-instance-name> --resource-group <resource-group> --mi-user-assigned <user-assigned-identity-resource-ID>
Sikeresség ellenőrzése és fontos értékek összegyűjtése
Ha a példány sikeresen létrejött, a parancssori felület eredménye így néz ki, és a létrehozott erőforrással kapcsolatos információkat ad ki:
Figyelje meg az Azure Digital Twins-példány állomásnevét, nevét és resourceGroupját a kimenetből. Ezek az értékek mind fontosak, és előfordulhat, hogy a hitelesítés és a kapcsolódó Azure-erőforrások beállításához az Azure Digital Twins-példány használata során is használnia kell őket. Ha más felhasználók is programozni fognak a példányon, ezeket az értékeket meg kell osztania velük.
Tipp.
Ezeket a tulajdonságokat a példány összes tulajdonságával együtt bármikor megtekintheti a futtatással az dt show --dt-name <your-Azure-Digital-Twins-instance>.
Most már készen áll egy Azure Digital Twins-példányra. Ezután megadja a megfelelő Azure-felhasználói engedélyeket a kezeléshez.
Felhasználói hozzáférési engedélyek beállítása
Az Azure Digital Twins a Microsoft Entra ID-t használja a szerepköralapú hozzáférés-vezérléshez (RBAC). Ez azt jelenti, hogy mielőtt egy felhasználó adatsík-hívásokat kezdeményezhet az Azure Digital Twins-példányhoz, hozzá kell rendelnie egy megfelelő engedélyekkel rendelkező szerepkört.
Az Azure Digital Twins esetében ez a szerepkör az Azure Digital Twins adattulajdonosa. Az Azure Digital Twins-megoldások biztonsági szerepköreiről és biztonságáról bővebben is olvashat.
Feljegyzés
Ez a szerepkör eltér a Microsoft Entra ID Owner szerepkörétől, amely az Azure Digital Twins-példány hatókörében is hozzárendelhető. Ez két különálló felügyeleti szerepkör, és a tulajdonos nem biztosít hozzáférést az Azure Digital Twins-adattulajdonos által biztosított adatsík-funkciókhoz.
Ez a szakasz bemutatja, hogyan hozhat létre szerepkör-hozzárendelést egy felhasználó számára az Azure Digital Twins-példányban, a felhasználó e-mail-címének használatával az Azure-előfizetés Microsoft Entra-bérlőjében. A szervezetében betöltött szerepkörétől függően beállíthatja ezt az engedélyt saját magának, vagy beállíthatja valaki más nevében, aki az Azure Digital Twins-példányt fogja felügyelni.
Előfeltételek: Engedélykövetelmények
Az alábbi lépések végrehajtásához rendelkeznie kell egy szerepkörrel az előfizetésben , amely a következő engedélyekkel rendelkezik:
- Azure-erőforrások létrehozása és kezelése
- Az Azure-erőforrásokhoz való felhasználói hozzáférés kezelése (beleértve az engedélyek megadását és delegálását)
A követelménynek megfelelő gyakori szerepkörök a tulajdonos, a fiókadminisztrátor vagy a felhasználói hozzáférés-rendszergazda és a közreműködő kombinációja. A szerepkörök és engedélyek teljes körű magyarázatáért, beleértve a többi szerepkörhöz tartozó engedélyeket, látogasson el az Azure-szerepkörökre, a Microsoft Entra szerepkörökre és a klasszikus előfizetés-rendszergazdai szerepkörökre az Azure RBAC dokumentációjában.
Az előfizetésben betöltött szerepkör megtekintéséhez látogasson el az Előfizetések lapra az Azure Portalon (ezt a hivatkozást használhatja, vagy megkeresheti az Előfizetéseket a portál keresősávjával). Keresse meg a használt előfizetés nevét, és tekintse meg a szerepkörét a Saját szerepkör oszlopban:
Ha úgy találja, hogy az érték Közreműködő vagy egy másik olyan szerepkör, amely nem rendelkezik a korábban ismertetett szükséges engedélyekkel, kapcsolatba léphet az előfizetésében lévő olyan felhasználóval, aki rendelkezik ezekkel az engedélyekkel (például előfizetés tulajdonosa vagy fiókadminisztrátora), és az alábbi módok egyikével folytathatja a műveletet:
- Kérje meg, hogy az Ön nevében hajtsa végre a szerepkör-hozzárendelés lépéseit.
- Kérje meg, hogy emelje fel a szerepkörét az előfizetésen, hogy Ön rendelkezzen a továbblépéshez szükséges engedélyekkel. Az, hogy ez a kérés megfelelő-e, a szervezettől és a benne lévő szerepkörtől függhet.
A szerepkör hozzárendelése
Ha felhasználói engedélyt szeretne adni egy Azure Digital Twins-példány kezelésére, hozzá kell rendelnie őket az Azure Digital Twins-adattulajdonosi szerepkörhöz a példányon belül.
A szerepkör hozzárendeléséhez használja a következő parancsot (az Azure-előfizetésben megfelelő engedélyekkel rendelkező felhasználónak kell futtatnia). A parancs megköveteli, hogy adja meg a microsoft entra-fiók egyszerű nevét annak a felhasználónak, akihez hozzá kell rendelni a szerepkört. A legtöbb esetben ez az érték megegyezik a felhasználó e-mail-címével a Microsoft Entra-fiókban.
az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<Azure-AD-user-principal-name-of-user-to-assign>" --role "Azure Digital Twins Data Owner"
Ennek a parancsnak az eredménye a felhasználó számára létrehozott szerepkör-hozzárendeléssel kapcsolatos kimeneti információ.
Feljegyzés
Ha ez a parancs hibaüzenetet ad vissza, amely szerint a parancssori felület nem talál felhasználót vagy szolgáltatásnevet a gráfadatbázisban:
Rendelje hozzá a szerepkört a felhasználó objektumazonosítójával. Ez a személyes Microsoft-fiókok (MSA-k) felhasználói esetében fordulhat elő.
A Microsoft Entra-felhasználók Azure Portal-oldalán válassza ki a felhasználói fiókot, és nyissa meg annak részleteit. Másolja ki a felhasználó objektumazonosítóját:
Ezután ismételje meg a szerepkör-hozzárendelési lista parancsot a felhasználó fenti paraméter objektumazonosítójával assignee .
Sikeresség ellenőrzése
A szerepkör-hozzárendelés sikeres beállításának ellenőrzésének egyik módja az Azure Digital Twins-példány szerepkör-hozzárendeléseinek megtekintése az Azure Portalon.
Nyissa meg az Azure Digital Twins-példányt az Azure Portalon. A kereséshez megkeresheti az Azure Digital Twins-példányok oldalán, vagy kereshet a nevére a portál keresősávjában.
Ezután tekintse meg az összes hozzárendelt szerepkörét a Hozzáférés-vezérlés (IAM) > szerepkör-hozzárendelések alatt. A szerepkör-hozzárendelésnek szerepelnie kell a listában.
Most már készen áll egy Azure Digital Twins-példányra, és rendelkezik a kezeléshez szükséges engedélyekkel.
Felügyelt identitás engedélyezése/letiltása a példányhoz
Ez a szakasz bemutatja, hogyan adhat hozzá felügyelt identitást egy már létező Azure Digital Twins-példányhoz. Letilthatja a felügyelt identitást egy olyan példányon is, amely már rendelkezik vele.
Használja az alábbi CLI-parancsokat a választott felügyelt identitástípushoz.
Rendszer által hozzárendelt identitásparancsok
A rendszer által hozzárendelt identitás meglévő példányhoz való engedélyezésére szolgáló parancs ugyanaz az dt create a parancs, amely egy új példány rendszer által hozzárendelt identitással való létrehozásához használatos. Ahelyett, hogy új nevet ad a létrehozandó példánynak, megadhatja a már létező példány nevét. Ezután adja hozzá a paramétert --mi-system-assigned .
az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --mi-system-assigned
Ha le szeretné tiltani a rendszer által hozzárendelt identitást egy olyan példányon, ahol jelenleg engedélyezve van, a következő paranccsal állítsa be --mi-system-assigned a következőt false.
az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --mi-system-assigned false
Felhasználó által hozzárendelt identitásparancsok
Ha egy felhasználó által hozzárendelt identitást szeretne engedélyezni egy meglévő példányon, adja meg egy meglévő felhasználó által hozzárendelt identitás azonosítóját a következő parancsban:
az dt identity assign --dt-name <name-of-existing-instance> --resource-group <resource-group> --user <user-assigned-identity-resource-ID>
Ha le szeretne tiltani egy felhasználó által hozzárendelt identitást egy olyan példányon, ahol jelenleg engedélyezve van, adja meg az identitás azonosítóját a következő parancsban:
az dt identity remove --dt-name <name-of-existing-instance> --resource-group <resource-group> --user <user-assigned-identity-resource-ID>
Megfontolandó szempontok a felügyelt identitások letiltására
Fontos figyelembe venni, hogy az identitás vagy a szerepkörök változásai milyen hatással lehetnek az azt használó erőforrásokra. Ha felügyelt identitásokat használ az Azure Digital Twins-végpontokkal vagy az adatelőzményekhez, és az identitás le van tiltva, vagy eltávolít egy szükséges szerepkört, a végpont- vagy adatelőzmény-kapcsolat elérhetetlenné válhat, és az események folyamata megszakad.
Ha továbbra is használni kíván egy végpontot, amelynek a felügyelt identitása le lett tiltva, törölnie kell a végpontot, és ismét létre kell hoznia egy másik hitelesítési típussal. A módosítás után akár egy óra is eltelhet, mire újból megindul az események kézbesítése a végpont felé.
Következő lépések
Tesztelje az egyes REST API-hívásokat a példányon az Azure Digital Twins CLI-parancsokkal:
Megtudhatja, hogyan csatlakoztathat egy ügyfélalkalmazást a példányhoz hitelesítési kóddal: