Поделиться через

Настройка экземпляра Azure Digital Twins и аутентификация (портал)

  • Статья

В этой статье описаны действия по настройке нового экземпляра Azure Digital Twins, включая создание экземпляра и настройку проверки подлинности. После выполнения этой статьи у вас будет экземпляр Azure Digital Twins, готовый начать программирование.

Эта версия статьи проходит все эти шаги вручную, один за другим, с использованием портала Azure. Портал Azure — это единая веб-консоль, которую можно использовать вместо средств командной строки.

Полная настройка для нового экземпляра Azure Digital Twins состоит из двух частей:

  1. Создание экземпляра
  2. Настройка разрешений доступа пользователей: пользователям Azure необходимо иметь роль владельца данных Azure Digital Twins в экземпляре Azure Digital Twins, чтобы управлять им и его данными. На этом шаге вы, как владелец или администратор подписки Azure, должны назначить эту роль пользователю, который будет управлять этим экземпляром Azure Digital Twins. Этим пользователем можете быть вы сами или кто-то другой из вашей организации.

Внимание

Чтобы завершить всю эту статью и полностью настроить пригодный для использования экземпляр, вам потребуются разрешения на управление ресурсами и доступом пользователей в подписке Azure. Первый шаг может быть выполнен любым пользователем, который может создавать ресурсы в подписке, но на втором шаге требуются разрешения на управление доступом пользователей (или сотрудничество с лицами, имеющими эти разрешения). Дополнительные сведения см. в разделе Предварительные требования: необходимые разрешения для шага, где требуются разрешения для доступа пользователя.

Создайте экземпляр Azure Digital Twins

В этом разделе вы создаете новый экземпляр Azure Digital Twins с помощью портала Azure. Перейдите на портал и войдите с помощью учетных данных.

  1. На портале нажмите кнопку Создать ресурс в меню домашней страницы служб Azure.

    Снимок экрана: портал Azure, где выделен значок

  2. Найдите Azure Digital Twins в поле поиска и выберите в результатах службу Azure Digital Twins.

    Оставьте в поле План значение Azure Digital Twins и нажмите кнопку Создать, чтобы начать создание нового экземпляра службы.

    Снимок экрана: портал Azure, где выделена кнопка

  1. На следующей странице создания ресурса введите следующие значения:

    • Подписка: используемая подписка Azure.
      • Группа ресурсов — группа ресурсов, в которой будет развернут экземпляр. Если у вас еще нет существующей группы ресурсов, можно создать ее здесь, выбрав ссылку "Создать новую" и введя имя новой группы ресурсов.
    • Имя ресурса — имя вашего экземпляра Azure Digital Twins. Если у вашей подписки есть другой экземпляр Azure Digital Twins в регионе, который уже использует указанное имя, вам будет предложено выбрать другое имя.
    • Регион: регион с поддержкой Azure Digital Twins для развертывания. Дополнительные сведения о языковой поддержке см. в разделе Доступность продуктов Azure по регионам (Azure Digital Twins).
    • Предоставление доступа к ресурсу: установка флажка в этом разделе дает вашей учетной записи Azure разрешение на доступ к данным и их управление в инстансе. Если именно вы будете управлять экземпляром, установите этот флажок сейчас. Если он недоступен из-за отсутствия у вас разрешения в вашей подписке, можно продолжить создание ресурса и попросить другого пользователя с необходимыми разрешениями предоставить вам роль позже. Для получения дополнительной информации об этой роли и назначении ролей вашему экземпляру, см. следующий раздел Настройка разрешений доступа пользователей.

    Снимок экрана, демонстрирующий процесс создания ресурса для Azure Digital Twins на портале Azure. Заполнены указанные значения.

  2. По завершении выберите Просмотр и создание, если вы не хотите настраивать дополнительные параметры для вашего экземпляра. При этом вы перейдете на страницу сводки, где сможете просмотреть введенные вами сведения об экземпляре, и завершите процесс, нажав Create.

    Если вы хотите настроить более подробные параметры для своего экземпляра, в следующем разделе описаны оставшиеся вкладки настройки.

Дополнительные параметры установки

Ниже приведены дополнительные параметры, которые можно настроить во время установки с помощью других вкладок в процессе Создание ресурсов.

  • Сетевые параметры: на этой вкладке можно включить частные конечные точки с помощью Azure Private Link, чтобы исключить публичный доступ к вашему экземпляру. Инструкции см. в разделе Включение частного доступа с помощью Private Link.
  • Дополнительно. На этой вкладке можно включить управляемое удостоверение, назначаемое системой для вашего экземпляра. Если этот параметр включен, Azure автоматически создает удостоверение для экземпляра в Microsoft Entra ID, которое можно использовать для аутентификации в других службах. Это управляемое удостоверение, назначаемое системой, можно включить при создании экземпляра здесь или позднее в существующем экземпляре. Если вы хотите включить управляемое удостоверение, назначаемое пользователем, необходимо сделать это позже в существующем экземпляре.
  • Теги: на этой вкладке можно добавить теги к экземпляру, чтобы помочь организовать его среди ваших ресурсов на Azure. Дополнительные сведения о тегах ресурсов Azure см. в разделе Ресурсы тегов, группы ресурсов и подписки для логической организации.

Проверка успешности и получение важных значений

После завершения установки экземпляра с помощью кнопки Создать можно просмотреть состояние развертывания экземпляра в уведомлениях Azure на панели значков портала. Уведомление указывает, когда развертывание завершается успешно, в какой момент можно выбрать кнопку "Перейти к ресурсу ", чтобы просмотреть созданный экземпляр.

Снимок экрана: уведомления Azure об успешном развертывании, выделена кнопка

Если развертывание завершается ошибкой, уведомление указывает, почему. Следуйте рекомендациям из сообщения об ошибке и повторите попытку создания экземпляра.

Совет

После создания экземпляра можно в любой момент вернуться к его странице, выполнив поиск по имени своего экземпляра на панели поиска портала Azure.

На странице Обзор экземпляра обратите внимание на Имя, Группу ресурсов и Имя хоста. Эти значения важны, и их может потребоваться использовать при продолжении работы с экземпляром Azure Digital Twins. Если другие пользователи будут программировать с использованием экземпляра, вы должны поделиться этими значениями с ними.

Снимок экрана: портал Azure, где выделены важные значения на странице обзора экземпляра Azure Digital Twins.

Теперь у вас есть экземпляр Azure Digital Twins, готовый к работе. Далее вы получите соответствующие разрешения пользователя Azure для управления им.

Настройка прав доступа пользователей

Azure Digital Twins использует идентификатор Microsoft Entra для управления доступом на основе ролей (RBAC). Это означает, что прежде чем пользователь сможет выполнять вызовы, связанные с передачей данных, в ваш экземпляр Azure Digital Twins, ему необходимо назначить роль с соответствующими правами доступа.

Для Azure Digital Twins такой ролью является Владелец данных Azure Digital Twins. Дополнительные сведения о назначении ролей и безопасности см. в статье Безопасность для решений Azure Digital Twins.

Примечание.

Эта роль отличается от роли владельца Microsoft Entra ID, которая также может быть назначена в пределах экземпляра Azure Digital Twins. Это две отдельные роли с правами управления, и Владелец не предоставляет доступ к функциям плоскости данных, предоставляемым Владельцем данных Azure Digital Twins.

В этом разделе показано, как создать назначение ролей для пользователя в экземпляре Azure Digital Twins с помощью электронной почты этого пользователя в клиенте Microsoft Entra в подписке Azure. В зависимости от вашей роли в организации вы можете настроить это разрешение для себя или настроить его от имени другого пользователя, который будет управлять экземпляром Azure Digital Twins.

Создать назначение роли для пользователя в Azure Digital Twins можно двумя способами:

В обоих случаях необходимы одинаковые разрешения.

Предварительные условия: требования к предоставлению разрешений

Чтобы выполнить описанные ниже шаги, у вас должна быть роль в подписке со следующими разрешениями:

  • создание ресурсов Azure и управление ими;
  • управление доступом пользователей к ресурсам Azure (включая предоставление и делегирование разрешений).

Общие роли, отвечающие этому требованию: Владелец или Администратор учетной записи либо сочетание ролей Администратор доступа пользователей и Участник. Для полного объяснения ролей и разрешений, включая какие разрешения входят в другие роли, посетите роли Azure, роли Microsoft Entra и роли администратора классической подписки в документации Azure RBAC.

Чтобы просмотреть свою роль в подписке, перейдите на страницу "Подписки" в портал Azure (вы можете использовать эту ссылку или найти подписки с помощью панели поиска на портале). Найдите имя используемой подписки и просмотрите ее в столбце "Моя роль":

Снимок экрана: страница

Если вы обнаружите, что значение является Участником, или другой ролью, которая не имеет необходимых разрешений, описанных ранее, вы можете связаться с пользователем в вашей подписке, который имеет эти разрешения (например, владельцем подписки или администратором учетной записи) и действовать одним из следующих способов:

  • попросите этого пользователя выполнить процесс назначения ролей от вашего имени;
  • Попросите, чтобы они повысили вашу роль в подписке, чтобы у вас были права на разрешения и вы могли действовать самостоятельно. Может ли этот запрос является целесообразным, может зависеть от вашей организации и вашей роли в ней.

Назначьте роль при создании экземпляра

При создании ресурса Azure Digital Twins с помощью процедуры, описанной выше в этой статье, в разделе Предоставить доступ к ресурсу выберите роль владельца данных Azure Digital Twins. Это обеспечивает вам полный доступ к API плоскости данных.

Снимок экрана: процесс создания ресурса для Azure Digital Twins на портале Azure. Выделен флажок

Если у вас нет разрешения на назначение роли идентификатору, поле будет отображаться серым.

Снимок экрана: процесс создания ресурса для Azure Digital Twins на портале Azure. Флажок

В этом случае вы по-прежнему можете успешно создать ресурс Azure Digital Twins, но кто-то с соответствующими разрешениями должен назначить эту роль вам или пользователю, который будет управлять данными экземпляра.

Назначьте роль с помощью управления идентификацией и доступом в Azure (IAM)

Вы также можете назначить роль владельца данных Azure Digital Twins с помощью параметров управления доступом в Системе управления идентификацией и доступом Azure.

  1. Сначала откройте страницу своего экземпляра Azure Digital Twins на портале Azure.

  2. Выберите Управление доступом (IAM) .

  3. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".

  4. Назначьте роль владельца данных Azure Digital Twins. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

    Настройка Значение
    Роль Владелец данных Azure Digital Twins
    Назначить доступ для Пользователь, группа или субъект-служба
    Участники Найдите и выберите имя или адрес электронной почты пользователя для назначения

    Страница добавления назначения роли

Проверка успешного выполнения

Вы можете просмотреть назначение роли, которое вы настроили в разделе Управление доступом (IAM)> Назначения ролей. Пользователь должен отображаться в списке с ролью Владелец данных Azure Digital Twins.

Снимок экрана: назначение ролей для экземпляра Azure Digital Twins на портале Azure.

Теперь у вас есть экземпляр Azure Digital Twins, готовый к работе, и назначены разрешения для управления им.

Включение и отключение управляемого удостоверения для экземпляра

В этом разделе показано, как добавить управляемое удостоверение (назначаемое системой или назначаемое пользователем) в существующий экземпляр Azure Digital Twins. Эту страницу можно также использовать для отключения управляемого удостоверения в экземпляре, который уже имеет его.

Для начала в окне браузера откройте портал Azure.

  1. Найдите имя своего экземпляра в строке поиска портала и выберите его, чтобы просмотреть сведения.

  2. Выберите Идентификатор в меню слева.

  3. Используйте вкладки, чтобы выбрать тип управляемого удостоверения, который требуется добавить или удалить.

    1. Назначаемое системой: после выбора этой вкладки выберите параметр "Включить ", чтобы включить эту функцию, или отключить ее, чтобы удалить ее.

      Снимок экрана портала Azure, показывающий страницу Идентификация и параметры, определяемые системой для экземпляра Azure Digital Twins.

      Нажмите кнопку Сохранить, а затем Да для подтверждения. После включения удостоверения, назначаемого системой, на этой странице будут отображаться дополнительные поля, показывающие идентификатор объекта и разрешения (назначения ролей Azure) нового удостоверения.

    2. Назначаемое пользователем (предварительная версия): после выбора этой вкладки выберите "Связать управляемое удостоверение, назначаемое пользователем" и следуйте указаниям, чтобы выбрать удостоверение для связи с экземпляром.

      Снимок экрана: портал Azure со страницей удостоверений и параметрами, назначенными пользователем для экземпляра Azure Digital Twins.

      Или, если здесь уже есть учетная запись, которую вы хотите отключить, можно установить флажок рядом с ней в списке и удалить ее.

      После добавления идентификатора вы можете выбрать его имя в списке здесь, чтобы открыть его сведения. На странице сведений можно просмотреть идентификатор объекта и использовать меню слева, чтобы просмотреть назначения ролей Azure.

Соображения по отключению управляемых удостоверений

Важно учитывать, как любые изменения удостоверения или его роли могут повлиять на ресурсы, которые его используют. Если вы используете управляемые удостоверения с конечными точками Azure Digital Twins или для журнала данных, и удостоверение отключено или из него удалена необходимая роль, то подключение к конечной точке или журналу данных может стать недоступным, и поток событий может нарушиться.

Следующие шаги

Проверьте отдельные вызовы API REST на вашем экземпляре с помощью команд CLI Azure Digital Twins.

Или узнайте, как подключить клиентское приложение к вашему экземпляру с использованием кода аутентификации.