Lagra och använd dina egna licensnycklar
Azure Data Manager for Agriculture har stöd för en rad anslutningsappar för ingress för att centralisera dina fragmenterade konton. Dessa anslutningar kräver att kunden fyller i sina autentiseringsuppgifter i en BYOL-modell (Bring Your Own License), så att datahanteraren kan hämta data åt kunden.
Kommentar
Microsoft Azure Data Manager for Agriculture finns för närvarande i förhandsversion. Juridiska villkor som gäller för funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet finns i Kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure.
Microsoft Azure Data Manager for Agriculture kräver registrering och är endast tillgängligt för godkända kunder och partner under förhandsversionen. Om du vill begära åtkomst till Microsoft Data Manager för jordbruk under förhandsversionen använder du det här formuläret.
Förutsättningar
Om du vill använda BYOL behöver du en Azure-prenumeration. Om du inte redan har en prenumeration skapar du ett kostnadsfritt konto innan du börjar.
Översikt
I BYOL-modellen ansvarar du för att tillhandahålla egna licenser för satellit- och väderdataanslutningar. I den här modellen lagrar du den hemliga delen av autentiseringsuppgifterna i ett kundhanterat Azure Key Vault. Hemlighetens URI måste delas med Azure Data Manager for Agriculture-instansen. Azure Data Manager for Agriculture-instansen bör ges läsbehörigheter för hemligheter så att API:erna kan fungera sömlöst. Den här processen är en engångskonfiguration för varje anslutningsapp. Vår Data Manager refererar sedan till och läser hemligheten från kundernas nyckelvalv som en del av API-anropet utan att hemligheten exponeras.
Flödesdiagram som visar skapande och delning av autentiseringsuppgifter.
Kunden kan också åsidosätta autentiseringsuppgifter som ska användas för en dataplansbegäran genom att ange autentiseringsuppgifter som en del av API-begäran för dataplanet.
Sekvens med steg för att konfigurera anslutningsappar
Steg 1: Skapa eller använda befintligt Key Vault
Kunder kan skapa ett nyckelvalv eller använda ett befintligt nyckelvalv för att dela licensautentiseringsuppgifter för satellit (Sentinel Hub) och väder (IBM Weather). Kunden skapar Azure Key Vault eller återanvänder ett befintligt nyckelvalv.
Aktivera följande egenskaper:
Data Manager for Agriculture är en betrodd Microsoft-tjänst och har stöd för nyckelvalv för privata nätverk utöver offentligt tillgängliga nyckelvalv. Om du placerar nyckelvalvet bakom ett virtuellt nätverk måste du välja “Allow trusted Microsoft services to bypass this firewall."
Steg 2: Lagra hemlighet i Azure Key Vault
Om du vill dela dina autentiseringsuppgifter för satellit- eller vädertjänsten lagrar du en hemlig del av autentiseringsuppgifterna i nyckelvalvet, till exempel ClientSecret för SatelliteSentinelHub och APIKey för WeatherIBM. Kunderna har kontroll över hemligt namn och rotation.
Se den här vägledningen för att lagra och hämta din hemlighet från valvet.
Steg 3: Aktivera systemidentitet
Som kund måste du aktivera systemidentitet för din Data Manager for Agriculture-instans. Den här identiteten används när den ges hemliga läsbehörigheter för Azure Data Manager for Agriculture-instansen.
Följ någon av följande metoder för att aktivera:
Via Azure Portal användargränssnitt
Via Azure CLI
az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"
Steg 4: Åtkomstprincip
Lägg till en åtkomstprincip i nyckelvalvet för din Data Manager for Agriculture-instans.
Gå till fliken Åtkomstprinciper i nyckelvalvet.
Välj Behörigheter för Hemlig GET och LISTA.
Välj nästa flik och välj sedan Datahanteraren för namnet på instansen Jordbruk och välj sedan fliken Granska + skapa för att skapa åtkomstprincipen.
Steg 5: Anropa API-anrop för kontrollplan
Använd API-anropet för att ange autentiseringsuppgifter för anslutningsappen. Nyckelvalvets URI/nyckelnamn/nyckelversion finns när du har skapat hemligheten enligt följande bild.
Kommentar
För att göra kontrollplansanrop behöver du ägaråtkomst till ADMA-resursomfånget.
Följande värden bör användas för anslutningsapparna när du anropar ovanstående API:er:
| Scenario | DataConnectorName | Merit |
|---|---|---|
| För Satellit SentinelHub-anslutningsprogram | SatellitSentinelHub | OAuthClientCredentials |
| För Weather IBM-anslutningsprogram | VäderIBM | ApiKeyAuthCredentials |
Övergripande anslutningsinformation
Som en del av API:er för dataplanet kan kunden välja att åsidosätta anslutningsinformationen som måste användas för den begäran.
Kunden kan läsa api-versionsdokumentationen 2023-06-01-preview där API:erna för dataplanet för satellit och väder tar autentiseringsuppgifterna som en del av begärandetexten.
Så här får Azure Data Manager for Agriculture åtkomst till hemlighet
Följande flöde visar hur Azure Data Manager for Agriculture får åtkomst till hemlighet.
Om du inaktiverar och sedan återaktiverar systemidentitet måste du ta bort åtkomstprincipen i nyckelvalvet och lägga till den igen.
Slutsats
Du kan använda dina licensnycklar på ett säkert sätt genom att lagra dina hemligheter i Azure Key Vault, aktivera systemidentitet och ge läsåtkomst till vår Data Manager. ISV-lösningar som är tillgängliga med vår Data Manager använder också dessa autentiseringsuppgifter.
Du kan använda våra API:er för dataplan och referenslicensnycklar i ditt nyckelvalv. Du kan också välja att åsidosätta standardlicensautentiseringsuppgifter dynamiskt i våra API-anrop för dataplanet. Vår Data Manager utför grundläggande valideringar, inklusive att kontrollera om den kan komma åt hemligheten som anges i autentiseringsuppgifternas objekt eller inte.
Nästa steg
- Testa våra API:er här.