新しいAzure Sphereテナントの認証モデルへ移行

19.10から、Azure Sphereテナントの認証が、ロールによるアクセス制御に変更されました。

docs.microsoft.com

matsujirushi.hatenablog.jp

ロールによるアクセス制御に

ざっくり言うと、認証にマイクロソフトwork/schoolアカウントが使えるようになって、Azure ADテナントを立てたりといった手間が無くなります。また、ユーザー毎にロール(役割)を指定できるようになりました。現在は、Administrator, Contributor, Readerの3種類が指定できます。なんでもアリな人と、デバイスの追加変更ができる人と、見るだけの人。ロールの詳細は、azsphere roleのaddを参照ください。

OTAの構造がシンプルに

アプリケーションの配布に、Image, Image Set, Component, Feed, Device Group, SKUと、大変凝った構造になっていましたが、

Azure Sphere MCU

Product, Device Group, Imageとシンプルになりました。

docs.microsoft.com

新しい認証モデルへの移行作業が必要

この、新しい認証モデルへは、突如変更されるわけではなく、自ら移行を作業が必要です。

docs.microsoft.com

一人でしか使っていないAzure Sphereテナントの場合は簡単です。(複数で利用しているAzure Sphereテナントの場合はこちらを参照ください。)

  1. マイクロソフトアカウントでログイン(azsphere login --newuser)
  2. Azure Sphereテナントを新しい認証モデルへ移行(azsphere tenant migrate)
  3. 旧来の認証を禁止(azsphere role remove-legacy-access

たったこれだけ。
さぁ、やってみましょう。

認証モデルを移行してみる

azsphere -?で19.10以降になっていることを確認します。

f:id:matsujirushix:20191208143731p:plain

マイクロソフトアカウントでログインします。azsphere login --newuser

f:id:matsujirushix:20191208143942p:plain

Press any keyと出ているので、Enterキーを押します。
すると、別ウィンドウでマイクロソフトアカウントのログイン画面が表示されました。

f:id:matsujirushix:20191208144044p:plain

ログインすると、アクセス許可の画面が表示されました。

f:id:matsujirushix:20191208144145p:plain

一番下の承諾ボタンをクリックすると、azsphereコマンドのウィンドウにLogin successfulのメッセージが表示されて、無事ログインできたようです。

f:id:matsujirushix:20191208144439p:plain

黄色でいくつか警告メッセージが表示されていますが、Azure Sphereテナントがまだ移行されていないため表示されたようです。

それでは、移行しましょう。azsphere tenant migrateを実行します。

f:id:matsujirushix:20191208150442p:plain

移行するAzure Sphereテナントと管理者のアカウントに間違いがないことを十分確認してから、yesと入力します。

f:id:matsujirushix:20191208150725p:plain

移行が開始した旨のメッセージが表示されました。
公式ドキュメントによると、20分くらいかかるそうです。

azsphere device listが表示されれば、新しい認証モデルへ移行完了のようなので、実行してみます。

f:id:matsujirushix:20191208150935p:plain

完了したみたい♪

最後に、旧来の認証を禁止しておきましょう。azsphere role remove-legacy-access

f:id:matsujirushix:20191208151127p:plain

間違いないことを確認してから、yesと入力します。

f:id:matsujirushix:20191208151234p:plain

移行作業が全て完了しました!

おまけ

azsphere login --newuserすると、azsusers.onmicrosoft.comというAzureディレクトリにマイクロソフトアカウントが登録されるようです。

f:id:matsujirushix:20191208151524p:plain

覗いてみようとしましたが、ちゃんと権限で弾かれてしまいましたw

f:id:matsujirushix:20191208151632p:plain