Metody ověřování agenta zabezpečení
Tento článek vysvětluje různé metody ověřování, které můžete použít s agentem AzureIoTSecurity k ověření ve službě IoT Hub.
Pro každé zařízení nasazené v programu Defender for IoT ve službě IoT Hub se vyžaduje agent Defender-IoT-micro-agent. K ověření zařízení může Defender for IoT použít jednu ze dvou metod. Zvolte metodu, která nejlépe vyhovuje vašemu stávajícímu řešení IoT.
- Možnost SecurityModule
- Možnost zařízení
Metody ověřování
Dvě metody pro agenta Defender for IoT AzureIoTSecurity k provedení ověřování:
Režim ověřování v programu Defender-IoT-micro-agent
Agent se ověřuje pomocí identity agenta Defender-IoT-micro-agent nezávisle na identitě zařízení. Tento typ ověřování použijte, pokud chcete, aby agent zabezpečení používal vyhrazenou metodu ověřování prostřednictvím agenta Defender-IoT-micro-agent (pouze symetrický klíč).Režim ověřování zařízení
V této metodě se agent zabezpečení nejprve ověří pomocí identity zařízení. Po počátečním ověření provede agent Defender for IoT volání REST do služby IoT Hub pomocí rozhraní REST API s ověřovacími daty zařízení. Agent Defender for IoT pak požádá o metodu ověřování Defender-IoT-micro-agent a data ze služby IoT Hub. V posledním kroku provede agent Defender for IoT ověřování proti modulu Defender for IoT.
Tento typ ověřování použijte, pokud chcete, aby agent zabezpečení používal existující metodu ověřování zařízení (certifikát podepsaný svým držitelem nebo symetrický klíč).
Informace o konfiguraci najdete v parametrech instalace agenta zabezpečení.
Známá omezení metod ověřování
- Režim ověřování SecurityModule podporuje pouze ověřování symetrického klíče.
- Režim ověřování zařízení nepodporuje certifikát podepsaný certifikační autoritou.
Parametry instalace agenta zabezpečení
Při nasazování agenta zabezpečení je nutné zadat podrobnosti ověřování jako argumenty. Tyto argumenty jsou popsané v následující tabulce.
| Název parametru Linuxu | Název parametru Windows | Zkrácený parametr | Popis | Možnosti |
|---|---|---|---|---|
| authentication-identity | AuthenticationIdentity | aui | Identita ověřování | SecurityModule nebo zařízení |
| metoda ověřování | AuthenticationMethod | Aum | Metoda ověřování | SymmetricKey nebo SelfSignedCertificate |
| cesta k souboru | Cesta k souboru | f | Absolutní úplná cesta k souboru obsahujícímu certifikát nebo symetrický klíč | |
| název hostitele | Název hostitele | hn | Plně kvalifikovaný název domény služby IoT Hub | Příklad: ContosoIotHub.azure-devices.net |
| ID zařízení | DeviceId | Di | ID zařízení | Příklad: MyDevice1 |
| druh umístění certifikátu | CertificateLocationKind | Cl | Umístění úložiště certifikátů | LocalFile nebo Store |
Při použití skriptu agenta zabezpečení instalace se provede následující konfigurace automaticky. Pokud chcete ověřování agenta zabezpečení upravit ručně, upravte konfigurační soubor.
Změna metody ověřování po nasazení
Při nasazování agenta zabezpečení pomocí instalačního skriptu se automaticky vytvoří konfigurační soubor.
Chcete-li po nasazení změnit metody ověřování, je vyžadována ruční úprava konfiguračního souboru.
Agent zabezpečení založený na C#
Upravte Authentication.config s následujícími parametry:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
Agent zabezpečení na základě jazyka C
Upravte LocalConfiguration.json s následujícími parametry:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}