Authentifizierungsmethoden des Sicherheits-Agents

In diesem Artikel werden die verschiedenen Authentifizierungsmethoden erläutert, die Sie mit dem AzureIoTSecurity-Agent für die Authentifizierung beim IoT Hub verwenden können.

Für jedes Gerät, für das in der IoT Hub-Instanz ein Onboarding in Defender für IoT durchgeführt wurde, ist ein IoT-Micro-Agent von Defender erforderlich. Für die Authentifizierung des Geräts kann Defender für IoT eine der beiden Methoden verwenden. Wählen Sie die Methode aus, die sich am besten für Ihre vorhandene IoT-Lösung eignet.

• Option „SecurityModule“
• Geräteoption

Authentifizierungsmethoden

Für den AzureIoTSecurity-Agent von Azure Defender für IoT gibt es die beiden folgenden Authentifizierungsmethoden:

• Authentifizierungsmodus IoT-Micro-Agent von Defender
  Der Agent wird unabhängig von der Geräteidentität mithilfe der Identität „IoT-Micro-Agent von Defender“ authentifiziert. Diese Authentifizierung bietet sich an, wenn der Sicherheits-Agent eine dedizierte Authentifizierungsmethode über den IoT-Micro-Agent von Defender (nur symmetrischer Schlüssel) verwenden soll.

• Authentifizierungsmodus Gerät
  Bei dieser Methode wird der Sicherheits-Agent zunächst mit der Geräteidentität authentifiziert. Nach der ersten Authentifizierung führt der Defender für IoT-Agent den Aufruf REST am IoT Hub durch und verwendet dabei die REST-API mit den Authentifizierungsdaten des Geräts. Der Defender für IoT-Agent fordert dann die Authentifizierungsmethode „IoT-Micro-Agent von Defender“ und die zugehörigen Daten von der IoT Hub-Instanz an. Im letzten Schritt nimmt der Defender für IoT-Agent eine Authentifizierung beim Defender für IoT-Modul vor.

Verwenden Sie diesen Authentifizierungstyp, wenn der Sicherheits-Agent eine vorhandene Geräteauthentifizierungsmethode (selbstsigniertes Zertifikat oder symmetrischer Schlüssel) erneut verwenden soll.

Informationen zur Konfiguration finden Sie unter Security agent installation parameters (Installationsparameter für den Sicherheits-Agent).

Bekannte Einschränkungen von Authentifizierungsmethoden

• Der Authentifizierungsmodus SecurityModule unterstützt nur die Authentifizierung mit symmetrischen Schlüsseln.
• Der Authentifizierungsmodus Gerät unterstützt kein von der Zertifizierungsstelle signiertes Zertifikat.

Installationsparameter für den Sicherheits-Agent

Beim Bereitstellen eines Sicherheits-Agents müssen Authentifizierungsdetails als Argumente angegeben werden. Diese Argumente werden in der folgenden Tabelle gezeigt.

Linux-Parametername	Windows-Parametername	Kurzform für Parameter	BESCHREIBUNG	Tastatur
authentication-identity	AuthenticationIdentity	aui	Authentifizierungsidentität	SecurityModule oder Device
authentication-method	AuthenticationMethod	aum	Authentifizierungsmethode	SymmetricKey oder SelfSignedCertificate
file-path	FilePath	f	Vollständiger Pfad der Datei, die das Zertifikat oder den symmetrischen Schlüssel enthält
host-name	HostName	hn	Vollqualifizierter Domänenname (FQDN) des IoT Hubs	Beispiel: ContosoIotHub.azure-devices.net
device-id	deviceId	di	Geräte-ID	Beispiel: MyDevice1
certificate-location-kind	CertificateLocationKind	cl	Speicherort des Zertifikats	LocalFile oder Store

Wenn Sie das Installationsskript des Sicherheits-Agents verwenden, wird die folgende Konfiguration automatisch ausgeführt. Um die Authentifizierung des Sicherheits-Agents manuell zu bearbeiten, bearbeiten Sie die Konfigurationsdatei.

Ändern der Authentifizierungsmethode nach der Bereitstellung

Wenn Sie einen Sicherheits-Agent mit einem Installationsskript bereitstellen, wird automatisch eine Konfigurationsdatei erstellt.

Um Authentifizierungsmethoden nach der Bereitstellung zu ändern, muss die Konfigurationsdatei manuell bearbeitet werden.

C#-basierter Sicherheits-Agent

Bearbeiten Sie Authentication.config mit den folgenden Parametern:

<Authentication>
  <add key="deviceId" value=""/>
  <add key="gatewayHostname" value=""/>
  <add key="filePath" value=""/>
  <add key="type" value=""/>
  <add key="identity" value=""/>
  <add key="certificateLocationKind" value="" />
</Authentication>

C-basierter Sicherheits-Agent

Bearbeiten Sie LocalConfiguration.json mit den folgenden Parametern:

"Authentication" : {
    "Identity" : "",
    "AuthenticationMethod" : "",
    "FilePath" : "",
    "DeviceId" : "",
    "HostName" : ""
}

Weitere Informationen

• Security agents overview (Sicherheits-Agents (Übersicht))
• Deploy security agent (Bereitstellen eines Sicherheits-Agents)
• Access raw security data (Zugreifen auf Sicherheitsrohdaten)