Créer et gérer des identités d’appareil
Créer une identité d’appareil pour que votre appareil se connecte à Azure IoT Hub. Cet article présente les principales tâches de gestion d’une identité d’appareil, notamment l’inscription de l’appareil, la collecte de ses informations de connexion, puis la suppression ou la désactivation d’un appareil à la fin de son cycle de vie.
Prérequis
Un hub IoT dans votre abonnement Azure. Si vous n’avez pas encore de hub, vous pouvez suivre les étapes décrites dans Créer un hub IoT.
Selon l’outil que vous utilisez, accédez au Portail Azure ou installez l’interface de ligne de commande Azure.
Si votre hub IoT est managé avec contrôle d’accès en fonction du rôle (RBAC), vous avez besoin d’autorisations Lire/Écrire/Supprimer un appareil/module pour suivre les étapes décrites dans cet article. Ces autorisations sont incluses dans le rôle Contributeur du registre IoT Hub.
Préparer les certificats
Les appareils utilisent deux types de certificats différents pour se connecter à IoT Hub. Lors de la préparation de votre appareil, vérifiez que vous disposez de tous les certificats appropriés créés et ajoutés à l’appareil avant de vous connecter.
- Certificats racines publics : tous les appareils ont besoin d’une copie des certificats racines publics utilisés par IoT Hub, IoT Central et le service Device Provisioning (DPS) pour autoriser les connexions.
- Certificats d’authentification : les certificats X.509 sont la méthode recommandée pour l’authentification d’une identité d’appareil.
Certificats racines publics requis
Les appareils Azure IoT utilisent TLS pour vérifier l’authenticité du point de terminaison IoT Hub ou DPS auquel ils se connectent. Chaque appareil a besoin d’une copie du certificat racine utilisé par IoT Hub et DPS. Nous recommandons que tous les appareils incluent les autorités de certification racines suivantes dans leur magasin de certificats approuvé :
- Autorité de certification racine DigiCert Global G2
- Autorité de certification racine Microsoft RSA 2017
Pour plus d’informations sur les pratiques de certification recommandées par IoT Hub, consultez Prise en charge de TLS.
Certificats d’authentification
Si vous utilisez l’authentification par certificat X.509 pour vos appareils, vérifiez que vos certificats sont prêts avant d’inscrire un appareil :
Pour les certificats signés par une autorité de certification, le tutoriel Créer et charger des certificats à des fins de test fournit une bonne introduction sur la manière de créer des certificats signés par une autorité de certification et des les charger dans IoT Hub. Une fois ce tutoriel terminé, vous êtes prêt à inscrire un appareil avec l’authentification par X.509 signé par une autorité de certification.
Pour les certificats autosignés, vous avez besoin de deux certificats d’appareil (un certificat principal et un certificat secondaire) sur l’appareil et les empreintes pour que les deux chargent sur IoT Hub. L’une des méthodes permettant de récupérer l’empreinte d’un certificat consiste à utiliser la commande OpenSSL suivante :
openssl x509 -in <certificate filename>.pem -text -fingerprint
Inscrire un appareil
Dans cette section, vous créez une identité d’appareil dans le registre des identités de votre hub IoT. Un appareil ne peut pas se connecter à un hub sauf s’il a une identité d’appareil.
Le registre des identités IoT Hub stocke uniquement les identités des appareils pour permettre un accès sécurisé à IoT Hub. Il stocke les ID des appareils et les clés à utiliser comme informations d’identification de sécurité et un indicateur activé/désactivé que vous pouvez utiliser pour désactiver l’accès pour un appareil individuel.
Lorsque vous inscrivez un appareil, vous choisissez sa méthode d’authentification. IoT Hub prend en charge trois méthodes pour l’authentification des appareils :
Clé symétrique - Cette option est la plus simple pour les scénarios de démarrage rapide.
Lorsque vous inscrivez un appareil, vous pouvez fournir des clés, ou IoT Hub les générera pour vous. L’appareil et le hub IoT ont tous deux une copie de la clé symétrique qui peut être comparée lorsque l’appareil se connecte.
Certificat X.509 autosigné
Si votre appareil dispose d’un certificat X.509 autosigné, vous devez donner à IoT Hub une version du certificat pour l’authentification. Lorsque vous inscrivez un appareil, vous chargez une empreinte du certificat, qui est un hachage du certificat X.509 de l’appareil. Lorsque l’appareil se connecte, il présente son certificat et le hub IoT peut le valider par rapport au hachage qu’il connaît. Pour plus d’informations, consultez Authentifier les identités avec les certificats X.509.
Certificat X.509 signé par une autorité de certification (CA) - Cette option est recommandée pour les scénarios de production.
Si votre appareil a un certificat X.509 signé par une autorité de certification, vous chargez un certificat d’autorité de certification (CA) racine ou intermédiaire dans la chaîne de signature vers IoT Hub avant d’inscrire l’appareil. L’appareil a un certificat X.509 avec le X.509 CA vérifié dans sa chaîne d’approbation de certificats. Lorsque l’appareil se connecte, il présente sa chaîne de certificats complète et le hub IoT peut le valider, car il connaît le X.509 CA. Plusieurs appareils peuvent s’authentifier avec le même X.509 vérifié. Pour plus d’informations, consultez Authentifier les identités avec les certificats X.509.
Ajout d’un appareil
Créer une identité de l’appareil dans votre hub IoT.
Accédez à votre IoT Hub dans le portail Azure.
Sélectionnez Gestion des appareils>Appareils.
Sélectionnez Ajouter un appareil pour ajouter un appareil dans votre hub IoT.
Dans Créer un appareil, fournissez les informations relatives à l’identité de votre nouvel appareil :
Paramètre Paramètre dépendant Valeur ID de périphérique Spécifiez un nom pour votre nouvel appareil. Type d’authentification Sélectionnez Clé symétrique, X.509 autosignéou X.509 signé par une autorité de certification. Générer automatiquement des clés Pour l’authentification par Clé symétrique, cochez cette case pour que IoT Hub génère des clés pour votre appareil. Ou décochez cette case, et fournissez des clés primaires et secondaires pour votre appareil. Empreinte principale et Empreinte secondaire Pour l’authentification par X.509 autosigné, fournissez le hachage d’empreinte depuis les certificats principaux et secondaires de l’appareil. Important
L’ID d’appareil étant potentiellement visible dans les journaux d’activité collectés à des fins de support technique et de dépannage, assurez-vous de ne pas utiliser d’informations sensibles en attribuant un nom à votre appareil.
Cliquez sur Enregistrer.
Récupérer la chaîne de connexion de l’appareil
Pour les exemples et les scénarios de test, la méthode de connexion la plus courante consiste à utiliser l’authentification par clé symétrique et à se connecter avec une chaîne de connexion d’appareil. Une chaîne de connexion d’appareil contient le nom du hub IoT, le nom de l’appareil et les informations d’authentification de l’appareil.
Pour plus d’informations sur les autres méthodes de connexion d’appareils, en particulier pour l’authentification par X.509, reportez-vous aux SDK d’appareil Azure IoT Hub.
Procédez comme suit pour récupérer une chaîne de connexion d’appareil.
Le Portail Azure ne fournit des chaînes de connexion d’appareil que pour les appareils qui utilisent l’authentification par clé symétrique.
Accédez à votre IoT Hub dans le portail Azure.
Sélectionnez Gestion des appareils>Appareils.
Sélectionnez votre appareil dans la liste dans le volet Appareils.
Copiez la valeur de la Chaîne de connexion principale.
Par défaut, les clés et les chaînes de connexion sont masquées, car il s’agit d’informations sensibles. Cliquez sur l’icône en forme d’œil pour les afficher. Il n’est pas nécessaire de les afficher pour les copier à l’aide du bouton Copier.
Les appareils avec authentification par clé symétrique ont une chaîne de connexion d’appareil avec le modèle suivant :
HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>
Les appareils avec authentification par X.509, autosigné ou signé par une autorité de certification, n’utilisent généralement pas de chaînes de connexion d’appareil pour l’authentification. Quand ils le font, leurs chaînes de connexion prennent le modèle suivant :
HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true
Désactiver ou supprimer un appareil
Si vous voulez conserver un appareil dans le registre des identités de votre hub IoT, mais que vous souhaitez l’empêcher de se connecter, vous pouvez remplacer son état par Désactivé.
Accédez à votre IoT Hub dans le portail Azure.
Sélectionnez Gestion des appareils>Appareils.
Sélectionnez votre appareil dans la liste dans le volet Appareils.
Dans la page des détails de l’appareil, vous pouvez désactiver ou supprimer l’inscription de l’appareil.
Pour empêcher un appareil de se connecter, définissez le paramètre Activer la connexion à IoT Hub sur Désactiver.
Pour supprimer complètement un appareil du registre d’identités de votre hub IoT, sélectionnez Supprimer.
Autres outils de gestion des identités d’appareil
Vous pouvez utiliser d’autres outils ou interfaces pour gérer le registre des identités IoT Hub, notamment :
Commandes PowerShell : reportez-vous au jeu de commandes Az.IotHub pour savoir comment gérer les identités d’appareil.
Visual Studio Code : l’extension Azure IoT Hub pour Visual Studio Code inclut des fonctionnalités de registre d’identités.
API REST : reportez-vous aux API du service IoT Hub pour découvrir comment gérer les identités d’appareil.