Condividi tramite

Come annullare o revocare un dispositivo da hub IoT di Azure servizio Device Provisioning

  • Articolo

L'adeguata gestione delle credenziali dei dispositivi è un fattore fondamentale per i sistemi di alto profilo quali, ad esempio, le soluzioni IoT. Una procedura consigliata per questi sistemi prevede l'uso di un piano strutturato e definito contenente le procedure di revoca dell'accesso per i dispositivi qualora le relative credenziali, siano esse token di firma di accesso condiviso o certificati X.509, risultino compromesse.

La registrazione nel servizio Device Provisioning consente il provisioning di un dispositivo. Eseguire il provisioning di un dispositivo vuol dire registrarlo nell'hub IoT, in modo che possa ricevere lo stato iniziale del dispositivo gemello e iniziare a segnalare i dati di telemetria.

Questo articolo descrive come revocare un dispositivo dall'istanza del servizio di provisioning, impedendone il provisioning o il nuovo provisioning in futuro. La disabilitazione di un singolo gruppo di registrazione o registrazione non rimuove una registrazione del dispositivo esistente da hub IoT. Per informazioni su come effettuare il deprovisioning di un dispositivo di cui è già stato effettuato il provisioning in un hub IoT, vedere Gestire il deprovisioning.

Bloccare un dispositivo tramite una registrazione singola

Per impedire il provisioning di un dispositivo tramite il servizio Device Provisioning, è possibile modificare lo stato di provisioning di una singola registrazione per impedire al dispositivo di effettuare il provisioning in quel momento e anche ulteriori provisioning successivamente. È possibile sfruttare questa funzionalità se il dispositivo si comporta al di fuori dei parametri normali o si presuppone che sia compromesso o come modo per testare il meccanismo di ripetizione dei tentativi di provisioning dei dispositivi.

Se il provisioning del dispositivo di cui si vuole impedire il provisioning tramite un gruppo di registrazioni, fare riferimento alla procedura per impedire dispositivi specifici da un gruppo di registrazione X.509.

Nota

Tenere presente i criteri di ripetizione dei dispositivi per i quali si sta per revocare l'accesso. Ad esempio, è possibile che un dispositivo con criteri di ripetizione infiniti cerchi di eseguire in modo continuativo la registrazione del servizio di provisioning, Tale situazione utilizza risorse del servizio, come le quote delle operazioni del servizio, e può influire sulle prestazioni.

  1. Accedere al portale di Azure e aprire l'istanza del servizio Device Provisioning.

  2. Selezionare Gestisci registrazioni e quindi selezionare la scheda Registrazioni singole.

  3. Selezionare la voce di registrazione del dispositivo da bloccare.

  4. Nella pagina dei dettagli della registrazione, deselezionare la casella Abilita questa registrazionenella sezione Stato provisioning e quindi selezionare Salva.

    Screenshot che mostra la disabilitazione di una registrazione singola nel portale.

Se un dispositivo IoT è alla fine del suo ciclo di vita e non deve più essere autorizzato a effettuare il provisioning nella soluzione IoT, la registrazione del dispositivo deve essere rimossa dal servizio Device Provisioning:

  1. Nel servizio di provisioning selezionare Gestisci registrazioni e quindi selezionare la scheda Registrazioni singole.

  2. Selezionare la casella di controllo accanto alla voce di registrazione relativa al dispositivo da bloccare.

  3. Selezionare Elimina nella parte superiore della finestra e quindi fare clic su per confermare che si vuole rimuovere la registrazione.

    Screenshot che mostra l'eliminazione di una registrazione singola nel portale.

Bloccare un certificato intermedio X.509 o un certificato CA radice tramite un gruppo di registrazioni

I certificati X.509 vengono in genere organizzati in una catena di certificati attendibili. Se un certificato in un punto qualsiasi di una catena risulta compromesso, la relativa attendibilità risulta danneggiata. Il certificato deve essere bloccato per impedire al servizio Device Provisioning di effettuare il provisioning dei dispositivi downstream in qualsiasi catena che lo contenga. Per altre informazioni sui certificati X.509 e sulle modalità di uso con il servizio di provisioning, vedere Certificati X.509.

Un gruppo di registrazioni è una voce relativa a dispositivi che condividono un meccanismo di attestazione comune basato su certificati X.509, firmati dalla stessa CA radice o intermedia. La voce relativa al gruppo di registrazioni è configurata con il certificato X.509 associato alla CA radice o intermedia, nonché con qualsiasi valore di configurazione, ad esempio lo stato del dispositivo gemello e la connessione all'hub IoT, condiviso dai dispositivi con tale certificato nella catena di certificati. Per bloccare il certificato, è possibile disabilitare o eliminare il relativo gruppo di registrazioni.

Per bloccare temporaneamente il certificato disabilitando il gruppo di registrazioni:

  1. Accedere al portale di Azure e aprire l'istanza del servizio Device Provisioning.

  2. Nel servizio di provisioning, fare clic su Gestisci registrazioni e quindi selezionare la scheda Gruppi di registrazioni.

  3. Selezionare il gruppo di registrazione tramite il certificato che si vuole bloccare.

  4. Nella pagina dei dettagli della registrazione, deselezionare la casella Abilita questa registrazionenella sezione Stato provisioning e quindi selezionare Salva.

    Disabilitare la voce del gruppo di registrazioni nel portale

Per bloccare definitivamente il certificato eliminando il gruppo di registrazioni:

  1. Nel servizio di provisioning, fare clic su Gestisci registrazioni e quindi selezionare la scheda Gruppi di registrazioni.

  2. Selezionare la casella di controllo accanto al gruppo di registrazione per il certificato che si vuole bloccare.

  3. Selezionare Elimina nella parte superiore della finestra e quindi fare clic su per confermare che si vuole rimuovere il gruppo di registrazioni.

    Eliminare una voce del gruppo di registrazioni gruppo nel portale

Dopo aver completato la procedura, la voce apparirà rimossa dall'elenco dell'elenco dei gruppi di registrazioni.

Nota

Se si elimina un gruppo di registrazioni per un certificato, i dispositivi contenenti tale certificato nella relativa catena di certificati potrebbero ancora essere in grado di eseguire la registrazione se a un livello superiore di tale catena esiste un gruppo di registrazioni abilitato per il certificato radice o un altro certificato intermedio.

Nota

L'eliminazione di un gruppo di registrazione non elimina i record di registrazione dei dispositivi nel gruppo. Il servizio Device Provisioning usa i record di registrazione per determinare se è stato raggiunto il numero massimo di registrazioni per l'istanza del servizio Device Provisioning. I record di registrazione orfani vengono ancora conteggiati in questa quota. Per il numero massimo corrente di registrazioni supportate per un'istanza del servizio Device Provisioning, vedere Quote e limiti.

È possibile eliminare i record di registrazione prima di eliminare il gruppo di registrazione stesso. È possibile visualizzare e gestire manualmente i record di registrazione per un gruppo di registrazione nella scheda Stato registrazione per il gruppo in portale di Azure. È possibile recuperare e gestire i record di registrazione a livello di codice usando le API REST device registration state o le API equivalenti negli SDK del servizio DPS oppure usando i comandi az iot dps enrollment-group registration dell'interfaccia della riga di comando di Azure.

Bloccare dispositivi specifici di un gruppo di registrazione X.509

Se è stato effettuato il provisioning di un dispositivo tramite un gruppo di registrazione di cui si vuole annullare la registrazione, è possibile farlo creando una registrazione singola disabilitata solo per tale dispositivo. Quando un dispositivo si connette ed esegue l'autenticazione con il servizio Device Provisioning, il servizio cerca innanzitutto una registrazione singola con l'ID di registrazione corrispondente. Solo se non viene trovata alcuna registrazione singola per il dispositivo, il servizio cerca i gruppi di registrazione.

Per bloccare un singolo dispositivo in un gruppo di registrazione, seguire questa procedura:

  1. Accedere al portale di Azure e aprire l'istanza del servizio Device Provisioning.

  2. Nel servizio di provisioning selezionare Gestisci registrazioni e quindi selezionare la scheda Registrazioni singole.

  3. Selezionare Aggiungi registrazione singola.

  4. Seguire il passaggio appropriato a seconda che il certificato del dispositivo (entità finale) sia disponibile o meno.

    • Se il certificato del dispositivo è disponibile, specificare i valori seguenti nella pagina Aggiungi registrazione :

      Campo Descrizione
      Meccanismo di attestazione Selezionare certificati client X.509
      File di certificato primario Caricare il certificato del dispositivo. Come certificato, usare il certificato dell'entità finale firmato installato nel dispositivo. Il dispositivo usa tale certificato per l'autenticazione.

    • Se il certificato del dispositivo non è disponibile, specificare i valori seguenti nella pagina Aggiungi registrazione :

      Campo Descrizione
      Meccanismo di attestazione Selezionare Chiave simmetrica
      Generare automaticamente chiavi simmetriche : assicurarsi che questa casella di controllo sia selezionata. Le chiavi non sono importanti per questo scenario.
      ID registrazione Se il provisioning del dispositivo è già stato effettuato, usare il relativo ID dispositivo hub IoT. È possibile trovarlo nei record di registrazione del gruppo di registrazione o nell'hub IoT a cui è stato effettuato il provisioning del dispositivo. Se il provisioning del dispositivo non è ancora stato eseguito, immettere il certificato del dispositivo CN. In questo secondo caso, non è necessario il certificato del dispositivo, ma sarà necessario conoscere il CN.

  5. Scorrere fino alla fine della pagina Aggiungi registrazione e deselezionare la casella di controllo Abilita questa registrazione.

  6. Selezionare Rivedi e crea e quindi Crea.

Quando la registrazione viene creata correttamente, nella scheda Registrazioni singole verrà mostrata la registrazione del dispositivo disabilitata.

Passaggi successivi

L'annullamento della registrazione è anche parte del più ampio processo di deprovisioning. Il deprovisioning di un dispositivo include sia l'annullamento della registrazione nel servizio di provisioning, sia l'annullamento della registrazione nell'hub IoT. Per informazioni sul processo completo, vedere Come effettuare il deprovisioning dei dispositivi di cui è stato eseguito il provisioning in precedenza