Verificatiemethoden voor beveiligingsagent
In dit artikel worden de verschillende verificatiemethoden uitgelegd die u kunt gebruiken met de AzureIoTSecurity-agent om te verifiëren met de IoT Hub.
Voor elk apparaat dat is toegevoegd aan Defender for IoT in de IoT Hub, is een Defender-IoT-micro-agent vereist. Defender for IoT kan een van de twee methoden gebruiken om het apparaat te verifiëren. Kies de methode die het beste werkt voor uw bestaande IoT-oplossing.
- Optie SecurityModule
- Apparaatoptie
Verificatiemethoden
De twee methoden voor de Defender for IoT AzureIoTSecurity-agent om verificatie uit te voeren:
Verificatiemodus defender-IoT-micro-agent
De agent wordt geverifieerd met behulp van de Defender-IoT-micro-agent-identiteit onafhankelijk van de apparaat-id. Gebruik dit verificatietype als u wilt dat de beveiligingsagent een toegewezen verificatiemethode gebruikt via Defender-IoT-micro-agent (alleen symmetrische sleutel).Apparaatverificatiemodus
In deze methode wordt de beveiligingsagent eerst geverifieerd met de apparaat-id. Na de eerste verificatie voert de Defender for IoT-agent een REST-aanroep uit naar de IoT Hub met behulp van de REST API met de verificatiegegevens van het apparaat. De Defender for IoT-agent vraagt vervolgens de verificatiemethode Defender-IoT-microagent en gegevens van de IoT Hub aan. In de laatste stap voert de Defender for IoT-agent een verificatie uit op basis van de Defender for IoT-module.
Gebruik dit verificatietype als u wilt dat de beveiligingsagent een bestaande verificatiemethode voor apparaten opnieuw gebruikt (zelfondertekend certificaat of symmetrische sleutel).
Zie De installatieparameters van de beveiligingsagent voor meer informatie over het configureren.
Bekende beperkingen voor verificatiemethoden
- De securityModule-verificatiemodus biedt alleen ondersteuning voor symmetrische sleutelverificatie.
- Door CA ondertekend certificaat wordt niet ondersteund door de apparaatverificatiemodus .
Installatieparameters van beveiligingsagent
Bij het implementeren van een beveiligingsagent moeten verificatiegegevens worden opgegeven als argumenten. Deze argumenten worden beschreven in de volgende tabel.
| Linux-parameternaam | Windows-parameternaam | Verkorte parameter | Beschrijving | Opties |
|---|---|---|---|---|
| verificatie-identiteit | AuthenticationIdentity | aui | Verificatie-identiteit | SecurityModule of Device |
| verificatiemethode | AuthenticationMethod | Aum | Verificatiemethode | SymmetricKey of SelfSignedCertificate |
| bestandspad | FilePath | f | Absoluut volledig pad voor het bestand met het certificaat of de symmetrische sleutel | |
| hostnaam | HostName | hn | FQDN van de IoT Hub | Voorbeeld: ContosoIotHub.azure-devices.net |
| apparaat-id | DeviceId | Di | Apparaat-ID | Voorbeeld: MyDevice1 |
| certificate-location-kind | CertificateLocationKind | Cl | Locatie van certificaatopslag | LocalFile of Store |
Wanneer u het script voor de installatiebeveiligingsagent gebruikt, wordt de volgende configuratie automatisch uitgevoerd. Als u de verificatie van de beveiligingsagent handmatig wilt bewerken, bewerkt u het configuratiebestand.
Verificatiemethode wijzigen na implementatie
Bij het implementeren van een beveiligingsagent met een installatiescript wordt automatisch een configuratiebestand gemaakt.
Als u verificatiemethoden na de implementatie wilt wijzigen, is handmatig bewerken van het configuratiebestand vereist.
Beveiligingsagent op basis van C#
Bewerk Authentication.config met de volgende parameters:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
Beveiligingsagent op basis van C
Bewerk LocalConfiguration.json met de volgende parameters:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}