Metody uwierzytelniania agenta zabezpieczeń
W tym artykule wyjaśniono różne metody uwierzytelniania, których można używać z agentem AzureIoTSecurity do uwierzytelniania w usłudze IoT Hub.
Dla każdego urządzenia dołączonego do usługi Defender dla IoT w usłudze IoT Hub wymagana jest usługa Defender-IoT-micro-agent. Aby uwierzytelnić urządzenie, usługa Defender dla IoT może użyć jednej z dwóch metod. Wybierz metodę, która działa najlepiej dla istniejącego rozwiązania IoT.
- Opcja SecurityModule
- Opcja urządzenia
Metody uwierzytelniania
Dwie metody agenta usługi Defender dla IoT AzureIoTSecurity do przeprowadzenia uwierzytelniania:
Tryb uwierzytelniania mikro agenta usługi Defender-IoT
Agent jest uwierzytelniany przy użyciu tożsamości usługi Defender-IoT-micro-agent niezależnie od tożsamości urządzenia. Użyj tego typu uwierzytelniania, jeśli chcesz, aby agent zabezpieczeń używał dedykowanej metody uwierzytelniania za pośrednictwem usługi Defender-IoT-micro-agent (tylko klucz symetryczny).Tryb uwierzytelniania urządzenia
W tej metodzie agent zabezpieczeń najpierw uwierzytelnia się przy użyciu tożsamości urządzenia. Po początkowym uwierzytelnieniu agent usługi Defender for IoT wykonuje wywołanie REST do usługi IoT Hub przy użyciu interfejsu API REST z danymi uwierzytelniania urządzenia. Agent usługi Defender dla IoT żąda następnie metody uwierzytelniania usługi Defender-IoT-micro-agent oraz danych z usługi IoT Hub. W ostatnim kroku agent usługi Defender dla IoT wykonuje uwierzytelnianie w module defender for IoT.
Użyj tego typu uwierzytelniania, jeśli chcesz, aby agent zabezpieczeń używał istniejącej metody uwierzytelniania urządzenia (certyfikatu z podpisem własnym lub klucza symetrycznego).
Zobacz Parametry instalacji agenta zabezpieczeń, aby dowiedzieć się, jak skonfigurować.
Znane ograniczenia metod uwierzytelniania
- Tryb uwierzytelniania SecurityModule obsługuje tylko uwierzytelnianie klucza symetrycznego.
- Certyfikat podpisany przez urząd certyfikacji nie jest obsługiwany w trybie uwierzytelniania urządzenia .
Parametry instalacji agenta zabezpieczeń
Podczas wdrażania agenta zabezpieczeń należy podać szczegóły uwierzytelniania jako argumenty. Te argumenty są udokumentowane w poniższej tabeli.
| Nazwa parametru systemu Linux | Nazwa parametru systemu Windows | Parametr skrócony | opis | Opcje |
|---|---|---|---|---|
| tożsamość uwierzytelniania | Identyfikator uwierzytelniania | Aui | Tożsamość uwierzytelniania | Tryb zabezpieczeń lub urządzenie |
| metoda uwierzytelniania | AuthenticationMethod | Aum | Metoda uwierzytelniania | SymmetricKey lub SelfSignedCertificate |
| ścieżka pliku | FilePath | f | Bezwzględna pełna ścieżka pliku zawierającego certyfikat lub klucz symetryczny | |
| nazwa hosta | HostName | hn | Nazwa FQDN usługi IoT Hub | Przykład: ContosoIotHub.azure-devices.net |
| device-id | DeviceId | Di | Identyfikator urządzenia | Przykład: MyDevice1 |
| rodzaj certyfikatu | CertificateLocationKind | Cl | Lokalizacja przechowywania certyfikatów | Plik lokalny lub magazyn |
W przypadku korzystania ze skryptu zainstaluj agenta zabezpieczeń następująca konfiguracja jest wykonywana automatycznie. Aby ręcznie edytować uwierzytelnianie agenta zabezpieczeń, edytuj plik konfiguracji.
Zmiana metody uwierzytelniania po wdrożeniu
Podczas wdrażania agenta zabezpieczeń za pomocą skryptu instalacji plik konfiguracji jest tworzony automatycznie.
Aby zmienić metody uwierzytelniania po wdrożeniu, wymagana jest ręczna edycja pliku konfiguracji.
Agent zabezpieczeń oparty na języku C#
Edytuj plik Authentication.config przy użyciu następujących parametrów:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
Agent zabezpieczeń oparty na języku C
Edytuj LocalConfiguration.json przy użyciu następujących parametrów:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}