Partilhar via


Criar e gerenciar identidades de dispositivo

Crie uma identidade de dispositivo para que seu dispositivo se conecte ao Hub IoT do Azure. Este artigo apresenta as principais tarefas para gerenciar uma identidade de dispositivo, incluindo registrar o dispositivo, coletar suas informações de conexão e, em seguida, excluir ou desabilitar um dispositivo no final de seu ciclo de vida.

Pré-requisitos

  • Um hub IoT em sua assinatura do Azure. Se você ainda não tiver um hub, siga as etapas em Criar um hub IoT.

  • Dependendo da ferramenta usada, tenha acesso ao portal do Azure ou instale a CLI do Azure.

  • Se seu hub IoT for gerenciado com RBAC (controle de acesso baseado em função), você precisará de permissões de Leitura/Gravação/Exclusão de Dispositivo/Módulo para as etapas neste artigo. Essas permissões estão incluídas na função de Colaborador do Registro do Hub IoT.

Preparar certificados

Os dispositivos usam dois tipos diferentes de certificados para se conectar ao Hub IoT. Ao preparar seu dispositivo, verifique se você tem todos os certificados adequados criados e adicionados ao dispositivo antes de se conectar.

  • Certificados raiz públicos: todos os dispositivos precisam de uma cópia dos certificados raiz públicos que o Hub IoT, o IoT Central e o Serviço de Provisionamento de Dispositivos usam para autorizar conexões.
  • Certificados de autenticação: os certificados X.509 são o método recomendado para autenticar uma identidade de dispositivo.

Certificados raiz públicos necessários

Os dispositivos IoT do Azure usam TLS para verificar a autenticidade do hub IoT ou ponto de extremidade DPS ao qual estão se conectando. Cada dispositivo precisa de uma cópia do certificado raiz que o Hub IoT e o DPS usam. Recomendamos que todos os dispositivos incluam as seguintes CAs raiz em seu armazenamento de certificados confiáveis:

  • DigiCert Global G2 raiz CA
  • Raiz do Microsoft RSA CA 2017

Para obter mais informações sobre as práticas de certificado recomendadas do Hub IoT, consulte Suporte a TLS.

Certificados de autenticação

Se utilizar a autenticação de certificado X.509 para os seus dispositivos, certifique-se de que os certificados estão prontos antes de registar um dispositivo:

  • Para certificados assinados por CA, o tutorial Criar e carregar certificados para teste fornece uma boa introdução sobre como criar certificados assinados por CA e carregá-los no Hub IoT. Depois de concluir esse tutorial, você estará pronto para registrar um dispositivo com autenticação assinada pela CA X.509.

  • Para certificados autoassinados, você precisa de dois certificados de dispositivo (um certificado primário e um secundário) no dispositivo e impressões digitais para que ambos sejam carregados no Hub IoT. Uma maneira de recuperar a impressão digital de um certificado é com o seguinte comando OpenSSL:

    openssl x509 -in <certificate filename>.pem -text -fingerprint
    

Registar um dispositivo

Nesta seção, você cria uma identidade de dispositivo no registro de identidade em seu hub IoT. Um dispositivo não pode se conectar a um hub a menos que tenha uma identidade de dispositivo.

O registo de identidade do Hub IoT apenas armazena identidades de dispositivos para permitir um acesso seguro ao Hub IoT. Armazena os IDs do dispositivo e as chaves a utilizar como credenciais de segurança e um sinalizador ativado/desativado que pode utilizar para desativar o acesso de um dispositivo individual.

Ao registrar um dispositivo, você escolhe seu método de autenticação. O Hub IoT suporta três métodos para autenticação de dispositivos:

  • Chave - simétrica Esta opção é mais fácil para cenários de início rápido.

    Ao registrar um dispositivo, você pode fornecer chaves ou o Hub IoT gerará chaves para você. Tanto o dispositivo quanto o hub IoT têm uma cópia da chave simétrica que pode ser comparada quando o dispositivo se conecta.

  • X.509 auto-assinado

    Se o seu dispositivo tiver um certificado X.509 autoassinado, você precisará fornecer ao Hub IoT uma versão do certificado para autenticação. Ao registrar um dispositivo, você carrega uma impressão digital do certificado, que é um hash do certificado X.509 do dispositivo. Quando o dispositivo se conecta, ele apresenta seu certificado e o hub IoT pode validá-lo em relação ao hash que conhece. Para obter mais informações, consulte Autenticar identidades com certificados X.509.

  • X.509 CA assinada - Esta opção é recomendada para cenários de produção.

    Se o dispositivo tiver um certificado X.509 assinado por CA, carregue um certificado de autoridade de certificação (CA) raiz ou intermediária na cadeia de assinatura para o Hub IoT antes de registrar o dispositivo. O dispositivo tem um certificado X.509 com a CA X.509 verificada em sua cadeia de confiança de certificados. Quando o dispositivo se conecta, ele apresenta sua cadeia de certificados completa e o hub IoT pode validá-lo porque conhece a CA X.509. Vários dispositivos podem ser autenticados na mesma autoridade de certificação X.509 verificada. Para obter mais informações, consulte Autenticar identidades com certificados X.509.

Adicionar um dispositivo

Criar uma identidade de dispositivo no seu IoT Hub.

  1. No Portal do Azure, navegue para o seu hub IoT.

  2. Selecione Dispositivos de gerenciamento de>dispositivos.

  3. Selecione Adicionar dispositivo para adicionar um dispositivo ao seu hub IoT.

    Captura de ecrã que mostra a adição de um novo dispositivo no portal do Azure.

  4. Em Criar um dispositivo, forneça as informações para a nova identidade do dispositivo:

    Parâmetro Parâmetro dependente Value
    ID do Dispositivo Forneça um nome para o seu novo dispositivo.
    Tipo de autenticação Selecione Chave simétrica, X.509 autoassinada ou X.509 CA assinada.
    Gerar chaves automaticamente Para autenticação de chave simétrica, marque esta caixa para que o Hub IoT gere chaves para seu dispositivo. Ou desmarque esta caixa e forneça chaves primárias e secundárias para o seu dispositivo.
    Impressão digital primária e impressão digital secundária Para autenticação autoassinada X.509, forneça o hash de impressão digital dos certificados primário e secundário do dispositivo.

    Importante

    O ID do dispositivo poderá estar visível nos registos recolhidos para suporte técnico ao cliente e resolução de problemas, pelo que deve evitar incluir informações confidenciais quando lhe der um nome.

  5. Selecione Guardar.

Obter a cadeia de ligação do dispositivo

Para exemplos e cenários de teste, o método de conexão mais comum é usar a autenticação de chave simétrica e conectar-se a uma cadeia de conexão de dispositivo. Uma cadeia de conexão de dispositivo contém o nome do hub IoT, o nome do dispositivo e as informações de autenticação do dispositivo.

Para obter informações sobre outros métodos para conectar dispositivos, particularmente para autenticação X.509, consulte os SDKs de dispositivo do Hub IoT do Azure.

Use as etapas a seguir para recuperar uma cadeia de conexão de dispositivo.

O portal do Azure fornece cadeias de conexão de dispositivo somente para dispositivos que usam autenticação de chave simétrica.

  1. No Portal do Azure, navegue para o seu hub IoT.

  2. Selecione Dispositivos de gerenciamento de>dispositivos.

  3. Selecione seu dispositivo na lista no painel Dispositivos .

  4. Copie o valor de Cadeia de conexão primária.

    Captura de tela que mostra a cópia do valor da cadeia de conexão primária do portal do Azure.

    Por padrão, as chaves e cadeias de conexão são mascaradas porque são informações confidenciais. Se você clicar no ícone de olho, eles serão revelados. Não é necessário revelá-los para copiá-los com o botão de cópia.

Os dispositivos com autenticação de chave simétrica têm uma cadeia de conexão de dispositivo com o seguinte padrão:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

Dispositivos com autenticação X.509, autoassinada ou assinada por CA, geralmente não usam cadeias de conexão de dispositivo para autenticação. Quando o fazem, suas cadeias de conexão adotam o seguinte padrão:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Desativar ou excluir um dispositivo

Se você quiser manter um dispositivo no registro de identidade do seu hub IoT, mas quiser impedir que ele se conecte, altere seu status para desativado.

  1. No Portal do Azure, navegue para o seu hub IoT.

  2. Selecione Dispositivos de gerenciamento de>dispositivos.

  3. Selecione seu dispositivo na lista no painel Dispositivos .

  4. Na página de detalhes do dispositivo, você pode desativar ou excluir o registro do dispositivo.

    • Para impedir que um dispositivo se conecte, defina o parâmetro Habilitar conexão para o Hub IoT como Desabilitar.

      Captura de ecrã que mostra a desativação de um dispositivo no portal do Azure.

    • Para remover completamente um dispositivo do registro de identidade do hub IoT, selecione Excluir.

      Captura de ecrã que mostra a eliminação de um dispositivo no portal do Azure.

Outras ferramentas para gerenciar identidades de dispositivos

Você pode usar outras ferramentas ou interfaces para gerenciar o registro de identidade do Hub IoT, incluindo: