Autentiseringsmetoder för säkerhetsagent
Den här artikeln beskriver de olika autentiseringsmetoder som du kan använda med AzureIoTSecurity-agenten för att autentisera med IoT Hub.
För varje enhet som registreras i Defender för IoT i IoT Hub krävs en Defender-IoT-micro-agent. För att autentisera enheten kan Defender för IoT använda någon av två metoder. Välj den metod som passar bäst för din befintliga IoT-lösning.
- SecurityModule-alternativ
- Enhetsalternativ
Autentiseringsmetoder
De två metoderna för Defender for IoT AzureIoTSecurity-agenten för att utföra autentisering:
Defender-IoT-micro-agent-autentiseringsläge
Agenten autentiseras med hjälp av Defender-IoT-micro-agent-identiteten oberoende av enhetsidentiteten. Använd den här autentiseringstypen om du vill att säkerhetsagenten ska använda en dedikerad autentiseringsmetod via Defender-IoT-micro-agent (endast symmetrisk nyckel).Läge för enhetsautentisering
I den här metoden autentiserar säkerhetsagenten först med enhetsidentiteten. Efter den första autentiseringen utför Defender for IoT-agenten ett REST-anrop till IoT Hub med hjälp av REST-API:et med enhetens autentiseringsdata. Defender for IoT-agenten begär sedan autentiseringsmetoden Defender-IoT-micro-agent och data från IoT Hub. I det sista steget utför Defender for IoT-agenten en autentisering mot Defender for IoT-modulen.
Använd den här autentiseringstypen om du vill att säkerhetsagenten ska återanvända en befintlig enhetsautentiseringsmetod (självsignerat certifikat eller symmetrisk nyckel).
Mer information om hur du konfigurerar finns i Installationsparametrar för säkerhetsagenten.
Kända begränsningar för autentiseringsmetoder
- SecurityModule-autentiseringsläget stöder endast symmetrisk nyckelautentisering.
- CA-signerat certifikat stöds inte i enhetsautentiseringsläge.
Installationsparametrar för säkerhetsagent
När du distribuerar en säkerhetsagent måste autentiseringsinformation anges som argument. Dessa argument dokumenteras i följande tabell.
| Namn på Linux-parameter | Windows-parameternamn | Korthandsparameter | beskrivning | Alternativ |
|---|---|---|---|---|
| authentication-identity | AuthenticationIdentity | Aui | Autentiseringsidentitet | SecurityModule eller enhet |
| authentication-method | AuthenticationMethod | Aum | Autentiseringsmetod | SymmetricKey eller SelfSignedCertificate |
| filsökväg | FilePath | f | Absolut fullständig sökväg för filen som innehåller certifikatet eller den symmetriska nyckeln | |
| värdnamn | HostName | hn | FQDN för IoT Hub | Exempel: ContosoIotHub.azure-devices.net |
| device-id | DeviceId | tve | Enhets-ID | Exempel: MyDevice1 |
| certificate-location-kind | CertificateLocationKind | cl | Plats för certifikatlagring | LocalFile eller Store |
När du använder skriptet för installationssäkerhetsagenten utförs följande konfiguration automatiskt. Redigera konfigurationsfilen om du vill redigera autentiseringen för säkerhetsagenten manuellt.
Ändra autentiseringsmetod efter distribution
När du distribuerar en säkerhetsagent med ett installationsskript skapas automatiskt en konfigurationsfil.
Om du vill ändra autentiseringsmetoder efter distributionen krävs manuell redigering av konfigurationsfilen.
C#-baserad säkerhetsagent
Redigera Authentication.config med följande parametrar:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
C-baserad säkerhetsagent
Redigera LocalConfiguration.json med följande parametrar:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}