安全性代理程式驗證方法
本文說明您可以搭配 AzureIoTSecurity 代理程式使用以利用 IoT 中樞進行驗證的不同驗證方法。
在 IoT 中樞中,每個已上線至適用於 IoT 的 Defender 裝置,都必須有 Defender-IoT-micro-agent。 若要驗證裝置,適用於 IoT 的 Defender 可以使用下列兩種方法之一。 請選擇最適合您現有 IoT 解決方案的方法。
- SecurityModule 選項
- 裝置選項
驗證方法
適用於 IoT 的 Defender 的 AzureIoTSecurity 代理程式執行驗證的方法有兩種:
Defender-IoT-micro-agent 驗證模式
代理程式使用獨立於裝置身分識別之外的 Defender-IoT-micro-agent 身分識別進行驗證。 如果您想要讓安全性代理程式透過 Defender-IoT-micro-agent (僅對稱金鑰) 使用專屬驗證方法,請使用此驗證類型。裝置驗證模式
在此方法中,安全性代理程式會先使用裝置身分識別進行驗證。 初始驗證之後,適用於 IoT 的 Defender 代理程式會使用 REST API 搭配裝置的驗證資料,對 IoT 中樞執行 REST 呼叫。 適用於 IoT 的 Defender 代理程式接著會向 IoT 中樞要求 Defender-IoT-micro-agent 驗證方法和資料。 在最後一個步驟中,適用於 IoT 的 Defender 代理程式會依據適用於 IoT 的 Defender 模組執行驗證。
如果您想要讓安全性代理程式重複使用現有裝置驗證方法 (自我簽署憑證或對稱金鑰),請使用此驗證類型。
請參閱安全性代理程式的安裝參數以了解如何設定。
驗證方法的已知限制
- SecurityModule 驗證模式僅支援對稱金鑰驗證。
- 裝置驗證模式不支援 CA 簽署的憑證。
安全性代理程式的安裝參數
部署安全性代理程式時,必須以引數的形式提供驗證詳細資料。 下表記載這些引數。
| Linux 參數名稱 | Windows 參數名稱 | 速記參數 | 描述 | 選項。 |
|---|---|---|---|---|
| authentication-identity | AuthenticationIdentity | aui | 驗證身分識別 | SecurityModule 或裝置 |
| 驗證方法 | AuthenticationMethod | aum | 驗證方法 | SymmetricKey 或 SelfSignedCertificate |
| file-path | FilePath | f | 包含憑證或對稱金鑰的檔案絕對完整路徑 | |
| host-name | HostName | hn | IoT 中樞的 FQDN | 範例:ContosoIotHub.azure-devices.net |
| device-id | DeviceId | di | 裝置識別碼 | 範例:MyDevice1 |
| certificate-location-kind | CertificateLocationKind | cl | 憑證的儲存位置 | LocalFile 或 Store |
使用安裝安全性代理程式指令碼時,會自動執行下列設定。 若要手動編輯安全性代理程式的驗證,請編輯設定檔。
部署後變更驗證方法
使用安裝指令碼部署安全性代理程式時,會自動建立設定檔。
若要在部署後變更驗證方法,必須手動編輯設定檔。
以 C# 為基礎的安全性代理程式
編輯 Authentication.config 搭配下列參數:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
以 C 為基礎的安全性代理程式
編輯 LocalConfiguration.json 搭配下列參數:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}