Metody ověřování agenta zabezpečení
Tento článek vysvětluje různé metody ověřování, které můžete použít s agentem AzureIoTSecurity k ověření pomocí IoT Hub.
Pro každé zařízení, které je v IoT Hub nasazené do Defenderu for IoT, se vyžaduje Defender-IoT-micro-agent. K ověření zařízení může Defender for IoT použít jednu ze dvou metod. Zvolte metodu, která nejlépe vyhovuje vašemu stávajícímu řešení IoT.
- Možnost SecurityModule
- Možnost zařízení
Metody ověřování
Agent Defender for IoT AzureIoTSecurity provede ověřování dvěma způsoby:
Režim ověřování defender-IoT-micro-agent
Agent se ověřuje pomocí identity defender-IoT-micro-agent nezávisle na identitě zařízení. Tento typ ověřování použijte, pokud chcete, aby agent zabezpečení používal vyhrazenou metodu ověřování prostřednictvím defender-IoT-micro-agent (pouze symetrický klíč).Režim ověřování zařízení
V této metodě se agent zabezpečení nejprve ověří pomocí identity zařízení. Po počátečním ověření agent Defenderu pro IoT provede volání REST do IoT Hub pomocí rozhraní REST API s ověřovacími daty zařízení. Agent Defenderu for IoT pak požádá o metodu ověřování Defender-IoT-micro-agent a data z IoT Hub. V posledním kroku agent Defenderu pro IoT provede ověřování v modulu Defender for IoT.
Tento typ ověřování použijte, pokud chcete, aby agent zabezpečení opakovaně používal existující metodu ověřování zařízení (certifikát podepsaný svým držitelem nebo symetrický klíč).
Informace o konfiguraci najdete v tématu Parametry instalace agenta zabezpečení .
Známá omezení metod ověřování
- Režim ověřování SecurityModule podporuje pouze ověřování symetrickým klíčem.
- CA-Signed certifikát není podporován režimem ověřování zařízení .
Parametry instalace agenta zabezpečení
Při nasazování agenta zabezpečení musí být jako argumenty uvedeny podrobnosti o ověřování. Tyto argumenty jsou zdokumentovány v následující tabulce.
Název parametru linuxu | Název parametru Windows | Zkrácený parametr | Popis | Možnosti |
---|---|---|---|---|
authentication-identity | AuthenticationIdentity | Aui | Identita ověřování | SecurityModule nebo zařízení |
authentication-method | AuthenticationMethod | Aum | Metoda ověřování | SymmetricKey nebo SelfSignedCertificate |
cesta k souboru | Filepath | f | Absolutní úplná cesta k souboru obsahujícímu certifikát nebo symetrický klíč | |
název hostitele | Název hostitele | Hn | Plně kvalifikovaný název domény IoT Hub | Příklad: ContosoIotHub.azure-devices.net |
device-ID | DeviceId | Di | ID zařízení | Příklad: MyDevice1 |
certificate-location-kind | CertificateLocationKind | Cl | Umístění úložiště certifikátů | LocalFile nebo Store |
Při použití skriptu instalace agenta zabezpečení se automaticky provede následující konfigurace. Pokud chcete ověřování agenta zabezpečení upravit ručně, upravte konfigurační soubor.
Změna metody ověřování po nasazení
Při nasazení agenta zabezpečení pomocí instalačního skriptu se automaticky vytvoří konfigurační soubor.
Pokud chcete změnit metody ověřování po nasazení, vyžaduje se ruční úprava konfiguračního souboru.
Agent zabezpečení založený na jazyce C#
Upravte Authentication.config pomocí následujících parametrů:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
Agent zabezpečení založený na jazyce C
Upravte soubor LocalConfiguration.json s následujícími parametry:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}
Viz také
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro