Creación y administración de identidades de dispositivo

Cree una identidad de dispositivo para que el dispositivo se conecte a Azure IoT Hub. En este artículo se presentan las tareas clave para administrar una identidad de dispositivo, incluido el registro del dispositivo, la recopilación de su información de conexión y, a continuación, la eliminación o deshabilitación de un dispositivo al final de su ciclo de vida.

Requisitos previos

• Una instancia de IoT Hub en la suscripción de Azure. Si aún no tiene un centro, puede seguir los pasos descritos en Creación de un centro de IoT.

• Dependiendo de la herramienta que use, deberá tener acceso al Azure Portal o instalar la CLI de Azure.

• Si el centro de IoT se administra con el control de acceso basado en rol (RBAC), necesita permisos de lectura, escritura y eliminación de dispositivos o módulos para los pasos descritos en este artículo. Estos permisos se incluyen en el rol Colaborador del Registro de IoT Hub.

Registrar un dispositivo

En esta sección, creará una identidad de dispositivo en el registro de identidades del centro de IoT. Un dispositivo no se puede conectar a un centro a menos que tenga una identidad de dispositivo.

El registro de identidades de IoT Hub solo almacena identidades de dispositivos para permitir el acceso seguro a IoT Hub. Almacena las claves y los identificadores de dispositivo para usarlos como credenciales de seguridad, y un indicador de habilitado o deshabilitado que permite deshabilitar el acceso a un dispositivo individual.

Al registrar un dispositivo, elija su método de autenticación. IoT Hub admite tres métodos para la autenticación de dispositivos:

• Clave simétrica - Esta opción es más fácil para escenarios de inicio rápido.

  Al registrar un dispositivo, puede proporcionar claves o IoT Hub las generará automáticamente. Tanto el dispositivo como el centro de IoT tienen una copia de la clave simétrica que se puede comparar cuando el dispositivo se conecta.

• X.509 autofirmado

  Si el dispositivo tiene un certificado X.509 autofirmado, debe proporcionar a IoT Hub una versión del certificado para la autenticación. Al registrar un dispositivo, se carga una huella digital del certificado, que es un hash del certificado X.509 del dispositivo. Cuando el dispositivo se conecta, presenta su certificado y el centro de IoT puede validarlo con el hash que conoce. Para obtener más información, consulte Autenticación de identidades con certificados X.509.

• Certificado X.509 firmado por una CA - Esta opción se recomienda para escenarios de producción.

  Si el dispositivo tiene un certificado X.509 firmado por una CA, cargue un certificado de entidad de certificación (CA) raíz o intermedia en la cadena de firma en IoT Hub antes de registrar el dispositivo. El dispositivo tiene un certificado X.509 con la CA X.509 verificada en su cadena de confianza de certificados. Cuando el dispositivo se conecta, presenta su cadena de certificados completa y el centro de IoT puede validarlo porque conoce la CA X.509. Varios dispositivos se pueden autenticar en la misma CA X.509 verificada. Para obtener más información, consulte Autenticación de identidades con certificados X.509.

Preparar los certificados

Si usa cualquiera de los métodos de autenticación de certificados X.509, asegúrese de que los certificados están listos antes de registrar un dispositivo:

• En el caso de los certificados firmados por ca, el tutorial Creación y carga de certificados para pruebas proporciona una buena introducción para crear certificados firmados por una CA y cargarlos en IoT Hub. Después de completar ese tutorial, está listo para registrar un dispositivo con autenticación X.509 firmado por una CA.

• Para los certificados autofirmados, necesita dos certificados de dispositivo (un certificado principal y secundario) en el dispositivo y las huellas digitales para que ambos se carguen en IoT Hub. Una manera de recuperar la huella digital de un certificado es con el siguiente comando OpenSSL:

  openssl x509 -in <certificate filename>.pem -text -fingerprint
  

Agregar un dispositivo

Crear una identidad de dispositivo en el Centro de IoT.

Azure Portal

1. En Azure Portal, navegue hasta su centro de IoT.

2. Seleccione Administración de dispositivos>Dispositivos.

3. Seleccione Agregar dispositivo para agregar un dispositivo en IoT Hub.

   

4. En Crear un dispositivo, proporcione la información de la nueva identidad del dispositivo:

   Parámetro	Parámetro dependiente	Valor
   Id. de dispositivo		Proporcione un nombre para el nuevo dispositivo.
   Tipo de autenticación		Seleccione Clave simétrica, X.509 autofirmado o X.509 firmado por una CA.
   	Generación automática de claves	Para la autenticación de Clave simétrica, active esta casilla para que IoT Hub genere claves para el dispositivo. O bien, desactive esta casilla y proporcione claves principales y secundarias para el dispositivo.
   	Huella digital principal y Huella digital secundaria	Para la autenticación de X.509 autofirmado proporcione el hash de huella digital de los certificados principales y secundarios del dispositivo.

   Importante

   El identificador del dispositivo puede estar visible en los registros recopilados para soporte técnico y solución de problemas del cliente, por tanto asegúrese de evitar cualquier información confidencial al darle el nombre.

5. Seleccione Guardar.

CLI de Azure

Use el comando az iot hub device-identity create para registrar un dispositivo.

En la tabla siguiente se describen los parámetros comunes que se usan con este comando.

Parámetro	Parámetro dependiente	Valor
--device-id, -d		Proporcione un nombre para el nuevo dispositivo.
--hub-name, -h		Nombre o nombre de host de IoT Hub.
--auth-method, --am		shared_private_key, x509_ca o x509_thumbprint
	--primary-key, --pk y --secondary-key, --sk	Use con autenticación de shared_private_key si desea proporcionar las claves principal y secundaria para el dispositivo. Omita si quiere que IoT Hub genere las claves.
	--primary-thumbprint, --ptp y --secondary-thumbprint, --stp	Use con autenticación de x509_thumbprint para proporcionar las huellas digitales del certificado principal y secundario para el dispositivo. Omita si quiere que IoT Hub genere un certificado autofirmado y use su huella digital.

Importante

El identificador del dispositivo puede estar visible en los registros recopilados para soporte técnico y solución de problemas del cliente, por tanto asegúrese de evitar cualquier información confidencial al darle el nombre.

Recuperación de la cadena de conexión del dispositivo

Para ejemplos y escenarios de prueba, el método de conexión más común es usar la autenticación de clave simétrica y conectarse con una cadena de conexión de dispositivo. Una cadena de conexión de dispositivo contiene el nombre del centro de IoT, el nombre del dispositivo y la información de autenticación del dispositivo.

Para obtener información sobre otros métodos para conectar dispositivos, especialmente para la autenticación de X.509, consulte los SDK de dispositivo de Azure IoT Hub.

Siga estos pasos para recuperar una cadena de conexión de dispositivo.

Azure Portal

Azure Portal proporciona cadenas de conexión de dispositivo solo para dispositivos que usan la autenticación de clave simétrica.

1. En Azure Portal, navegue hasta su centro de IoT.

2. Seleccione Administración de dispositivos>Dispositivos.

3. Seleccione el dispositivo en la lista del panel Dispositivos.

4. Copie el valor de la cadena de conexión principal.

   

   De forma predeterminada, las claves y las cadenas de conexión se enmascaran porque son información confidencial. Si hace clic en el icono de ojo, se muestran. No es necesario mostrarlas para copiarlas con el botón Copiar.

CLI de Azure

Use el comando az iot hub device-identity connection-string show para recuperar la cadena de conexión de un dispositivo. Por ejemplo:

az iot hub device-identity connection-string show --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Los dispositivos con autenticación de clave simétrica tienen una cadena de conexión de dispositivo con el siguiente patrón:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

Los dispositivos con autenticación X.509, autofirmados o firmados por una CA, normalmente no usan cadenas de conexión de dispositivo para la autenticación. Cuando lo hacen, sus cadenas de conexión toman el siguiente patrón:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Deshabilitación o eliminación de un dispositivo

Si quiere mantener un dispositivo en el registro de identidades de IoT Hub, pero quiere impedir que se conecte, puede cambiar su estado a deshabilitado.

Azure Portal

1. En Azure Portal, navegue hasta su centro de IoT.

2. Seleccione Administración de dispositivos>Dispositivos.

3. Seleccione el dispositivo en la lista del panel Dispositivos.

4. En la página de detalles del dispositivo, puede deshabilitar o eliminar el registro del dispositivo.

   • Para evitar que un dispositivo se conecte, establezca el parámetro Habilitar conexión a IoT Hub en Deshabilitar.

     

   • Para quitar completamente un dispositivo del registro de identidades de IoT Hub, seleccione Eliminar.

     

CLI de Azure

Para deshabilitar un dispositivo, use el comando az iot hub device-identity update y cambie el status del dispositivo. Por ejemplo:

az iot hub device-identity update --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME> --set status=disabled

Para eliminar un dispositivo, use el comando az iot hub device-identity delete. Por ejemplo:

az iot hub device-identity delete --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Otras herramientas para administrar identidades de dispositivo

Puede usar otras herramientas o interfaces para administrar el registro de identidades de IoT Hub, entre las que se incluyen:

• Comandos de PowerShell: consulte el conjunto de comandos Az.IotHub para obtener información sobre cómo administrar identidades de dispositivo.

• Visual Studio Code: la extensión Azure IoT Hub para Visual Studio Code incluye funcionalidades del registro de identidades.

• API de REST: consulte las API de servicio de IoT Hub para aprender a administrar identidades de dispositivo.