Créer et gérer des identités d’appareil

Créer une identité d’appareil pour que votre appareil se connecte à Azure IoT Hub. Cet article présente les principales tâches de gestion d’une identité d’appareil, notamment l’inscription de l’appareil, la collecte de ses informations de connexion, puis la suppression ou la désactivation d’un appareil à la fin de son cycle de vie.

Prérequis

• Un hub IoT dans votre abonnement. Si vous n’avez pas de hub IoT, suivez les étapes dans Créer un hub IoT.

• Selon l’outil que vous utilisez, accédez au Portail Azure ou installez l’interface de ligne de commande Azure.

• Si votre hub IoT est managé avec contrôle d’accès en fonction du rôle (RBAC), vous avez besoin d’autorisations Lire/Écrire/Supprimer un appareil/module pour suivre les étapes décrites dans cet article. Ces autorisations sont incluses dans le rôle Contributeur du registre IoT Hub.

Inscrire un appareil

Dans cette section, vous créez une identité d’appareil dans le registre des identités de votre hub IoT. Un appareil ne peut pas se connecter à un hub sauf s’il a une identité d’appareil.

Le registre des identités IoT Hub stocke uniquement les identités des appareils pour permettre un accès sécurisé à IoT Hub. Il stocke les ID des appareils et les clés à utiliser comme informations d’identification de sécurité et un indicateur activé/désactivé que vous pouvez utiliser pour désactiver l’accès pour un appareil individuel.

Lorsque vous inscrivez un appareil, vous choisissez sa méthode d’authentification. IoT Hub prend en charge trois méthodes pour l’authentification des appareils :

• Clé symétrique - Cette option est la plus simple pour les scénarios de démarrage rapide.

  Lorsque vous inscrivez un appareil, vous pouvez fournir des clés, ou IoT Hub les générera pour vous. L’appareil et le hub IoT ont tous deux une copie de la clé symétrique qui peut être comparée lorsque l’appareil se connecte.

• Certificat X.509 autosigné

  Si votre appareil dispose d’un certificat X.509 autosigné, vous devez donner à IoT Hub une version du certificat pour l’authentification. Lorsque vous inscrivez un appareil, vous chargez une empreinte du certificat, qui est un hachage du certificat X.509 de l’appareil. Lorsque l’appareil se connecte, il présente son certificat et le hub IoT peut le valider par rapport au hachage qu’il connaît. Pour plus d’informations, consultez Authentifier les identités avec les certificats X.509.

• Certificat X.509 signé par une autorité de certification (CA) - Cette option est recommandée pour les scénarios de production.

  Si votre appareil a un certificat X.509 signé par une autorité de certification, vous chargez un certificat d’autorité de certification (CA) racine ou intermédiaire dans la chaîne de signature vers IoT Hub avant d’inscrire l’appareil. L’appareil a un certificat X.509 avec le X.509 CA vérifié dans sa chaîne d’approbation de certificats. Lorsque l’appareil se connecte, il présente sa chaîne de certificats complète et le hub IoT peut le valider, car il connaît le X.509 CA. Plusieurs appareils peuvent s’authentifier avec le même X.509 vérifié. Pour plus d’informations, consultez Authentifier les identités avec les certificats X.509.

Préparer les certificats

Si vous utilisez l’une des méthodes d’authentification par certificat X.509, vérifiez que vos certificats sont prêts avant d’inscrire un appareil :

• Pour les certificats signés par une autorité de certification, le tutoriel Créer et charger des certificats à des fins de test fournit une bonne introduction sur la manière de créer des certificats signés par une autorité de certification et des les charger dans IoT Hub. Une fois ce tutoriel terminé, vous êtes prêt à inscrire un appareil avec l’authentification par X.509 signé par une autorité de certification.

• Pour les certificats autosignés, vous avez besoin de deux certificats d’appareil (un certificat principal et un certificat secondaire) sur l’appareil et les empreintes pour que les deux chargent sur IoT Hub. L’une des méthodes permettant de récupérer l’empreinte d’un certificat consiste à utiliser la commande OpenSSL suivante :

  openssl x509 -in <certificate filename>.pem -text -fingerprint
  

Ajout d’un appareil

Créer une identité de l’appareil dans votre hub IoT.

Azure portal

1. Accédez à votre IoT Hub dans le portail Azure.

2. Sélectionnez Gestion des appareils>Appareils.

3. Sélectionnez Ajouter un appareil pour ajouter un appareil dans votre hub IoT.

   

4. Dans Créer un appareil, fournissez les informations relatives à l’identité de votre nouvel appareil :

   Paramètre	Paramètre dépendant	Valeur
   ID de périphérique		Spécifiez un nom pour votre nouvel appareil.
   Type d’authentification		Sélectionnez Clé symétrique, X.509 autosignéou X.509 signé par une autorité de certification.
   	Générer automatiquement des clés	Pour l’authentification par Clé symétrique, cochez cette case pour que IoT Hub génère des clés pour votre appareil. Ou décochez cette case, et fournissez des clés primaires et secondaires pour votre appareil.
   	Empreinte principale et Empreinte secondaire	Pour l’authentification par X.509 autosigné, fournissez le hachage d’empreinte depuis les certificats principaux et secondaires de l’appareil.

   Important

   L’ID d’appareil étant potentiellement visible dans les journaux d’activité collectés à des fins de support technique et de dépannage, assurez-vous de ne pas utiliser d’informations sensibles en attribuant un nom à votre appareil.

5. Cliquez sur Enregistrer.

Azure CLI

Utilisez la commande az iot hub device-identity create pour inscrire un appareil.

Le tableau suivant décrit les paramètres courants utilisés avec cette commande.

Paramètre	Paramètre dépendant	Valeur
--device-id, -d		Spécifiez un nom pour votre nouvel appareil.
--hub-name, -h		Nom d’hôte ou nom du hub IoT.
--auth-method, --am		shared_private_key, x509_ca ou x509_thumbprint
	--primary-key, --pk et --secondary-key, --sk	Utilisez l’authentification shared_private_key si vous voulez fournir les clés primaires et secondaires pour votre appareil. Omettez si vous voulez qu’IoT Hub génère les clés.
	--primary-thumbprint, --ptp et --secondary-thumbprint, --stp	Utilisez l’authentification x509_thumbprint pour fournir les empreintes principales et secondaires du certificat de votre appareil. Omettez si vous souhaitez qu’IoT Hub génère un certificat autosigné et utilise son empreinte.

Important

L’ID d’appareil étant potentiellement visible dans les journaux d’activité collectés à des fins de support technique et de dépannage, assurez-vous de ne pas utiliser d’informations sensibles en attribuant un nom à votre appareil.

Récupérer la chaîne de connexion de l’appareil

Pour les exemples et les scénarios de test, la méthode de connexion la plus courante consiste à utiliser l’authentification par clé symétrique et à se connecter avec une chaîne de connexion d’appareil. Une chaîne de connexion d’appareil contient le nom du hub IoT, le nom de l’appareil et les informations d’authentification de l’appareil.

Pour plus d’informations sur les autres méthodes de connexion d’appareils, en particulier pour l’authentification par X.509, reportez-vous aux SDK d’appareil Azure IoT Hub.

Procédez comme suit pour récupérer une chaîne de connexion d’appareil.

Azure portal

Le Portail Azure ne fournit des chaînes de connexion d’appareil que pour les appareils qui utilisent l’authentification par clé symétrique.

1. Accédez à votre IoT Hub dans le portail Azure.

2. Sélectionnez Gestion des appareils>Appareils.

3. Sélectionnez votre appareil dans la liste dans le volet Appareils.

4. Copiez la valeur de la Chaîne de connexion principale.

   

   Par défaut, les clés et les chaînes de connexion sont masquées, car il s’agit d’informations sensibles. Cliquez sur l’icône en forme d’œil pour les afficher. Il n’est pas nécessaire de les afficher pour les copier à l’aide du bouton Copier.

Azure CLI

Utilisez la commande az iot hub device-identity connection-string show pour récupérer la chaîne de connexion d’un appareil. Par exemple :

az iot hub device-identity connection-string show --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Les appareils avec authentification par clé symétrique ont une chaîne de connexion d’appareil avec le modèle suivant :

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

Les appareils avec authentification par X.509, autosigné ou signé par une autorité de certification, n’utilisent généralement pas de chaînes de connexion d’appareil pour l’authentification. Quand ils le font, leurs chaînes de connexion prennent le modèle suivant :

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Désactiver ou supprimer un appareil

Si vous voulez conserver un appareil dans le registre des identités de votre hub IoT, mais que vous souhaitez l’empêcher de se connecter, vous pouvez remplacer son état par Désactivé.

Azure portal

1. Accédez à votre IoT Hub dans le portail Azure.

2. Sélectionnez Gestion des appareils>Appareils.

3. Sélectionnez votre appareil dans la liste dans le volet Appareils.

4. Dans la page des détails de l’appareil, vous pouvez désactiver ou supprimer l’inscription de l’appareil.

   • Pour empêcher un appareil de se connecter, définissez le paramètre Activer la connexion à IoT Hub sur Désactiver.

   • Pour supprimer complètement un appareil du registre d’identités de votre hub IoT, sélectionnez Supprimer.

Azure CLI

Pour désactiver un appareil, utilisez la commande az iot hub device-identity update et modifiez le status de l’appareil. Par exemple :

az iot hub device-identity update --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME> --set status=disabled

Pour supprimer un appareil, utilisez la commande az iot hub device-identity delete. Par exemple :

az iot hub device-identity delete --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Autres outils de gestion des identités d’appareil

Vous pouvez utiliser d’autres outils ou interfaces pour gérer le registre des identités IoT Hub, notamment :

• Commandes PowerShell : reportez-vous au jeu de commandes Az.IotHub pour savoir comment gérer les identités d’appareil.

• Visual Studio Code : l’extension Azure IoT Hub pour Visual Studio Code inclut des fonctionnalités de registre d’identités.

• API REST : reportez-vous aux API du service IoT Hub pour découvrir comment gérer les identités d’appareil.