Konsep autentikasi perangkat di IoT Central

Artikel ini menjelaskan cara perangkat mengautentikasi ke aplikasi IoT Central. Untuk mempelajari selengkapnya tentang proses koneksi secara keseluruhan, lihat Koneksi perangkat.

Perangkat mengautentikasi dengan aplikasi IoT Central dengan menggunakan token tanda tangan akses bersama (SAS) atau sertifikat X.509. Sertifikat X.509 direkomendasikan untuk lingkungan produksi.

Anda menggunakan grup pendaftaran untuk mengelola opsi autentikasi perangkat di aplikasi IoT Central Anda.

Artikel ini menjelaskan opsi autentikasi perangkat berikut:

• Grup pendaftaran X.509
• Grup pendaftaran SAS
• Pendaftaran individu

Grup pendaftaran X.509

Dalam lingkungan produksi, menggunakan sertifikat X.509 adalah mekanisme autentikasi perangkat yang direkomendasikan untuk IoT Central. Untuk mempelajari lebih lanjut, lihat Autentikasi Perangkat menggunakan Sertifikat CA X.509.

Grup pendaftaran X.509 berisi sertifikat X.509 akar atau menengah. Perangkat dapat mengautentikasi jika memiliki sertifikat daun yang valid yang berasal dari sertifikat akar atau menengah.

Untuk menyambungkan perangkat dengan sertifikat X.509 ke aplikasi Anda:

1. Membuat grup pendaftaran yang menggunakan jenis pengesahan Sertifikat (X.509).
2. Tambahkan dan verifikasi sertifikat root X.509 di grup pendaftaran.
3. Hasilkan sertifikat daun dari sertifikat root atau menengah dalam grup pendaftaran. Instal sertifikat daun pada perangkat untuk digunakan saat tersambung ke aplikasi Anda.

Setiap grup pendaftaran harus menggunakan sertifikat X.509 yang unik. IoT Central tidak mendukung penggunaan sertifikat X.509 yang sama di beberapa grup pendaftaran.

Untuk mempelajari selengkapnya, lihat Cara menyambungkan perangkat dengan sertifikat X.509.

Untuk tujuan pengujian saja

Di lingkungan produksi, gunakan sertifikat dari penyedia sertifikat Anda. Untuk pengujian saja, Anda dapat menggunakan utilitas berikut untuk menghasilkan sertifikat root, menengah, dan perangkat:

• Alat untuk Azure IoT Device Provisioning Device SDK: kumpulan alat Node.js yang dapat Anda gunakan untuk menghasilkan dan memverifikasi sertifikat dan kunci X.509.
• Mengelola sertifikat CA pengujian untuk sampel dan tutorial: kumpulan skrip PowerShell dan Bash untuk:
  • Membuat rantai sertifikat.
  • Menyimpan sertifikat sebagai .file cer untuk diunggah ke aplikasi IoT Central Anda.
  • Gunakan kode verifikasi dari aplikasi IoT Central untuk membuat sertifikat verifikasi.
  • Buat sertifikat daun untuk perangkat Anda menggunakan ID perangkat Anda sebagai parameter alat.

Grup pendaftaran SAS

Grup pendaftaran SAS berisi kunci SAS tingkat grup. Perangkat dapat mengautentikasi jika mereka memiliki token SAS yang valid yang berasal dari kunci SAS tingkat grup.

Untuk menyambungkan perangkat dengan token SAS perangkat ke aplikasi Anda:

1. Membuat grup pendaftaran yang menggunakan jenis pengesahan Tanda Tangan Akses Bersama (SAS).

2. Salin kunci utama atau sekunder grup dari grup pendaftaran.

3. Gunakan Azure CLI untuk menghasilkan token perangkat dari kunci grup:

   az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
   

4. Gunakan token perangkat yang dihasilkan saat perangkat terhubung ke aplikasi IoT Central Anda.

Catatan

Untuk menggunakan kunci SAS yang ada di grup pendaftaran Anda, nonaktifkan tombol Buat otomatis dan masukkan kunci SAS Anda secara manual.

Jika Anda menggunakan grup pendaftaran SAS-IoT-Devices default, IoT Central menghasilkan kunci perangkat individual untuk Anda. Untuk mengakses kunci ini, pilih Koneksi di halaman detail perangkat. Halaman ini menampilkan Cakupan ID, ID Perangkat, Kunci primer, dan Kunci sekunder yang Anda gunakan dalam kode perangkat Anda. Halaman ini juga menampilkan kode QR yang berisi data yang sama.

Pendaftaran individu

Biasanya, perangkat terhubung dengan menggunakan kredensial yang berasal dari sertifikat atau kunci SAS grup pendaftaran X.509. Namun, jika perangkat Anda masing-masing memiliki kredensialnya sendiri, Anda dapat menggunakan pendaftaran individual. Pendaftaran individu adalah entri untuk satu perangkat yang memungkinkannya terhubung. Pendaftaran individu dapat menggunakan sertifikat daun X.509 atau token SAS (dari TPM fisik atau virtual) sebagai mekanisme pengesahan. Untuk informasi selengkapnya, lihat Pendaftaran individu DPS.

Catatan

Saat Anda membuat pendaftaran individual untuk perangkat, itu lebih diutamakan daripada opsi grup pendaftaran default di aplikasi IoT Central Anda.

Mengelola pendaftaran individu

IoT Central mendukung mekanisme pengesahan berikut untuk pendaftaran individu:

• Pengesahan kunci simetris: Pengesahan kunci simetris adalah pendekatan sederhana untuk mengautentikasi perangkat dengan instans DPS. Untuk membuat pendaftaran individu yang menggunakan kunci konten, buka halaman Koneksi perangkat untuk perangkat, pilih Pendaftaran individu sebagai jenis autentikasi, dan Tanda tangan akses bersama (SAS) sebagai metode autentikasi. Masukkan kunci primer dan sekunder yang dikodekan base64, dan simpan perubahan Anda. Gunakan Cakupan ID, ID Perangkat, dan kunci utama atau sekunder untuk menyambungkan perangkat Anda.

  Tip

  Untuk pengujian, Anda dapat menggunakan OpenSSL untuk menghasilkan kunci bersandi base64: openssl rand -base64 64

• Sertifikat X.509: Untuk membuat pendaftaran individu dengan sertifikat X.509, buka halaman Koneksi ion Perangkat, pilih Pendaftaran individu sebagai jenis autentikasi, dan Sertifikat (X.509) sebagai metode autentikasi. Sertifikat perangkat yang digunakan dengan entri pendaftaran individu memiliki persyaratan bahwa pengeluar sertifikat dan subjek CN diatur ke ID perangkat.

  Tip

  Untuk pengujian, Anda dapat menggunakan Alat untuk SDK Perangkat Penyediaan Perangkat Azure IoT untuk Node.js untuk menghasilkan sertifikat yang ditandatangani sendiri: node create_test_cert.js device "mytestdevice"

• Pengesahan Modul Platform Tepercaya (TPM):TPM adalah jenis modul keamanan perangkat keras. Menggunakan TPM adalah salah satu cara paling aman untuk menyambungkan perangkat. Artikel ini mengasumsikan Anda menggunakan TPM diskrit, firmware, atau terintegrasi. TPM yang diemulasi perangkat lunak sangat cocok untuk pembuatan prototipe atau pengujian, tetapi tidak memberikan tingkat keamanan yang sama seperti TPM diskrit, firmware, atau terintegrasi. Jangan gunakan TPM perangkat lunak dalam produksi. Untuk membuat pendaftaran individu yang menggunakan TPM, buka halaman Koneksi ion Perangkat, pilih Pendaftaran individu sebagai jenis autentikasi, dan TPM sebagai metode autentikasi. Masukkan kunci pengesahan TPM dan simpan informasi koneksi perangkat.

Mendaftarkan perangkat secara otomatis

Skenario ini memungkinkan OEM untuk memproduksi perangkat massal yang dapat terhubung tanpa terlebih dahulu didaftarkan dalam aplikasi. OEM menghasilkan info masuk perangkat yang sesuai, dan mengonfigurasikan perangkat di pabrik.

Untuk mendaftarkan perangkat yang menggunakan sertifikat X.509 secara otomatis:

1. Hasilkan sertifikat daun untuk perangkat Anda menggunakan sertifikat root atau menengah yang Anda tambahkan ke grup pendaftaranX.509 Anda. Gunakan ID perangkat sebagai CNAME di sertifikat daun. ID perangkat dapat menggunakan huruf, angka, dan karakter -.

2. Sebagai OEM, flash setiap perangkat dengan ID perangkat, sertifikat-daun X.509 yang dihasilkan, dan nilai cakupan ID aplikasi. Kode perangkat juga harus mengirimkan ID model dari model perangkat yang diimplementasikannya.

3. Saat Anda menyalakan perangkat, pertama-tama ia tersambung ke DPS untuk mengambil informasi koneksi IoT Central-nya.

4. Perangkat ini menggunakan informasi dari DPS untuk tersambung ke, dan mendaftar dengan, aplikasi IoT Central Anda.

5. Aplikasi IoT Central menggunakan ID model yang dikirim oleh perangkat untuk menetapkan perangkat terdaftar ke templat perangkat.

Untuk mendaftarkan perangkat yang menggunakan token SAS secara otomatis:

1. Salin kunci utama grup dari grup pendaftaran SAS-IoT-Devices:

   

2. Gunakan az iot central device compute-device-key perintah untuk menghasilkan kunci SAS perangkat. Gunakan kunci utama grup dari langkah sebelumnya. ID perangkat dapat berisi huruf, angka, dan karakter -:

   az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
   

3. Sebagai OEM, flash setiap perangkat dengan ID perangkat, kunci SAS perangkat yang dihasilkan, dan nilai cakupan ID aplikasi. Kode perangkat juga harus mengirimkan ID model dari model perangkat yang diimplementasikannya.

4. Saat Anda menyalakan perangkat, pertama-tama perangkat tersambung ke DPS untuk mengambil informasi koneksi IoT Central-nya.

5. Perangkat ini menggunakan informasi dari DPS untuk tersambung ke, dan mendaftar dengan, aplikasi IoT Central Anda.

6. Aplikasi IoT Central menggunakan ID model yang dikirim oleh perangkat untuk menetapkan perangkat terdaftar ke templat perangkat.

Langkah berikutnya

Beberapa langkah berikutnya yang disarankan adalah:

• Meninjau praktik terbaik untuk mengembangkan perangkat.
• Meninjau beberapa sampel kode yang menunjukkan cara menggunakan token SAS di Tutorial: Membuat dan menyambungkan aplikasi klien ke aplikasi Azure IoT Central Anda
• Pelajari cara Menyambungkan perangkat dengan sertifikat X.509 menggunakan SDK perangkat Node.js untuk Aplikasi IoT Central
• Pelajari cara Memantau konektivitas perangkat menggunakan Azure CLI
• Baca tentang Perangkat Azure IoT Edge dan Azure IoT Central