Creare e gestire le identità dei dispositivi

Creare un'identità del dispositivo per connetterlo all'hub IoT di Azure. Questo articolo presenta le attività principali per la gestione di un'identità del dispositivo, inclusa la registrazione del dispositivo, la raccolta delle informazioni di connessione e l'eliminazione o la disabilitazione di un dispositivo alla fine del ciclo di vita.

Prerequisiti

• Un hub IoT nella sottoscrizione di Azure. Se non si ha ancora un hub, è possibile seguire la procedura descritta in Creare un hub IoT.

• A seconda dello strumento usato, è possibile accedere al portale di Azure o installare l'interfaccia della riga di comando di Azure.

• Se l'hub IoT viene gestito con il controllo degli accessi in base al ruolo, sono necessarie autorizzazioni di lettura/scrittura/eliminazione di dispositivi/moduli per i passaggi descritti in questo articolo. Tali autorizzazioni sono incluse nel ruolo Collaboratore del Registro di sistema dell'hub IoT.

Registrazione di un dispositivo

In questa sezione si creerà un'identità del dispositivo nel registro delle identità dell'hub IoT. Un dispositivo non può connettersi a un hub a meno che non abbia un'identità del dispositivo.

Il registro di identità dell'hub IoT archivia solo le identità del dispositivo per abilitare l'accesso sicuro all'hub. Archivia gli ID dispositivo e le chiavi da usare come credenziali di sicurezza e un flag di attivazione/disattivazione che consente di disabilitare l'accesso per un singolo dispositivo.

Quando si registra un dispositivo, si sceglie il metodo di autenticazione. L'hub IoT supporta tre metodi per l'autenticazione del dispositivo:

• Chiave simmetrica - Questa opzione è più semplice per gli scenari di avvio rapido.

  Quando si registra un dispositivo, è possibile specificare le chiavi, altrimenti l'hub IoT le genererà automaticamente. Sia il dispositivo che l'hub IoT hanno una copia della chiave simmetrica che può essere confrontata quando il dispositivo si connette.

• X.509 autofirmato

  Se il dispositivo ha un certificato X.509 autofirmato, è necessario assegnare all'hub IoT una versione del certificato per l'autenticazione. Quando si registra un dispositivo, si carica un'identificazione personale del certificato, ovvero un hash del certificato X.509 del dispositivo. Quando il dispositivo si connette, presenta il certificato e l'hub IoT può convalidarlo rispetto all'hash noto. Per altre informazioni, vedere Autenticare le identità con certificati X.509.

• X.509 firmato dell'autorità di certificazione - Questa opzione è consigliata per gli scenari di produzione.

  Se il dispositivo ha un certificato X.509 firmato dall'autorità di certificazione, caricare un certificato dell'autorità di certificazione (CA) radice o intermedia nella catena di firma nell'hub IoT prima di registrare il dispositivo. Il dispositivo ha un certificato X.509 con CA X.509 verificata nella catena di certificati. Quando il dispositivo si connette, presenta la catena di certificati completa e l'hub IoT può convalidarlo perché conosce la CA X.509. Più dispositivi possono eseguire l'autenticazione con la stessa CA X.509 verificata. Per altre informazioni, vedere Autenticare le identità con certificati X.509.

Preparare i certificati

Se si usa uno dei metodi di autenticazione del certificato X.509, assicurarsi che i certificati siano pronti prima di registrare un dispositivo:

• Per i certificati firmati dalla CA, l'esercitazione Creare e caricare certificati per i test offre una buona introduzione sulla modalità di creazione di certificati firmati dalla CA e sul loro caricamento nell'hub IoT. Al termine dell'esercitazione, si è pronti per registrare un dispositivo con l'autenticazione X.509 firmato dall'autorità di certificazione.

• Per i certificati autofirmati, sono necessari due certificati del dispositivo (un certificato primario e uno secondario) nel dispositivo e le identificazioni personali per entrambi per caricarli nell'hub IoT. Un modo per recuperare l'identificazione personale da un certificato è tramite il comando OpenSSL seguente:

  openssl x509 -in <certificate filename>.pem -text -fingerprint
  

Aggiungere un dispositivo

Creare un'identità del dispositivo nell'hub IoT.

Azure portal

1. Nel portale di Azure passare all'hub IoT.

2. Selezionare Gestione dispositivi>Dispositivi.

3. Selezionare Aggiungi dispositivo per aggiungere un dispositivo nell'hub IoT.

   

4. In Creare un dispositivospecificare le informazioni per la nuova identità del dispositivo:

   Parametro	Parametro dipendente	Valore
   ID dispositivo		Specificare un nome per il nuovo dispositivo.
   Tipo di autenticazione		Selezionare chiave simmetrica, X.509 autofirmato o X.509 firmato dall'autorità di certificazione.
   	Generare chiavi automaticamente	Per l'autenticazione con chiave simmetrica, selezionare questa casella per fare in modo che l'hub IoT generi le chiavi per il dispositivo. In alternativa, deselezionare questa casella e fornire chiavi primarie e secondarie per il dispositivo.
   	Identificazione personale primaria e identificazione personale secondaria	Per l'autenticazione X.509 autofirmato, fornire l'hash dell'identificazione personale dei certificati primari e secondari del dispositivo.

   Importante

   L'ID dispositivo può essere visibile nei log raccolti per il supporto tecnico e la risoluzione dei problemi, quindi evitare di includere informazioni sensibili nel nome assegnato.

5. Seleziona Salva.

Interfaccia della riga di comando di Azure

Usare il comando az iot hub device-identity create per registrare un dispositivo.

Nella tabella seguente vengono descritti i parametri comuni usati con questo comando.

Parametro	Parametro dipendente	Valore
--device-id, -d		Specificare un nome per il nuovo dispositivo.
--hub-name, -h		Nome o nome host dell'hub IoT.
--auth-method, --am		shared_private_key, x509_ca o x509_thumbprint
	--primary-key, --pk e --secondary-key, --sk	Usare con l'autenticazione shared_private_key se si desidera fornire le chiavi primarie e secondarie per il dispositivo. Omettere se si vuole che l'hub IoT generi le chiavi.
	--primary-thumbprint, --ptp e --secondary-thumbprint, --stp	Usare con l'autenticazione x509_thumbprint per fornire le identificazioni personali del certificato primario e secondario per il dispositivo. Omettere se si vuole che l'hub IoT generi un certificato autofirmato e usi l'identificazione personale.

Importante

L'ID dispositivo può essere visibile nei log raccolti per il supporto tecnico e la risoluzione dei problemi, quindi evitare di includere informazioni sensibili nel nome assegnato.

Recuperare la stringa di connessione del dispositivo

Per esempi e scenari di test, il metodo di connessione più comune consiste nell'usare l'autenticazione con chiave simmetrica e connettersi con una stringa di connessione del dispositivo. Una stringa di connessione del dispositivo contiene il nome dell'hub IoT, il nome del dispositivo e le informazioni di autenticazione del dispositivo.

Per informazioni su altri metodi per la connessione dei dispositivi, in particolare per l'autenticazione X.509, vedere SDK per dispositivi dell'hub IoT di Azure.

Usare la procedura seguente per recuperare una stringa di connessione del dispositivo.

Azure portal

Il portale di Azure fornisce stringhe di connessione del dispositivo solo per i dispositivi che usano l'autenticazione con chiave simmetrica.

1. Nel portale di Azure passare all'hub IoT.

2. Selezionare Gestione dispositivi>Dispositivi.

3. Selezionare il dispositivo dall'elenco nel riquadro Dispositivi.

4. Copiare il valore della stringa di connessione primaria.

   

   Per impostazione predefinita, le chiavi e le stringhe di connessione vengono mascherate perché sono informazioni riservate. Se si fa clic sull'icona a forma di occhio, vengono rivelate. Non è necessario rivelarle per copiarle con il pulsante Copia.

Interfaccia della riga di comando di Azure

Usare il comando az iot hub device-identity connection-string show per recuperare la stringa di connessione di un dispositivo. Ad esempio:

az iot hub device-identity connection-string show --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

I dispositivi con autenticazione con chiave simmetrica hanno una stringa di connessione del dispositivo con il modello seguente:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

I dispositivi con autenticazione X.509, autofirmato o firmato dalla CA, in genere non usano stringhe di connessione del dispositivo per l'autenticazione. Quando lo fanno, le stringhe di connessione accettano il modello seguente:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Disabilitare o eliminare un dispositivo

Se si vuole mantenere un dispositivo nel registro delle identità dell'hub IoT, ma si vuole impedire la connessione, è possibile impostarne lo stato su disabilitato.

Azure portal

1. Nel portale di Azure passare all'hub IoT.

2. Selezionare Gestione dispositivi>Dispositivi.

3. Selezionare il dispositivo dall'elenco nel riquadro Dispositivi.

4. Nella pagina dei dettagli del dispositivo è possibile disabilitare o eliminare la registrazione del dispositivo.

   • Per impedire la connessione di un dispositivo, impostare il parametro Abilita connessione all'hub IoT su Disabilita.

     

   • Per rimuovere completamente un dispositivo dal registro delle identità dell'hub IoT, selezionare Elimina.

     

Interfaccia della riga di comando di Azure

Per disabilitare un dispositivo, usare il comando az iot hub device-identity update e modificare l'elemento status del dispositivo. Ad esempio:

az iot hub device-identity update --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME> --set status=disabled

Per eliminare un dispositivo, usare il comando az iot hub device-identity delete. Ad esempio:

az iot hub device-identity delete --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Altri strumenti per la gestione delle identità dei dispositivi

È possibile usare altri strumenti o interfacce per gestire il registro delle identità dell'hub IoT, tra cui:

• Comandi di PowerShell: fare riferimento al set di comandi Az.IotHub per informazioni su come gestire le identità dei dispositivi.

• Visual Studio Code: l'estensione hub IoT di Azure per Visual Studio Code include funzionalità del registro delle identità.

• API REST: fare riferimento alle API del servizio hub IoT per informazioni su come gestire le identità dei dispositivi.