Tworzenie tożsamości urządzeń i zarządzanie nimi

Utwórz tożsamość urządzenia, aby połączyć się z usługą Azure IoT Hub. W tym artykule przedstawiono kluczowe zadania zarządzania tożsamością urządzenia, w tym rejestrowanie urządzenia, zbieranie informacji o połączeniu, a następnie usuwanie lub wyłączanie urządzenia na końcu jego cyklu życia.

Wymagania wstępne

• Centrum IoT w ramach subskrypcji. Jeśli nie masz centrum IoT Hub, wykonaj kroki opisane w artykule Tworzenie centrum IoT Hub.

• W zależności od używanego narzędzia masz dostęp do witryny Azure Portal lub zainstaluj interfejs wiersza polecenia platformy Azure.

• Jeśli centrum IoT jest zarządzane za pomocą kontroli dostępu opartej na rolach (RBAC), musisz mieć uprawnienia odczyt/zapis/usuwanie urządzenia/modułu , aby wykonać kroki opisane w tym artykule. Te uprawnienia są uwzględniane w roli Współautor rejestru usługi IoT Hub.

Rejestrowanie urządzenia

W tej sekcji utworzysz tożsamość urządzenia w rejestrze tożsamości w centrum IoT Hub. Urządzenie nie może nawiązać połączenia z centrum, chyba że ma tożsamość urządzenia.

Rejestr tożsamości usługi IoT Hub przechowuje tożsamości urządzenia tylko po to, aby umożliwić bezpieczny dostęp do centrum IoT. Przechowuje identyfikatory urządzeń i klucze, które będą używane jako poświadczenia zabezpieczeń, oraz flagę włączone/wyłączone, która umożliwia wyłączenie dostępu do poszczególnych urządzeń.

Podczas rejestrowania urządzenia należy wybrać jego metodę uwierzytelniania. Usługa IoT Hub obsługuje trzy metody uwierzytelniania urządzeń:

• Klucz - symetryczny Ta opcja jest najłatwiejsza w scenariuszach szybkiego startu.

  Podczas rejestrowania urządzenia możesz podać klucze lub usługa IoT Hub wygeneruje klucze. Zarówno urządzenie, jak i centrum IoT mają kopię klucza symetrycznego, który można porównać podczas nawiązywania połączenia z urządzeniem.

• Podpis własny X.509

  Jeśli urządzenie ma certyfikat X.509 z podpisem własnym, musisz nadać usłudze IoT Hub wersję certyfikatu na potrzeby uwierzytelniania. Podczas rejestrowania urządzenia należy przekazać odcisk palca certyfikatu, który jest skrótem certyfikatu X.509 urządzenia. Po nawiązaniu połączenia urządzenie prezentuje certyfikat, a centrum IoT może zweryfikować go względem skrótu, który zna. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie tożsamości przy użyciu certyfikatów X.509.

• Certyfikat X.509 urzędu certyfikacji podpisany - Ta opcja jest zalecana w scenariuszach produkcyjnych.

  Jeśli urządzenie ma certyfikat X.509 z podpisem urzędu certyfikacji, należy przekazać certyfikat głównego lub pośredniego urzędu certyfikacji w łańcuchu podpisywania do usługi IoT Hub przed zarejestrowaniem urządzenia. Urządzenie ma certyfikat X.509 ze zweryfikowanym urzędem certyfikacji X.509 w łańcuchu zaufania certyfikatów. Po nawiązaniu połączenia urządzenie prezentuje pełny łańcuch certyfikatów, a centrum IoT może go zweryfikować, ponieważ zna urząd certyfikacji X.509. Wiele urządzeń może uwierzytelniać się względem tego samego zweryfikowanego urzędu certyfikacji X.509. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie tożsamości przy użyciu certyfikatów X.509.

Przygotowywanie certyfikatów

Jeśli używasz jednej z metod uwierzytelniania certyfikatu X.509, przed zarejestrowaniem urządzenia upewnij się, że certyfikaty są gotowe:

• W przypadku certyfikatów podpisanych przez urząd certyfikacji samouczek Tworzenie i przekazywanie certyfikatów na potrzeby testowania zawiera dobre wprowadzenie do tworzenia certyfikatów podpisanych przez urząd certyfikacji i przekazywania ich do usługi IoT Hub. Po ukończeniu tego samouczka możesz zarejestrować urządzenie przy użyciu uwierzytelniania podpisanego przez urząd certyfikacji X.509.

• W przypadku certyfikatów z podpisem własnym potrzebne są dwa certyfikaty urządzenia (podstawowy i pomocniczy certyfikat) na urządzeniu i odciski palca, które mają zostać przekazane do usługi IoT Hub. Jednym ze sposobów pobrania odcisku palca z certyfikatu jest następujące polecenie OpenSSL:

  openssl x509 -in <certificate filename>.pem -text -fingerprint
  

Dodawanie urządzenia

Utworzenie tożsamości urządzenia w centrum IoT.

Witryna Azure Portal

1. W witrynie Azure Portal przejdź do centrum IoT Hub.

2. Wybierz pozycję Urządzenia do zarządzania urządzeniami>.

3. Wybierz pozycję Dodaj urządzenie , aby dodać urządzenie w centrum IoT Hub.

   

4. W obszarze Tworzenie urządzenia podaj informacje dotyczące nowej tożsamości urządzenia:

   Parametr	Parametr zależny	Wartość
   Identyfikator urządzenia		Podaj nazwę nowego urządzenia.
   Authentication type (Typ uwierzytelniania)		Wybierz klucz symetryczny, podpis własny X.509 lub podpisany przez urząd certyfikacji X.509.
   	Automatyczne generowanie kluczy	W przypadku uwierzytelniania klucza symetrycznego zaznacz to pole wyboru, aby usługa IoT Hub wygenerowała klucze dla urządzenia. Możesz też usunąć zaznaczenie tego pola i podać klucze podstawowe i pomocnicze dla urządzenia.
   	Podstawowy odcisk palca i pomocniczy odcisk palca	W przypadku uwierzytelniania z podpisem własnym X.509 podaj skrót odcisku palca z podstawowych i pomocniczych certyfikatów urządzenia.

   Ważne

   Identyfikator urządzenia może być widoczny w dziennikach zbieranych na potrzeby obsługi klienta i rozwiązywania problemów, dlatego upewnij się, żeby unikać poufnych informacji podczas nadawania mu nazwy.

5. Wybierz pozycję Zapisz.

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az iot hub device-identity create, aby zarejestrować urządzenie.

W poniższej tabeli opisano typowe parametry używane z tym poleceniem.

Parametr	Parametr zależny	Wartość
--device-id, -d		Podaj nazwę nowego urządzenia.
--hub-name, -h		Nazwa centrum IoT lub nazwa hosta.
--auth-method, --am		Albo shared_private_key, x509_ca, lub x509_thumbprint
	--primary-key, i --secondary-key, --pk--sk	Użyj uwierzytelniania, shared_private_key jeśli chcesz podać klucze podstawowe i pomocnicze dla urządzenia. Pomiń, jeśli chcesz, aby usługa IoT Hub wygenerowała klucze.
	--primary-thumbprint, i --secondary-thumbprint, --ptp--stp	x509_thumbprint Użyj uwierzytelniania, aby udostępnić odciski palca certyfikatu podstawowego i pomocniczego dla urządzenia. Pomiń, jeśli chcesz, aby usługa IoT Hub wygenerowała certyfikat z podpisem własnym i użyj jego odcisku palca.

Ważne

Identyfikator urządzenia może być widoczny w dziennikach zbieranych na potrzeby obsługi klienta i rozwiązywania problemów, dlatego upewnij się, żeby unikać poufnych informacji podczas nadawania mu nazwy.

Pobieranie parametrów połączenia urządzenia

W przypadku przykładów i scenariuszy testowych najbardziej typową metodą połączenia jest użycie uwierzytelniania klucza symetrycznego i nawiązanie połączenia z urządzeniem parametry połączenia. Urządzenie parametry połączenia zawiera nazwę centrum IoT, nazwę urządzenia i informacje o uwierzytelnianiu urządzenia.

Aby uzyskać informacje o innych metodach łączenia urządzeń, szczególnie w przypadku uwierzytelniania X.509, zapoznaj się z zestawami SDK urządzeń usługi Azure IoT Hub.

Wykonaj poniższe kroki, aby pobrać parametry połączenia urządzenia.

Witryna Azure Portal

Witryna Azure Portal udostępnia parametry połączenia urządzeń tylko dla urządzeń korzystających z uwierzytelniania klucza symetrycznego.

1. W witrynie Azure Portal przejdź do centrum IoT Hub.

2. Wybierz pozycję Urządzenia do zarządzania urządzeniami>.

3. Wybierz urządzenie z listy w okienku Urządzenia .

4. Skopiuj wartość podstawowego parametry połączenia.

   

   Domyślnie klucze i parametry połączenia są maskowane, ponieważ są to informacje poufne. Po kliknięciu ikony oka zostaną one ujawnione. Nie trzeba ich ujawniać, aby skopiować je za pomocą przycisku kopiowania.

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az iot hub device-identity connection-string show, aby pobrać parametry połączenia urządzenia. Na przykład:

az iot hub device-identity connection-string show --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Urządzenia z uwierzytelnianiem klucza symetrycznego mają urządzenie parametry połączenia z następującym wzorcem:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

Urządzenia z uwierzytelnianiem X.509 z podpisem własnym lub urzędem certyfikacji zwykle nie używają parametry połączenia urządzeń do uwierzytelniania. Gdy to zrobią, ich parametry połączenia mają następujący wzorzec:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Wyłączanie lub usuwanie urządzenia

Jeśli chcesz zachować urządzenie w rejestrze tożsamości centrum IoT Hub, ale chcesz uniemożliwić mu nawiązanie połączenia, możesz zmienić jego stan na wyłączony.

Witryna Azure Portal

1. W witrynie Azure Portal przejdź do centrum IoT Hub.

2. Wybierz pozycję Urządzenia do zarządzania urządzeniami>.

3. Wybierz urządzenie z listy w okienku Urządzenia .

4. Na stronie szczegółów urządzenia można wyłączyć lub usunąć rejestrację urządzenia.

   • Aby uniemożliwić nawiązywanie połączenia z urządzeniem, ustaw parametr Włącz połączenie z usługą IoT Hub na wartość Wyłącz.

   • Aby całkowicie usunąć urządzenie z rejestru tożsamości centrum IoT Hub, wybierz pozycję Usuń.

Interfejs wiersza polecenia platformy Azure

Aby wyłączyć urządzenie, użyj polecenia az iot hub device-identity update i zmień status wartość urządzenia. Na przykład:

az iot hub device-identity update --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME> --set status=disabled

Aby usunąć urządzenie, użyj polecenia az iot hub device-identity delete . Na przykład:

az iot hub device-identity delete --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Inne narzędzia do zarządzania tożsamościami urządzeń

Do zarządzania rejestrem tożsamości usługi IoT Hub można użyć innych narzędzi lub interfejsów, w tym:

• Polecenia programu PowerShell: zapoznaj się z zestawem poleceń Az.IotHub , aby dowiedzieć się, jak zarządzać tożsamościami urządzeń.

• Visual Studio Code: rozszerzenie usługi Azure IoT Hub dla programu Visual Studio Code obejmuje funkcje rejestru tożsamości.

• Interfejs API REST: zapoznaj się z interfejsami API usługi IoT Hub, aby dowiedzieć się, jak zarządzać tożsamościami urządzeń.