Métodos de autenticação do agente de segurança
Este artigo explica os diferentes métodos de autenticação que você pode usar com o agente AzureIoTSecurity para autenticar com o Hub IoT.
Para cada dispositivo integrado ao Defender para IoT no Hub IoT, é necessário um Defender-IoT-micro-agent. Para autenticar o dispositivo, o Defender para IoT pode usar um dos dois métodos. Escolha o método que funciona melhor para sua solução de IoT existente.
- Opção SecurityModule
- Opção de dispositivo
Métodos de autenticação
Os dois métodos para o agente do Defender para IoT AzureIoTSecurity para realizar a autenticação:
Modo de autenticação do Defender-IoT-micro-agent
O agente é autenticado usando a identidade do Defender-IoT-micro-agent independentemente da identidade do dispositivo. Use esse tipo de autenticação se desejar que o agente de segurança use um método de autenticação dedicado por meio do Defender-IoT-micro-agent (somente chave simétrica).Modo de autenticação do Dispositivo
Nesse método, o agente de segurança primeiro é autenticado com a identidade do dispositivo. Após a autenticação inicial, o agente do defender para IoT executa uma chamada REST para o Hub IoT usando a API REST com os dados de autenticação do dispositivo. Em seguida, o agente do defender para IoT solicita o método de autenticação do Defender-IoT-micro-agent e os dados do Hub IoT. Na etapa final, o agente do Defender para IoT executa uma autenticação no módulo Defender para IoT.
Use esse tipo de autenticação se desejar que o agente de segurança reutilize um método de autenticação de dispositivo existente (certificado autoassinado ou chave simétrica).
Consulte Parâmetros de instalação do agente de segurança para saber como configurar.
Limitações conhecidas dos métodos de autenticação
- O modo de autenticação SecurityModule dá suporte apenas à autenticação de chave simétrica.
- O modo de autenticação do Dispositivo não dá suporte para o certificado CA-Signed.
Parâmetros de instalação do agente de segurança
Ao implantar um agente de segurança, os detalhes de autenticação devem ser fornecidos como argumentos. Estes argumentos são documentados na seguinte tabela:
| Nome do parâmetro do Linux | Nome do parâmetro do Windows | Parâmetro abreviado | Descrição | Opções |
|---|---|---|---|---|
| authentication-identity | AuthenticationIdentity | aui | Identidade de autenticação | SecurityModule ou Device |
| método de autenticação | AuthenticationMethod | aum | Método de autenticação | SymmetricKey ou SelfSignedCertificate |
| file-path | FilePath | f | Caminho completo absoluto para o arquivo que contém o certificado ou a chave simétrica | |
| host-name | HostName | hn | FQDN do Hub IoT | Exemplo: ContosoIotHub.azure-devices.net |
| device-id | DeviceId | di | ID do Dispositivo | Exemplo: MyDevice1 |
| certificate-location-kind | CertificateLocationKind | cl | Local de armazenamento do certificado | LocalFile ou Store |
Ao usar o script de instalação do agente de segurança, a configuração a seguir é executada automaticamente. Para editar a autenticação do agente de segurança manualmente, edite o arquivo de configuração.
Alterar o método de autenticação após a implantação
Ao implantar um agente de segurança com um script de instalação, um arquivo de configuração é criado automaticamente.
Para alterar os métodos de autenticação após a implantação, a edição manual do arquivo de configuração é necessária.
Agente de segurança baseado em C#
Edite Authentication.config com os seguintes parâmetros:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
Agente de segurança baseado em C
Edite LocalConfiguration.js com os seguintes parâmetros:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}