Criar e gerenciar identidades de dispositivo

Crie uma identidade do dispositivo para que ele se conecte ao Hub IoT do Azure. Este artigo apresenta as principais tarefas para gerenciar uma identidade do dispositivo, incluindo registrar o dispositivo, coletar suas informações de conexão e, em seguida, excluir ou desabilitar um dispositivo no final de seu ciclo de vida.

Pré-requisitos

• Um Hub IoT na assinatura do Azure. Caso você ainda não tenha um hub, poderá seguir as etapas em Criar um hub IoT.

• Dependendo de qual ferramenta você usar, acesse o portal do Azure ou instale a CLI do Azure.

• Se o hub IoT for gerenciado com controle de acesso baseado em função (RBAC), você precisará de permissões de Leitura/gravação/excluir dispositivo/módulo para as etapas neste artigo. Essas permissões são incluídas na função Colaborador do Registro do Hub IoT.

Registrar um dispositivo

Nesta seção, você criará uma identidade do dispositivo no registro de identidade no hub IoT. Um dispositivo não pode se conectar a um hub a menos que ele tenha uma identidade do dispositivo.

O Registro de identidade do Hub IoT armazena apenas as identidades de dispositivo para habilitar o acesso seguro ao Hub IoT. Ele armazena as IDs e as chaves do dispositivo a usar como credenciais de segurança e um sinalizador habilitado/desabilitado que você poderá usar para desabilitar o acesso de um dispositivo individual.

Ao registrar um dispositivo, você escolhe seu método de autenticação. O Hub IoT dá suporte a três métodos para autenticação de dispositivo:

• Chave simétrica - Essa opção é a mais fácil para cenários de início rápido.

  Ao registrar um dispositivo, você pode fornecer chaves ou o Hub IoT gerará chaves para você. O dispositivo e o hub IoT têm uma cópia da chave simétrica que pode ser comparada quando o dispositivo se conecta.

• X.509 autoassinado

  Se o dispositivo tiver um certificado X.509 autoassinado, você precisará fornecer ao Hub IoT uma versão do certificado para autenticação. Ao registrar um dispositivo, você carrega uma impressão digital do certificado, que é um hash do certificado X.509 do dispositivo. Quando o dispositivo se conecta, ele apresenta seu certificado e o hub IoT pode validá-lo em relação ao hash que ele conhece. Para obter mais informações, consulte Autenticar identidades com certificados X.509.

• X.509 assinado por autoridade de certificação - Essa opção é recomendada para cenários de produção.

  Se o dispositivo tiver um certificado X.509 assinado por autoridade de certificação, carregue um certificado de autoridade de certificação raiz ou intermediária na cadeia de assinatura no Hub IoT antes de registrar o dispositivo. O dispositivo tem um certificado X.509 com a autoridade de certificação X.509 verificada em sua cadeia de certificados de confiança. Quando o dispositivo se conecta, ele apresenta sua cadeia de certificados completa e o hub IoT pode validá-lo porque ele conhece a autoridade de certificação X.509. Vários dispositivos podem se autenticar na mesma autoridade de certificação X.509 verificada. Para obter mais informações, consulte Autenticar identidades com certificados X.509.

Preparar certificados

Se você estiver usando qualquer um dos métodos de autentificação do certificado X.509, verifique se os certificados estão prontos antes de registrar um dispositivo:

• Para certificados assinados por autoridade de certificação, o tutorial Criar e carregar certificados para teste fornece uma boa introdução para criar certificados assinados por autoridade de certificação e carregá-los no Hub IoT. Depois de concluir esse tutorial, você estará pronto para registrar um dispositivo com autenticação X.509 assinada por autoridade de certificação.

• Para certificados autoassinados, você precisa de dois certificados de dispositivo (um certificado primário e um secundário) no dispositivo e impressões digitais para carregar ambos no Hub IoT. Uma maneira de recuperar a impressão digital de um certificado é com o seguinte comando OpenSSL:

  openssl x509 -in <certificate filename>.pem -text -fingerprint
  

Adicionar um dispositivo

Crie uma identidade de dispositivo em seu hub IoT.

Portal do Azure

1. No portal do Azure, navegue para o hub IoT.

2. Selecione Gerenciamento de dispositivo>Dispositivos.

3. Selecione Adicionar Dispositivo para adicionar um dispositivo ao hub IoT.

   

4. Em Criar um dispositivo, forneça as informações para sua nova identidade do dispositivo:

   Parâmetro	Parâmetro dependente	Valor
   ID do Dispositivo		Forneça um nome para o novo dispositivo.
   Tipo de autenticação		Selecione Chave simétrica, X.509 autoassinado ou X.509 assinado por autoridade de certificação.
   	Gerar chaves automaticamente	Para a autenticação de Chave simétrica, marque essa caixa para que o Hub IoT gere chaves para seu dispositivo. Ou desmarque essa caixa e forneça chaves primárias e secundárias para seu dispositivo.
   	Impressão digital primária e Impressão digital secundária	Para a autenticação X.509 autoassinada, forneça o hash de impressão digital para os certificados primários e secundários do dispositivo.

   Importante

   A ID do dispositivo pode estar visível nos logs coletados para o atendimento ao cliente e à solução de problemas. Portanto, evite informações confidenciais ao nomear.

5. Selecione Salvar.

CLI do Azure

Use o comando az iot hub device-identity create para registrar um dispositivo.

A tabela a seguir descreve os parâmetros comuns usados com este comando.

Parâmetro	Parâmetro dependente	Valor
--device-id, -d		Forneça um nome para o novo dispositivo.
--hub-name, -h		Nome ou nome do host do hub IoT.
--auth-method, --am		shared_private_key, x509_ca ou x509_thumbprint
	--primary-key, --pk e --secondary-key, --sk	Use com autenticação shared_private_key se quiser fornecer as chaves primária e secundária para seu dispositivo. Omita se quiser que o Hub IoT gere as chaves.
	--primary-thumbprint, --ptp e --secondary-thumbprint, --stp	Use com autenticação x509_thumbprint para fornecer as impressões digitais do certificado primário e secundário para seu dispositivo. Omita se quiser que o Hub IoT gere um certificado autoassinado e use sua impressão digital.

Importante

A ID do dispositivo pode estar visível nos logs coletados para o atendimento ao cliente e à solução de problemas. Portanto, evite informações confidenciais ao nomear.

Recuperar cadeia de conexão de dispositivo

Para exemplos e cenários de teste, o método de conexão mais comum é usar a autenticação de chave simétrica e conectar-se com uma cadeia de conexão de dispositivo. Uma cadeia de conexão de dispositivo contém o nome do hub IoT, o nome do dispositivo e as informações de autenticação do dispositivo.

Para obter informações sobre outros métodos para conectar dispositivos, especialmente para autenticação X.509, consulte SDKs de dispositivo do Hub IoT do Azure.

Use as etapas a seguir para recuperar uma cadeia de conexão de dispositivo.

Portal do Azure

O portal do Azure fornece cadeias de conexão de dispositivo apenas para dispositivos que usam autenticação de chave simétrica.

1. No portal do Azure, navegue para o hub IoT.

2. Selecione Gerenciamento de dispositivo>Dispositivos.

3. Selecione seu dispositivo na lista no painel Dispositivos.

4. Copie o valor da cadeia de conexão primária.

   

   Por padrão, as chaves e as cadeias de conexão são mascaradas, pois são informações confidenciais. Se você clicar no ícone de olho, eles serão revelados. Não é necessário revelá-los para que eles sejam copiados com o botão de cópia.

CLI do Azure

Use o comando az iot hub device-identity connection-string show para recuperar uma cadeia de conexão de um dispositivo. Por exemplo:

az iot hub device-identity connection-string show --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Dispositivos com autenticação de chave simétrica têm uma cadeia de conexão de dispositivo com o seguinte padrão:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

Dispositivos com autenticação X.509, autoassinada ou assinada por autoridade de certificação, geralmente não usam cadeias de conexão de dispositivo para autenticação. Quando eles usam, as cadeias de conexão assumem o seguinte padrão:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Desabilitar ou excluir um dispositivo

Para manter um dispositivo no registro de identidade do hub IoT, mas impedir que ele se conecte, altere o status dele para desabilitado.

Portal do Azure

1. No portal do Azure, navegue para o hub IoT.

2. Selecione Gerenciamento de dispositivo>Dispositivos.

3. Selecione seu dispositivo na lista no painel Dispositivos.

4. Na página de detalhes do dispositivo, você pode desabilitar ou excluir o registro do dispositivo.

   • Para impedir que um dispositivo se conecte, defina o parâmetro Habilitar conexão com o Hub IoT como Desabilitar.

     

   • Para remover completamente um dispositivo de registro de identidade do hub IoT, selecione Excluir.

     

CLI do Azure

Para desabilitar um dispositivo, use o comando az iot hub device-identity update e altere o status do dispositivo. Por exemplo:

az iot hub device-identity update --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME> --set status=disabled

Para excluir um dispositivo, use o comando az iot hub device-identity delete. Por exemplo:

az iot hub device-identity delete --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Outras ferramentas para gerenciar identidades de dispositivo

Você pode usar outras ferramentas ou interfaces para gerenciar o registro de identidade do Hub IoT, incluindo:

• Comandos do PowerShell: consulte o comando Az.IotHub para saber como gerenciar identidades do dispositivo.

• Visual Studio Code: a extensão do Hub IoT do Azure para Visual Studio Code inclui recursos de registro de identidade.

• API REST: consulte as APIs do Serviço do Hub IoT para saber como gerenciar identidades do dispositivo.