Métodos de autenticação do agente de segurança
Este artigo explica os diferentes métodos de autenticação que pode utilizar com o agente do AzureIoTSecurity para autenticar com o Hub IoT.
Para cada dispositivo integrado no Defender para IoT na Hub IoT, é necessário um defender-IoT-micro-agente. Para autenticar o dispositivo, o Defender para IoT pode utilizar um de dois métodos. Escolha o método que funciona melhor para a sua solução de IoT existente.
- Opção SecurityModule
- Opção dispositivo
Métodos de autenticação
Os dois métodos para o agente do AzureIoTSecurity do Defender para IoT efetuar a autenticação:
Modo de autenticação defender-IoT-micro-agente
O agente é autenticado com a identidade defender-IoT-micro-agent independentemente da identidade do dispositivo. Utilize este tipo de autenticação se quiser que o agente de segurança utilize um método de autenticação dedicado através do Defender-IoT-micro-agent (apenas chave simétrica).Modo de autenticação do dispositivo
Neste método, o agente de segurança autentica-se primeiro com a identidade do dispositivo. Após a autenticação inicial, o agente do Defender para IoT efetua uma chamada REST para o Hub IoT através da API REST com os dados de autenticação do dispositivo. Em seguida, o agente do Defender para IoT pede o método de autenticação defender-IoT-micro-agente e os dados do Hub IoT. No passo final, o agente do Defender para IoT efetua uma autenticação no módulo Defender para IoT.
Utilize este tipo de autenticação se quiser que o agente de segurança reutilize um método de autenticação de dispositivo existente (certificado autoassinado ou chave simétrica).
Veja Parâmetros de instalação do agente de segurança para saber como configurar.
Limitações conhecidas dos métodos de autenticação
- O modo de autenticação SecurityModule só suporta a autenticação de chave simétrica.
- CA-Signed certificado não é suportado pelo Modo de autenticação do dispositivo .
Parâmetros de instalação do agente de segurança
Ao implementar um agente de segurança, os detalhes de autenticação têm de ser fornecidos como argumentos. Estes argumentos estão documentados na tabela seguinte.
| Nome do Parâmetro do Linux | Nome do Parâmetro do Windows | Parâmetro Abreviado | Descrição | Opções |
|---|---|---|---|---|
| authentication-identity | AuthenticationIdentity | aui | Identidade de autenticação | SecurityModule ou Dispositivo |
| authentication-method | AuthenticationMethod | aum | Método de autenticação | SymmetricKey ou SelfSignedCertificate |
| caminho do ficheiro | FilePath | f | Caminho completo absoluto para o ficheiro que contém o certificado ou a chave simétrica | |
| host-name | Nome do Anfitrião | hn | FQDN do Hub IoT | Exemplo: ContosoIotHub.azure-devices.net |
| device-id | DeviceId | di | ID do Dispositivo | Exemplo: MyDevice1 |
| certificate-location-kind | CertificateLocationKind | cl | Localização do armazenamento de certificados | LocalFile ou Loja |
Ao utilizar o script do agente de segurança de instalação, a seguinte configuração é executada automaticamente. Para editar manualmente a autenticação do agente de segurança, edite o ficheiro de configuração.
Alterar o método de autenticação após a implementação
Ao implementar um agente de segurança com um script de instalação, é criado automaticamente um ficheiro de configuração.
Para alterar os métodos de autenticação após a implementação, é necessária a edição manual do ficheiro de configuração.
Agente de segurança baseado em C#
EditeAuthentication.config com os seguintes parâmetros:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
Agente de segurança baseado em C
Edite LocalConfiguration.json com os seguintes parâmetros:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}