Conceitos de autenticação de dispositivos em IoT Central

Este artigo descreve como os dispositivos autenticam uma aplicação IoT Central. Para saber mais sobre o processo de ligação geral, consulte Ligar um dispositivo.

Os dispositivos autenticam-se com a aplicação IoT Central utilizando um token de assinatura de acesso partilhado (SAS) ou um certificado X.509. Os certificados X.509 são recomendados em ambientes de produção.

Utiliza grupos de inscrição para gerir as opções de autenticação do dispositivo na sua aplicação IoT Central.

Este artigo descreve as seguintes opções de autenticação do dispositivo:

Grupo de inscrições X.509

Num ambiente de produção, a utilização de certificados X.509 é o mecanismo de autenticação recomendado para a IoT Central. Para saber mais, consulte a autenticação do dispositivo utilizando certificados X.509 CA.

Um grupo de matrículas X.509 contém um certificado X.509 raiz ou intermédio. Os dispositivos podem autenticar se tiverem um certificado de folha válido derivado da raiz ou certificado intermédio.

Para ligar um dispositivo com um certificado X.509 à sua aplicação:

  1. Crie um grupo de inscrições que utilize o tipo de atestado certificados (X.509).
  2. Adicione e verifique um certificado X.509 intermédio ou raiz no grupo de inscrição.
  3. Gere um certificado de folha a partir da raiz ou certificado intermédio no grupo de inscrição. Instale o certificado de folha no dispositivo para que possa ser utilizado quando se ligar à sua aplicação.

Para saber mais, consulte Como ligar dispositivos com certificados X.509

Apenas para fins de teste

Em ambiente de produção, utilize certificados do seu fornecedor de certificados. Apenas para testes, pode utilizar os seguintes utilitários para gerar certificados de raiz, intermédio e dispositivo:

Grupo de inscrições SAS

Um grupo de inscrições SAS contém chaves SAS de nível de grupo. Os dispositivos podem autenticar se tiverem um token SAS válido que seja derivado de uma chave SAS de nível de grupo.

Para ligar um dispositivo com o dispositivo SAS token à sua aplicação:

  1. Crie um grupo de inscrições que utilize o tipo de atestado de Assinatura de Acesso Partilhado (SAS ).

  2. Copie a chave primária ou secundária do grupo de inscrição.

  3. Utilize o CLI Azure para gerar um símbolo do dispositivo a partir da chave do grupo:

    az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
    
  4. Utilize o token do dispositivo gerado quando o dispositivo se ligar à sua aplicação IoT Central.

Nota

Para utilizar as teclas SAS existentes nos seus grupos de inscrição, desative as teclas de utilização automática e introduza manualmente as suas teclas SAS.

Se utilizar o grupo de inscrição padrão SAS-IoT-Devices , o IoT Central gera as teclas individuais do dispositivo para si. Para aceder a estas teclas, selecione Connect na página de detalhes do dispositivo. Esta página apresenta o ID Scope, Device ID, Primary key e Secondary key que utiliza no código do dispositivo. Esta página também apresenta um código QR que contém os mesmos dados.

Inscrição individual

Normalmente, os dispositivos ligam-se utilizando credenciais derivadas de um certificado X.509 do grupo de matrícula ou da chave SAS. No entanto, se cada um dos seus dispositivos tiver as suas credenciais, pode utilizar as inscrições individuais. Uma inscrição individual é uma entrada para um único dispositivo que é permitido ligar. As inscrições individuais podem usar certificados de folha X.509 ou fichas SAS (a partir de um módulo de plataforma de confiança física ou virtual) como mecanismos de atestação. Para mais informações, consulte a inscrição individual do DPS.

Nota

Quando cria uma inscrição individual para um dispositivo, tem precedência sobre as opções de grupo de inscrição predefinida na sua aplicação IoT Central.

Criar inscrições individuais

A IoT Central apoia os seguintes mecanismos de atestação para as matrículas individuais:

  • Atestado de chave simétrica: A tecla de teclas simétricas é uma abordagem simples para autenticar um dispositivo com a instância DPS. Para criar uma inscrição individual que utilize chaves simétricas, abra a página de ligação do Dispositivo para o dispositivo, selecione a inscrição individual como tipo de autenticação e assinatura de acesso partilhado (SAS) como método de autenticação. Introduza as teclas primárias e secundárias codificadas de base64 e guarde as suas alterações. Utilize o âmbito de identificação, o ID do dispositivo e a chave primária ou secundária para ligar o dispositivo.

    Dica

    Para testes, pode utilizar o OpenSSL para gerar chaves codificadas base64: openssl rand -base64 64

  • Certificados X.509: Para criar uma inscrição individual com certificados X.509, abra a página de Ligação do Dispositivo , selecione a inscrição individual como tipo de autenticação e Certificados (X.509) como método de autenticação. Os certificados do dispositivo utilizados com uma entrada individual de inscrição têm a obrigação de que o emitente e o assunto CN estejam definidos para o ID do dispositivo.

    Dica

    Para testes, pode utilizar ferramentas para o dispositivo de provisionamento do dispositivo Azure IoT SDK para Node.js para gerar um certificado auto-assinado: node create_test_cert.js device "mytestdevice"

  • Atestado de Módulo de Plataforma Fidedigna (TPM): Um TPM é um tipo de módulo de segurança de hardware. A utilização de um TPM é uma das formas mais seguras de ligar um dispositivo. Este artigo pressupõe que está a usar um TPM discreto, firmware ou integrado. Os TPMs emulados por software são adequados para prototipagem ou teste, mas não fornecem o mesmo nível de segurança que tPMs discretos, firmware ou TPMs integrados. Não utilize TPMs de software em produção. Para criar uma inscrição individual que utilize um TPM, abra a página De Ligação do Dispositivo , selecione a inscrição individual como tipo de autenticação e TPM como método de autenticação. Introduza a chave de endosso TPM e guarde as informações de ligação do dispositivo.

Registar automaticamente dispositivos

Este cenário permite que os OEMs fabricem dispositivos de fabrico em massa que se podem ligar sem primeiro serem registados numa aplicação. Um OEM gera credenciais adequadas para dispositivos e configura os dispositivos na fábrica.

Para registar automaticamente os dispositivos que utilizam certificados X.509:

  1. Gere os certificados de folha para os seus dispositivos utilizando o certificado raiz ou intermédio que adicionou ao seu grupo de matrículas X.509. Utilize as identificações do dispositivo como certificados CNAME de folha. Uma identificação do dispositivo pode conter letras, números e o - caráter.

  2. Como um OEM, flash cada dispositivo com um ID do dispositivo, um certificado de folha X.509 gerado e o valor de alcance de identificação da aplicação. O código do dispositivo também deve enviar o ID do modelo do dispositivo que implementa.

  3. Quando liga um dispositivo, liga-se primeiro ao DPS para recuperar as informações de ligação IoT Central.

  4. O dispositivo utiliza as informações do DPS para ligar e registar-se com a sua aplicação IoT Central.

  5. A aplicação IoT Central utiliza o ID modelo enviado pelo dispositivo para atribuir o dispositivo registado a um modelo de dispositivo.

Para registar automaticamente os dispositivos que utilizam fichas SAS:

  1. Copie a chave primária do grupo do grupo de inscrição SAS-IoT-Devices :

    Group primary key from S A S - I o T - Devices enrollment group.

  2. Utilize o az iot central device compute-device-key comando para gerar as teclas SAS do dispositivo. Utilize a chave primária do grupo a partir do passo anterior. O ID do dispositivo pode conter letras, números e o - caráter:

    az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
    
  3. Como OEM, flash cada dispositivo com o ID do dispositivo, a chave SAS do dispositivo gerado e o valor de alcance de identificação da aplicação. O código do dispositivo também deve enviar o ID do modelo do dispositivo que implementa.

  4. Quando liga um dispositivo, liga-se primeiro ao DPS para recuperar as informações de registo da IoT Central.

  5. O dispositivo utiliza as informações do DPS para ligar e registar-se com a sua aplicação IoT Central.

  6. A aplicação IoT Central utiliza o ID modelo enviado pelo dispositivo para atribuir o dispositivo registado a um modelo de dispositivo.

Passos seguintes

Alguns dos próximos passos sugeridos são: