Criar e gerenciar identidades de dispositivo

Crie uma identidade de dispositivo para que seu dispositivo se conecte ao Hub IoT do Azure. Este artigo apresenta as principais tarefas para gerenciar uma identidade de dispositivo, incluindo registrar o dispositivo, coletar suas informações de conexão e, em seguida, excluir ou desabilitar um dispositivo no final de seu ciclo de vida.

Pré-requisitos

• Um hub IoT em sua assinatura. Se você não tiver um hub IoT, siga as etapas em Criar um hub IoT.

• Dependendo da ferramenta usada, tenha acesso ao portal do Azure ou instale a CLI do Azure.

• Se seu hub IoT for gerenciado com RBAC (controle de acesso baseado em função), você precisará de permissões de Leitura/Gravação/Exclusão de Dispositivo/Módulo para as etapas neste artigo. Essas permissões estão incluídas na função de Colaborador do Registro do Hub IoT.

Registar um dispositivo

Nesta seção, você cria uma identidade de dispositivo no registro de identidade em seu hub IoT. Um dispositivo não pode se conectar a um hub a menos que tenha uma identidade de dispositivo.

O registo de identidade do Hub IoT apenas armazena identidades de dispositivos para permitir um acesso seguro ao Hub IoT. Armazena os IDs do dispositivo e as chaves a utilizar como credenciais de segurança e um sinalizador ativado/desativado que pode utilizar para desativar o acesso de um dispositivo individual.

Ao registrar um dispositivo, você escolhe seu método de autenticação. O Hub IoT suporta três métodos para autenticação de dispositivos:

• Chave - simétrica Esta opção é mais fácil para cenários de início rápido.

  Ao registrar um dispositivo, você pode fornecer chaves ou o Hub IoT gerará chaves para você. Tanto o dispositivo quanto o hub IoT têm uma cópia da chave simétrica que pode ser comparada quando o dispositivo se conecta.

• X.509 auto-assinado

  Se o seu dispositivo tiver um certificado X.509 autoassinado, você precisará fornecer ao Hub IoT uma versão do certificado para autenticação. Ao registrar um dispositivo, você carrega uma impressão digital do certificado, que é um hash do certificado X.509 do dispositivo. Quando o dispositivo se conecta, ele apresenta seu certificado e o hub IoT pode validá-lo em relação ao hash que conhece. Para obter mais informações, consulte Autenticar identidades com certificados X.509.

• X.509 CA assinada - Esta opção é recomendada para cenários de produção.

  Se o dispositivo tiver um certificado X.509 assinado por CA, carregue um certificado de autoridade de certificação (CA) raiz ou intermediária na cadeia de assinatura para o Hub IoT antes de registrar o dispositivo. O dispositivo tem um certificado X.509 com a CA X.509 verificada em sua cadeia de confiança de certificados. Quando o dispositivo se conecta, ele apresenta sua cadeia de certificados completa e o hub IoT pode validá-lo porque conhece a CA X.509. Vários dispositivos podem ser autenticados na mesma autoridade de certificação X.509 verificada. Para obter mais informações, consulte Autenticar identidades com certificados X.509.

Preparar certificados

Se estiver a utilizar um dos métodos de autenticação de certificados X.509, certifique-se de que os certificados estão prontos antes de registar um dispositivo:

• Para certificados assinados por CA, o tutorial Criar e carregar certificados para teste fornece uma boa introdução sobre como criar certificados assinados por CA e carregá-los no Hub IoT. Depois de concluir esse tutorial, você estará pronto para registrar um dispositivo com autenticação assinada pela CA X.509.

• Para certificados autoassinados, você precisa de dois certificados de dispositivo (um certificado primário e um secundário) no dispositivo e impressões digitais para que ambos sejam carregados no Hub IoT. Uma maneira de recuperar a impressão digital de um certificado é com o seguinte comando OpenSSL:

  openssl x509 -in <certificate filename>.pem -text -fingerprint
  

Adicionar um dispositivo

Criar uma identidade de dispositivo no seu IoT Hub.

Portal do Azure

1. No Portal do Azure, navegue para o seu hub IoT.

2. Selecione Dispositivos de gerenciamento de>dispositivos.

3. Selecione Adicionar dispositivo para adicionar um dispositivo ao seu hub IoT.

   

4. Em Criar um dispositivo, forneça as informações para a nova identidade do dispositivo:

   Parâmetro	Parâmetro dependente	Value
   ID do Dispositivo		Forneça um nome para o seu novo dispositivo.
   Tipo de autenticação		Selecione Chave simétrica, X.509 autoassinada ou X.509 CA assinada.
   	Gerar chaves automaticamente	Para autenticação de chave simétrica, marque esta caixa para que o Hub IoT gere chaves para seu dispositivo. Ou desmarque esta caixa e forneça chaves primárias e secundárias para o seu dispositivo.
   	Impressão digital primária e impressão digital secundária	Para autenticação autoassinada X.509, forneça o hash de impressão digital dos certificados primário e secundário do dispositivo.

   Importante

   O ID do dispositivo poderá estar visível nos registos recolhidos para suporte técnico ao cliente e resolução de problemas, pelo que deve evitar incluir informações confidenciais quando lhe der um nome.

5. Selecione Guardar.

CLI do Azure

Use o comando az iot hub device-identity create para registrar um dispositivo.

A tabela a seguir descreve os parâmetros comuns usados com esse comando.

Parâmetro	Parâmetro dependente	Value
--device-id, -d		Forneça um nome para o seu novo dispositivo.
--hub-name, -h		Nome do hub IoT ou nome do host.
--auth-method, --am		Ou shared_private_key, x509_ca, ou x509_thumbprint
	--primary-key--secondary-keye --pk ,--sk	Use com shared_private_key autenticação se quiser fornecer as chaves primária e secundária para o seu dispositivo. Omita se quiser que o Hub IoT gere as chaves.
	--primary-thumbprint--secondary-thumbprinte --ptp ,--stp	Use com x509_thumbprint autenticação para fornecer as impressões digitais de certificado primário e secundário para seu dispositivo. Omita se quiser que o Hub IoT gere um certificado autoassinado e use sua impressão digital.

Importante

O ID do dispositivo poderá estar visível nos registos recolhidos para suporte técnico ao cliente e resolução de problemas, pelo que deve evitar incluir informações confidenciais quando lhe der um nome.

Obter a cadeia de ligação do dispositivo

Para exemplos e cenários de teste, o método de conexão mais comum é usar a autenticação de chave simétrica e conectar-se a uma cadeia de conexão de dispositivo. Uma cadeia de conexão de dispositivo contém o nome do hub IoT, o nome do dispositivo e as informações de autenticação do dispositivo.

Para obter informações sobre outros métodos para conectar dispositivos, particularmente para autenticação X.509, consulte os SDKs de dispositivo do Hub IoT do Azure.

Use as etapas a seguir para recuperar uma cadeia de conexão de dispositivo.

Portal do Azure

O portal do Azure fornece cadeias de conexão de dispositivo somente para dispositivos que usam autenticação de chave simétrica.

1. No Portal do Azure, navegue para o seu hub IoT.

2. Selecione Dispositivos de gerenciamento de>dispositivos.

3. Selecione seu dispositivo na lista no painel Dispositivos .

4. Copie o valor de Cadeia de conexão primária.

   

   Por padrão, as chaves e cadeias de conexão são mascaradas porque são informações confidenciais. Se você clicar no ícone de olho, eles serão revelados. Não é necessário revelá-los para copiá-los com o botão de cópia.

CLI do Azure

Use o comando az iot hub device-identity connection-string show para recuperar a cadeia de conexão de um dispositivo. Por exemplo:

az iot hub device-identity connection-string show --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Os dispositivos com autenticação de chave simétrica têm uma cadeia de conexão de dispositivo com o seguinte padrão:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

Dispositivos com autenticação X.509, autoassinada ou assinada por CA, geralmente não usam cadeias de conexão de dispositivo para autenticação. Quando o fazem, suas cadeias de conexão adotam o seguinte padrão:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Desativar ou excluir um dispositivo

Se você quiser manter um dispositivo no registro de identidade do seu hub IoT, mas quiser impedir que ele se conecte, altere seu status para desativado.

Portal do Azure

1. No Portal do Azure, navegue para o seu hub IoT.

2. Selecione Dispositivos de gerenciamento de>dispositivos.

3. Selecione seu dispositivo na lista no painel Dispositivos .

4. Na página de detalhes do dispositivo, você pode desativar ou excluir o registro do dispositivo.

   • Para impedir que um dispositivo se conecte, defina o parâmetro Habilitar conexão para o Hub IoT como Desabilitar.

   • Para remover completamente um dispositivo do registro de identidade do hub IoT, selecione Excluir.

CLI do Azure

Para desativar um dispositivo, use o comando az iot hub device-identity update e altere o status do dispositivo. Por exemplo:

az iot hub device-identity update --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME> --set status=disabled

Para excluir um dispositivo, use o comando az iot hub device-identity delete . Por exemplo:

az iot hub device-identity delete --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Outras ferramentas para gerenciar identidades de dispositivos

Você pode usar outras ferramentas ou interfaces para gerenciar o registro de identidade do Hub IoT, incluindo:

• Comandos do PowerShell: consulte o conjunto de comandos Az.IotHub para saber como gerenciar identidades de dispositivo.

• Visual Studio Code: A extensão do Hub IoT do Azure para Visual Studio Code inclui recursos de registro de identidade.

• API REST: consulte as APIs do Serviço de Hub IoT para saber como gerenciar identidades de dispositivo.