IoT Central'da cihaz kimlik doğrulaması kavramları

Bu makalede cihazların ioT Central uygulamasında nasıl kimlik doğrulaması oluşturduğunuzda açıklanmaktadır. Genel bağlantı işlemi hakkında daha fazla bilgi edinmek için bkz. Cihazlar nasıl bağlanır?

Cihazlar , paylaşılan erişim imzası (SAS) belirteci veya X.509 sertifikası kullanarak IoT Central uygulamasıyla kimlik doğrulaması yapar. X.509 sertifikaları üretim ortamlarında önerilir.

IoT Central uygulamanızdaki cihaz kimlik doğrulama seçeneklerini yönetmek için kayıt gruplarını kullanırsınız.

Bu makalede aşağıdaki cihaz kimlik doğrulaması seçenekleri açıklanmaktadır:

• X.509 kayıt grubu
• SAS kayıt grubu
• Bireysel kayıt

Bu kimlik doğrulama seçeneklerinin her biri, her cihazın benzersiz bir cihaz kimliğine sahip olmasını gerektirir. Cihaz kimliği, IoT Central uygulamanızda cihazı yönetmek için kullandığınız cihaz için benzersiz bir tanımlayıcıdır.

X.509 kayıt grubu

Üretim ortamında, IoT Central için önerilen cihaz kimlik doğrulama mekanizması X.509 sertifikalarını kullanmaktır. Daha fazla bilgi için bkz. X.509 sertifikalarıyla kimlik doğrulaması.

X.509 kayıt grubu kök veya ara X.509 sertifikası içerir. Cihazlar kök veya ara sertifikadan türetilmiş geçerli bir yaprak sertifikaya sahipse kimlik doğrulaması yapabilir.

X.509 sertifikasına sahip bir cihazı uygulamanıza bağlamak için:

1. Sertifikalar (X.509) kanıtlama türünü kullanan bir kayıt grubu oluşturun.
2. Kayıt grubuna ara veya kök X.509 sertifikası ekleyin ve doğrulayın.
3. Kayıt grubundaki kök veya ara sertifikadan yaprak sertifika oluşturun. Uygulamanıza bağlanırken kullanabilmesi için yaprak sertifikayı cihaza yükleyin.

Her kayıt grubu benzersiz bir X.509 sertifikası kullanmalıdır. IoT Central, birden çok kayıt grubunda aynı X.509 sertifikasının kullanılmasını desteklemez.

Daha fazla bilgi edinmek için bkz. X.509 sertifikalarına sahip cihazları IoT Central Uygulamasına bağlama.

Yalnızca test amacıyla

Üretim ortamında, sertifika sağlayıcınızdan gelen sertifikaları kullanın. Yalnızca test etmek için kök, ara ve cihaz sertifikaları oluşturmak için aşağıdaki yardımcı programları kullanabilirsiniz:

• Node.jsiçin Azure IoT Cihaz Sağlama Cihazı SDK'sı araçları: X.509 sertifikalarını ve anahtarlarını oluşturmak ve doğrulamak için kullanabileceğiniz Node.js araçlar koleksiyonu.
• Örnekler ve öğreticiler için test CA sertifikalarını yönetme: PowerShell ve Bash betiklerinden oluşan bir koleksiyon:
  • Bir sertifika zinciri oluşturun.
  • Sertifikaları IoT Central uygulamanıza yüklemek için .cer dosyaları olarak kaydedin.
  • Doğrulama sertifikasını oluşturmak için IoT Central uygulamasındaki doğrulama kodunu kullanın.
  • Cihaz kimliklerinizi araç parametresi olarak kullanarak cihazlarınız için yaprak sertifikalar oluşturun.

SAS kayıt grubu

SAS kayıt grubu grup düzeyinde SAS anahtarları içerir. Cihazlar, grup düzeyinde sas anahtarından türetilmiş geçerli bir SAS belirtecine sahipse kimlik doğrulaması yapabilir.

Cihaz SAS belirteciyle bir cihazı uygulamanıza bağlamak için:

1. Paylaşılan Erişim İmzası (SAS) kanıtlama türünü kullanan bir kayıt grubu oluşturun.

2. Kayıt grubundan grup birincil veya ikincil anahtarını kopyalayın.

3. Grup anahtarından bir cihaz belirteci oluşturmak için Azure CLI'yi kullanın:

   az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
   

   İpucu

   IoT Central uygulamanıza bağlanan her cihazın benzersiz bir cihaz kimliği olmalıdır. Önceki komut her cihaz için benzersiz bir belirteç oluşturur.

4. Cihaz IoT Central uygulamanıza bağlandığında oluşturulan cihaz belirtecini kullanın.

Not

Kayıt gruplarınızda var olan SAS anahtarlarını kullanmak için Anahtarları otomatik olarak oluştur ayar düğmesini devre dışı bırakın ve SAS anahtarlarınızı manuel olarak girin.

Varsayılan SAS-IoT-Devices kayıt grubunu kullanırsanız, IoT Central sizin için tek tek cihaz anahtarlarını oluşturur. Bu tuşlara erişmek için cihaz ayrıntıları sayfasında Bağlan'ı seçin. Bu sayfada, cihaz kodunuzda kullandığınız Kimlik Kapsamı, Cihaz Kimliği, Birincil anahtar ve İkincil anahtar görüntülenir. Bu sayfada aynı verileri içeren bir QR kodu da görüntülenir.

Bireysel kayıt

Cihazlar genellikle bir kayıt grubu X.509 sertifikasından veya SAS anahtarından türetilen kimlik bilgilerini kullanarak bağlanır. Ancak, cihazlarınızın her birinin kendi kimlik bilgileri varsa, bireysel kayıtları kullanabilirsiniz. Bireysel kayıt, tek bir cihazın bağlanmasına olanak sağlayan bir giriştir. Bireysel kayıtlar kanıtlama mekanizmaları olarak X.509 yaprak sertifikalarını veya SAS belirteçlerini (fiziksel veya sanal güvenilir platform modülünden) kullanabilir. Daha fazla bilgi için bkz. Bireysel kayıt.

Not

Bir cihaz için tek bir kayıt oluşturduğunuzda, ioT Central uygulamanızdaki varsayılan kayıt grubu seçeneklerinden önceliklidir.

Tek tek kayıtlar oluşturma

IoT Central, bireysel kayıtlar için aşağıdaki kanıtlama mekanizmalarını destekler:

• Simetrik anahtar kanıtlaması: Simetrik anahtar kanıtlama, DPS örneğiyle bir cihazın kimliğini doğrulamaya yönelik basit bir yaklaşımdır. Simetrik anahtarları kullanan tek bir kayıt oluşturmak için cihazın Cihaz bağlantısı sayfasını açın, kimlik doğrulama türü olarak Bireysel kayıt'ı ve kimlik doğrulama yöntemi olarak Paylaşılan erişim imzası (SAS) seçeneğini belirleyin. Base64 ile kodlanmış birincil ve ikincil anahtarları girin ve değişikliklerinizi kaydedin. Cihazınızı bağlamak için kimlik kapsamını, Cihaz Kimliğini ve birincil veya ikincil anahtarı kullanın.

  İpucu

  Test etmek için OpenSSL kullanarak base64 kodlanmış anahtarları oluşturabilirsiniz: openssl rand -base64 64

• X.509 sertifikaları: X.509 sertifikalarıyla tek bir kayıt oluşturmak için Cihaz Bağlantısı sayfasını açın, kimlik doğrulama türü olarak Bireysel kayıt'ı ve kimlik doğrulama yöntemi olarak Sertifikalar 'ı (X.509) seçin. Tek bir kayıt girişiyle kullanılan cihaz sertifikaları, verenin ve konu CN'sinin cihaz kimliğine ayarlanması gereksinimine sahiptir.

  İpucu

  Test için, otomatik olarak imzalanan bir sertifika oluşturmak üzere Node.jsiçin Azure IoT Cihaz Sağlama Cihaz SDK'sı araçlarını kullanabilirsiniz: node create_test_cert.js device "mytestdevice"

• Güvenilen Platform Modülü (TPM) kanıtlaması:TPM , bir donanım güvenlik modülü türüdür. TPM kullanmak, bir cihazı bağlamanın en güvenli yollarından biridir. Bu makalede ayrık, üretici yazılımı veya tümleşik TPM kullandığınız varsayılır. Yazılım öykünmüş TPM'ler prototip oluşturma veya test için çok uygundur, ancak ayrık, üretici yazılımı veya tümleşik TPM'lerle aynı güvenlik düzeyini sağlamaz. Üretimde yazılım TPM'lerini kullanmayın. TPM kullanan tek bir kayıt oluşturmak için Cihaz Bağlantısı sayfasını açın, kimlik doğrulama türü olarak Bireysel kayıt'ı ve kimlik doğrulama yöntemi olarak TPM'yi seçin. TPM onay anahtarını girin ve cihaz bağlantı bilgilerini kaydedin.

Cihazları otomatik olarak kaydetme

Bu senaryo, OEM'lerin ilk olarak bir uygulamaya kaydedilmeden bağlanabilen cihazları toplu olarak üretmesini sağlar. OEM uygun cihaz kimlik bilgileri oluşturur ve fabrikadaki cihazları yapılandırılır.

X.509 sertifikalarını kullanan cihazları otomatik olarak kaydetmek için:

1. X.509 kayıt grubunuz için eklediğiniz kök veya ara sertifikayı kullanarak cihazlarınız için yaprak sertifikalar oluşturun. Yaprak sertifikalarda cihaz kimliklerini olarak CNAME kullanın. Cihaz kimliği harf, sayı ve - karakter içerebilir.

2. OEM olarak her cihaza bir cihaz kimliği, oluşturulmuş bir X.509 yaprak sertifikası ve uygulama ID kapsam değeri yükleyin. Cihaz kodu, uyguladığı cihaz modelinin model kimliğini de göndermelidir.

3. Bir cihazı açtığınızda, ilk olarak IoT Central bağlantı bilgilerini almak için DPS'ye bağlanır.

4. Cihaz, IoT Central uygulamanıza bağlanmak ve bu uygulamaya kaydolmak için DPS'deki bilgileri kullanır.

5. IoT Central uygulaması, kayıtlı cihazı bir cihaz şablonuna atamak için cihaz tarafından gönderilen model kimliğini kullanır.

SAS belirteçleri kullanan cihazları otomatik olarak kaydetmek için:

1. SAS-IoT-Devices kayıt grubundan grup birincil anahtarını kopyalayın:

   

2. az iot central device compute-device-key Komutunu kullanarak cihaz SAS anahtarlarını oluşturun. Önceki adımdaki grup birincil anahtarını kullanın. Cihaz kimliği harf, sayı ve - karakter içerebilir:

   az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
   

3. OEM olarak her cihazı cihaz kimliği, oluşturulan cihaz SAS anahtarı ve uygulama kapsam kimliği değeriyle flaşlayın veya yükleyin. Cihaz kodu, uyguladığı cihaz modelinin model kimliğini de göndermelidir.

4. Bir cihazı açtığınızda, ioT Central kayıt bilgilerini almak için ilk olarak DPS'ye bağlanır.

5. Cihaz, IoT Central uygulamanıza bağlanmak ve bu uygulamaya kaydolmak için DPS'deki bilgileri kullanır.

6. IoT Central uygulaması, kayıtlı cihazı bir cihaz şablonuna atamak için cihaz tarafından gönderilen model kimliğini kullanır.

Sonraki adımlar

Önerilen bazı sonraki adımlar şunlardır:

• Cihaz geliştirmek için en iyi yöntemleri gözden geçirin.
• Öğretici: İstemci uygulaması oluşturma ve Azure IoT Central uygulamanıza bağlama konusunda SAS belirteçlerinin nasıl kullanılacağını gösteren bazı örnek kodları gözden geçirin
• X.509 sertifikalarına sahip cihazları IoT Central Uygulamasına bağlamayı öğrenin
• Azure CLI kullanarak cihaz bağlantısını izlemeyi öğrenin
• Azure IoT Edge cihazları ve Azure IoT Central hakkında bilgi edinin