Compartilhar via


Criar e gerenciar identidades de dispositivo

Crie uma identidade do dispositivo para que ele se conecte ao Hub IoT do Azure. Este artigo apresenta as principais tarefas para gerenciar uma identidade do dispositivo, incluindo registrar o dispositivo, coletar suas informações de conexão e, em seguida, excluir ou desabilitar um dispositivo no final de seu ciclo de vida.

Pré-requisitos

  • Um Hub IoT na assinatura do Azure. Caso você ainda não tenha um hub, poderá seguir as etapas em Criar um hub IoT.

  • Dependendo de qual ferramenta você usar, acesse o portal do Azure ou instale a CLI do Azure.

  • Se o hub IoT for gerenciado com controle de acesso baseado em função (RBAC), você precisará de permissões de Leitura/gravação/excluir dispositivo/módulo para as etapas neste artigo. Essas permissões são incluídas na função Colaborador do Registro do Hub IoT.

Preparar certificados

Os dispositivos usam dois tipos diferentes de certificados para se conectar ao Hub IoT. Ao preparar seu dispositivo, verifique se você criou e adicionou todos os certificados corretos ao dispositivo antes de se conectar.

  • Certificados raiz públicos: todos os dispositivos precisam ter uma cópia dos certificados raiz públicos que o Hub IoT, o IoT Central e o Serviço de Provisionamento de Dispositivos usam para autorizar as conexões.
  • Certificados de autenticação: os certificados X.509 são o método recomendado para autenticar uma identidade do dispositivo.

Certificados raiz públicos necessários

Os dispositivos da Internet das Coisas do Azure usam o TLS para verificar a autenticidade do hub IoT ou do ponto de extremidade do DPS ao qual estão se conectando. Cada dispositivo precisa ter uma cópia do certificado raiz usado pelo Hub IoT e pelo DPS. Recomendamos que todos os dispositivos incluam as seguintes ACs raiz no repositório de certificados confiáveis:

  • AC raiz do DigiCert Global G2
  • AC raiz do Microsoft RSA 2017

Para obter mais informações sobre as práticas de certificado recomendadas do Hub IoT, consulte o suporte do TLS.

Certificados de autenticação

Se você usar a autenticação de certificado X.509 para seus dispositivos, verifique se os certificados estão prontos antes de registrar um dispositivo:

  • Para certificados assinados por autoridade de certificação, o tutorial Criar e carregar certificados para teste fornece uma boa introdução para criar certificados assinados por autoridade de certificação e carregá-los no Hub IoT. Depois de concluir esse tutorial, você estará pronto para registrar um dispositivo com autenticação X.509 assinada por autoridade de certificação.

  • Para certificados autoassinados, você precisa de dois certificados de dispositivo (um certificado primário e um secundário) no dispositivo e impressões digitais para carregar ambos no Hub IoT. Uma maneira de recuperar a impressão digital de um certificado é com o seguinte comando OpenSSL:

    openssl x509 -in <certificate filename>.pem -text -fingerprint
    

Registrar um dispositivo

Nesta seção, você criará uma identidade do dispositivo no registro de identidade no hub IoT. Um dispositivo não pode se conectar a um hub a menos que ele tenha uma identidade do dispositivo.

O Registro de identidade do Hub IoT armazena apenas as identidades de dispositivo para habilitar o acesso seguro ao Hub IoT. Ele armazena as IDs e as chaves do dispositivo a usar como credenciais de segurança e um sinalizador habilitado/desabilitado que você poderá usar para desabilitar o acesso de um dispositivo individual.

Ao registrar um dispositivo, você escolhe seu método de autenticação. O Hub IoT dá suporte a três métodos para autenticação de dispositivo:

  • Chave simétrica - Essa opção é a mais fácil para cenários de início rápido.

    Ao registrar um dispositivo, você pode fornecer chaves ou o Hub IoT gerará chaves para você. O dispositivo e o hub IoT têm uma cópia da chave simétrica que pode ser comparada quando o dispositivo se conecta.

  • X.509 autoassinado

    Se o dispositivo tiver um certificado X.509 autoassinado, você precisará fornecer ao Hub IoT uma versão do certificado para autenticação. Ao registrar um dispositivo, você carrega uma impressão digital do certificado, que é um hash do certificado X.509 do dispositivo. Quando o dispositivo se conecta, ele apresenta seu certificado e o hub IoT pode validá-lo em relação ao hash que ele conhece. Para obter mais informações, consulte Autenticar identidades com certificados X.509.

  • X.509 assinado por autoridade de certificação - Essa opção é recomendada para cenários de produção.

    Se o dispositivo tiver um certificado X.509 assinado por autoridade de certificação, carregue um certificado de autoridade de certificação raiz ou intermediária na cadeia de assinatura no Hub IoT antes de registrar o dispositivo. O dispositivo tem um certificado X.509 com a autoridade de certificação X.509 verificada em sua cadeia de certificados de confiança. Quando o dispositivo se conecta, ele apresenta sua cadeia de certificados completa e o hub IoT pode validá-lo porque ele conhece a autoridade de certificação X.509. Vários dispositivos podem se autenticar na mesma autoridade de certificação X.509 verificada. Para obter mais informações, consulte Autenticar identidades com certificados X.509.

Adicionar um dispositivo

Crie uma identidade de dispositivo em seu hub IoT.

  1. No portal do Azure, navegue para o hub IoT.

  2. Selecione Gerenciamento de dispositivo>Dispositivos.

  3. Selecione Adicionar Dispositivo para adicionar um dispositivo ao hub IoT.

    Captura de tela que mostra como adicionar um novo dispositivo no portal do Azure.

  4. Em Criar um dispositivo, forneça as informações para sua nova identidade do dispositivo:

    Parâmetro Parâmetro dependente Valor
    ID do Dispositivo Forneça um nome para o novo dispositivo.
    Tipo de autenticação Selecione Chave simétrica, X.509 autoassinado ou X.509 assinado por autoridade de certificação.
    Gerar chaves automaticamente Para a autenticação de Chave simétrica, marque essa caixa para que o Hub IoT gere chaves para seu dispositivo. Ou desmarque essa caixa e forneça chaves primárias e secundárias para seu dispositivo.
    Impressão digital primária e Impressão digital secundária Para a autenticação X.509 autoassinada, forneça o hash de impressão digital para os certificados primários e secundários do dispositivo.

    Importante

    A ID do dispositivo pode estar visível nos logs coletados para o atendimento ao cliente e à solução de problemas. Portanto, evite informações confidenciais ao nomear.

  5. Selecione Salvar.

Recuperar cadeia de conexão de dispositivo

Para exemplos e cenários de teste, o método de conexão mais comum é usar a autenticação de chave simétrica e conectar-se com uma cadeia de conexão de dispositivo. Uma cadeia de conexão de dispositivo contém o nome do hub IoT, o nome do dispositivo e as informações de autenticação do dispositivo.

Para obter informações sobre outros métodos para conectar dispositivos, especialmente para autenticação X.509, consulte SDKs de dispositivo do Hub IoT do Azure.

Use as etapas a seguir para recuperar uma cadeia de conexão de dispositivo.

O portal do Azure fornece cadeias de conexão de dispositivo apenas para dispositivos que usam autenticação de chave simétrica.

  1. No portal do Azure, navegue para o hub IoT.

  2. Selecione Gerenciamento de dispositivo>Dispositivos.

  3. Selecione seu dispositivo na lista no painel Dispositivos.

  4. Copie o valor da cadeia de conexão primária.

    Captura de tela que mostra a cópia do valor da cadeia de conexão primária do portal do Azure.

    Por padrão, as chaves e as cadeias de conexão são mascaradas, pois são informações confidenciais. Se você clicar no ícone de olho, eles serão revelados. Não é necessário revelá-los para que eles sejam copiados com o botão de cópia.

Dispositivos com autenticação de chave simétrica têm uma cadeia de conexão de dispositivo com o seguinte padrão:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

Dispositivos com autenticação X.509, autoassinada ou assinada por autoridade de certificação, geralmente não usam cadeias de conexão de dispositivo para autenticação. Quando eles usam, as cadeias de conexão assumem o seguinte padrão:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Desabilitar ou excluir um dispositivo

Para manter um dispositivo no registro de identidade do hub IoT, mas impedir que ele se conecte, altere o status dele para desabilitado.

  1. No portal do Azure, navegue para o hub IoT.

  2. Selecione Gerenciamento de dispositivo>Dispositivos.

  3. Selecione seu dispositivo na lista no painel Dispositivos.

  4. Na página de detalhes do dispositivo, você pode desabilitar ou excluir o registro do dispositivo.

    • Para impedir que um dispositivo se conecte, defina o parâmetro Habilitar conexão com o Hub IoT como Desabilitar.

      Captura de tela que mostra a desabilitação de um dispositivo no portal do Azure.

    • Para remover completamente um dispositivo de registro de identidade do hub IoT, selecione Excluir.

      Captura de tela que mostra a exclusão de um dispositivo no portal do Azure.

Outras ferramentas para gerenciar identidades de dispositivo

Você pode usar outras ferramentas ou interfaces para gerenciar o registro de identidade do Hub IoT, incluindo: