Zrušení registrace nebo odvolání zařízení ze služby Azure IoT Hub Device Provisioning

  • Článek

Správná správa přihlašovacích údajů zařízení je zásadní pro systémy s vysokým profilem, jako jsou řešení IoT. Osvědčeným postupem pro takové systémy je mít jasný plán, jak odvolat přístup k zařízením při jejich přihlašovacích údajích, ať už může dojít k ohrožení zabezpečení tokenu sdíleného přístupového podpisu (SAS) nebo certifikátu X.509.

Registrace ve službě Device Provisioning umožňuje zřízení zařízení. Zřízené zařízení je zařízení zaregistrované ve službě IoT Hub, které umožňuje přijímat počáteční stav dvojčete zařízení a začít hlásit telemetrická data.

Tento článek popisuje, jak odvolat zařízení z instance služby zřizování a zabránit jejímu zřízení nebo opětovnému zřízení v budoucnu. Zakázání jednotlivé registrace nebo skupiny registrací neodebere existující registraci zařízení ze služby IoT Hub. Informace o tom, jak zrušit zřízení zařízení, které už bylo zřízeno pro centrum IoT, najdete v tématu Správa zrušení zřízení.

Zakázání zařízení pomocí jednotlivé registrace

Pokud chcete zakázat zřizování zařízení prostřednictvím služby Device Provisioning, můžete změnit stav zřizování jednotlivé registrace, aby se zabránilo zřízení a opětovnému zřízení zařízení. Tuto funkci můžete využít, pokud se zařízení chová mimo běžné parametry nebo se předpokládá, že je ohroženo, nebo jako způsob, jak otestovat mechanismus opakování zřizování vašich zařízení.

Pokud bylo zařízení, které chcete zakázat, zřízeno prostřednictvím skupiny registrací, přečtěte si postup , jak zakázat konkrétní zařízení ze skupiny registrací X.509.

Poznámka:

Mějte na paměti zásady opakování zařízení, pro která odvoláte přístup. Například zařízení, které má nekonečné zásady opakování, se může nepřetržitě pokoušet zaregistrovat ve službě zřizování. Tato situace spotřebovává prostředky služeb, jako jsou kvóty operací služby a mohou ovlivnit výkon.

  1. Přihlaste se k webu Azure Portal a přejděte k instanci služby Device Provisioning.

  2. Vyberte Spravovat registrace a pak vyberte kartu Jednotlivé registrace .

  3. Vyberte položku registrace zařízení, které chcete zakázat.

  4. Na stránce s podrobnostmi o registraci zrušte zaškrtnutí políčka Povolit tuto registraci v části Stav zřizování a pak vyberte Uložit.

    Snímek obrazovky znázorňující zakázání jednotlivé registrace na portálu

Pokud je zařízení IoT na konci životního cyklu zařízení a už by nemělo být povolené zřizovat řešení IoT, měla by se registrace zařízení odebrat ze služby Device Provisioning:

  1. Ve službě zřizování vyberte Spravovat registrace a pak vyberte kartu Jednotlivé registrace .

  2. Zaškrtněte políčko vedle položky registrace zařízení, které chcete zakázat.

  3. V horní části okna vyberte Odstranit a pak výběrem možnosti Ano potvrďte, že chcete registraci odebrat.

    Snímek obrazovky znázorňující odstranění jednotlivé registrace na portálu

Zakázání zprostředkujícího nebo kořenového certifikátu certifikační autority X.509 pomocí skupiny registrací

Certifikáty X.509 jsou obvykle uspořádány v řetězu certifikátů důvěryhodnosti. Pokud dojde k ohrožení zabezpečení certifikátu v jakékoli fázi řetězu, důvěryhodnost se přeruší. Certifikát musí být zakázán, aby služba Device Provisioning nemohla zřizovat zařízení podřízená v jakémkoli řetězci, který tento certifikát obsahuje. Další informace o certifikátech X.509 a jejich použití se službou zřizování najdete v tématu Certifikáty X.509.

Skupina registrací je položka pro zařízení, která sdílejí společný mechanismus ověření certifikátů X.509 podepsaných stejnou zprostředkující nebo kořenovou certifikační autoritou. Položka skupiny registrací je nakonfigurovaná s certifikátem X.509 přidruženým k zprostředkující nebo kořenové certifikační autoritě. Položka je také nakonfigurovaná s libovolnými hodnotami konfigurace, jako je stav dvojčete a připojení centra IoT, která jsou sdílena zařízeními s tímto certifikátem v řetězu certifikátů. Pokud chcete certifikát zakázat, můžete buď zakázat nebo odstranit její skupinu registrací.

Pokud chcete certifikát dočasně zakázat zakázáním skupiny registrací:

  1. Přihlaste se k webu Azure Portal a přejděte k instanci služby Device Provisioning.

  2. Ve službě zřizování vyberte Spravovat registrace a pak vyberte kartu Skupiny registrací.

  3. Vyberte skupinu registrací pomocí certifikátu, který chcete zakázat.

  4. Na stránce s podrobnostmi o registraci zrušte zaškrtnutí políčka Povolit tuto registraci v části Stav zřizování a pak vyberte Uložit.

    Zakázání položky skupiny registrací na portálu

Trvalé zakázání certifikátu odstraněním skupiny registrací:

  1. Ve službě zřizování vyberte Spravovat registrace a pak vyberte kartu Skupiny registrací.

  2. Zaškrtněte políčko vedle skupiny registrací pro certifikát, který chcete zakázat.

  3. V horní části okna vyberte Odstranit a pak výběrem možnosti Ano potvrďte, že chcete odebrat skupinu registrací.

    Odstranění položky skupiny registrací na portálu

Po dokončení postupu by se položka měla ze seznamu skupin registrací odebrat.

Poznámka:

Pokud odstraníte skupinu registrací pro certifikát, zařízení, která mají certifikát v řetězu certifikátů, můžou být stále schopná zaregistrovat, pokud existuje povolená skupina registrací pro kořenový certifikát nebo jiný zprostředkující certifikát vyšší v řetězu certifikátů.

Poznámka:

Odstranění skupiny registrací neodstraní záznamy o registraci pro zařízení ve skupině. Služba DPS pomocí registračních záznamů určí, jestli byl pro instanci DPS dosaženo maximálního počtu registrací. Osamocené záznamy registrace se stále započítávají do této kvóty. Aktuální maximální počet registrací podporovaných pro instanci DPS najdete v tématu Kvóty a omezení.

Před odstraněním samotné skupiny registrací můžete chtít odstranit záznamy o registraci pro skupinu registrací. Záznamy registrace pro skupinu registrací můžete zobrazit a spravovat ručně na kartě Stav registrace pro skupinu na webu Azure Portal. Záznamy registrace můžete načíst a spravovat programově pomocí rozhraní REST API stavu registrace zařízení nebo ekvivalentních rozhraní API v sadách SDK služby DPS nebo pomocí příkazů Azure CLI pro registraci skupiny registrací az iot dps.

Zákaz konkrétních zařízení ze skupiny registrací X.509

Pokud máte zařízení, které bylo zřízeno prostřednictvím skupiny registrací, kterou chcete zrušit, můžete to udělat tak, že vytvoříte zakázanou individuální registraci jenom pro toto zařízení. Když se zařízení připojí a ověří pomocí služby Device Provisioning, služba nejprve vyhledá jednotlivou registraci s odpovídajícím ID registrace. Pouze pokud se pro zařízení nenajde žádná jednotlivá registrace, služba prohledá skupiny registrací.

Pokud chcete zakázat jednotlivé zařízení ve skupině registrací, postupujte takto:

  1. Přihlaste se k webu Azure Portal a přejděte k instanci služby Device Provisioning.

  2. Ve službě zřizování vyberte Spravovat registrace a pak vyberte kartu Jednotlivé registrace .

  3. Vyberte Přidat jednotlivou registraci.

  4. Postupujte podle příslušného kroku v závislosti na tom, jestli máte certifikát zařízení (koncové entity), nebo ne.

    • Pokud máte certifikát zařízení, na stránce Přidat registraci zadejte následující hodnoty:

      Pole Popis
      Mechanismus ověření identity Výběr klientských certifikátů X.509
      Primární soubor certifikátu Nahrajte certifikát zařízení. Pro certifikát použijte podepsaný certifikát koncové entity nainstalovaný v zařízení. Zařízení k ověřování používá podepsaný certifikát koncové entity.

    • Pokud certifikát zařízení nemáte, na stránce Přidat registraci zadejte následující hodnoty:

      Pole Popis
      Mechanismus ověření identity Výběr symetrického klíče
      Automatické generování symetrických klíčů : Ujistěte se, že je toto políčko zaškrtnuté. Na klíčích pro tento scénář nezáleží.
      ID registrace Pokud už je zařízení zřízené, použijte JEHO ID zařízení ioT Hubu. Najdete ho v záznamech registrace skupiny registrací nebo v centru IoT, pro které bylo zařízení zřízeno. Pokud zařízení ještě není zřízené, zadejte cn certifikátu zařízení. (V tomto druhém případě nepotřebujete certifikát zařízení, ale budete muset znát CN.)

  5. Posuňte se do dolní části stránky Přidat registraci a zrušte zaškrtnutí políčka Povolit tuto registraci .

  6. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

Po úspěšném vytvoření registrace by se na kartě Jednotlivé registrace měla zobrazit zakázaná registrace zařízení.

Další kroky

Zrušení registrace je také součástí většího procesu zrušení zřízení. Zrušení zřízení zařízení zahrnuje zrušení registrace ze služby zřizování i zrušení registrace ze služby IoT Hub. Další informace o úplném procesu najdete v tématu Jak zrušit zřízení zařízení, která byla dříve zřízena.