Metodi di autenticazione dell'agente di sicurezza
Questo articolo illustra i diversi metodi di autenticazione che è possibile usare con l'agente AzureIoTSecurity per eseguire l'autenticazione con l'hub IoT.
Per ogni dispositivo caricato in Defender per IoT nella hub IoT, è necessario un agente Defender-IoT-micro-agent. Per autenticare il dispositivo, Defender per IoT può usare uno dei due metodi. Scegliere il metodo migliore per la soluzione IoT esistente.
- Opzione SecurityModule
- Opzione dispositivo
Metodi di autenticazione
I due metodi per l'agente AzureIoTSecurity defender per eseguire l'autenticazione:
Modalità di autenticazione di Defender-IoT-micro-agent
L'agente viene autenticato usando l'identità di Defender-IoT-micro-agent indipendentemente dall'identità del dispositivo. Usare questo tipo di autenticazione se si vuole che l'agente di sicurezza usi un metodo di autenticazione dedicato tramite Defender-IoT-micro-agent (solo chiave simmetrica).Modalità di autenticazione del dispositivo
Con questo metodo, l'agente di sicurezza esegue prima l'autenticazione con l'identità del dispositivo. Dopo l'autenticazione iniziale, l'agente Defender per IoT esegue una chiamata REST alla hub IoT usando l'API REST con i dati di autenticazione del dispositivo. L'agente Defender per IoT richiede quindi il metodo di autenticazione di Defender-IoT-micro-agent e i dati dall'hub IoT. Nel passaggio finale, l'agente Defender per IoT esegue un'autenticazione sul modulo Defender per IoT.
Usare questo tipo di autenticazione se si vuole che l'agente di sicurezza riutilizzi un metodo di autenticazione del dispositivo esistente (certificato autofirmato o chiave simmetrica).
Per informazioni su come configurare, vedere Parametri di installazione dell'agente di sicurezza .
Limitazioni note dei metodi di autenticazione
- La modalità di autenticazione SecurityModule supporta solo l'autenticazione della chiave simmetrica.
- CA-Signed certificato non è supportato dalla modalità di autenticazione del dispositivo .
Parametri di installazione dell'agente di sicurezza
Quando si distribuisce un agente di sicurezza, i dettagli di autenticazione devono essere forniti come argomenti. Questi argomenti sono documentati nella tabella seguente.
| Nome parametro Linux | Nome parametro Windows | Parametro abbreviato | Descrizione | Opzioni |
|---|---|---|---|---|
| authentication-identity | AuthenticationIdentity | aui | Identità di autenticazione | SecurityModule o Device |
| authentication-method | AuthenticationMethod | aum | Metodo di autenticazione | SymmetricKey o SelfSignedCertificate |
| file-path | FilePath | f | Percorso completo assoluto per il file contenente il certificato o la chiave simmetrica | |
| host-name | HostName | hn | FQDN del hub IoT | Esempio: ContosoIotHub.azure-devices.net |
| device-id | DeviceId | di | ID dispositivo | Esempio: MyDevice1 |
| certificate-location-kind | CertificateLocationKind | cl | Percorso archiviazione certificati | LocalFile o Store |
Quando si usa lo script di installazione dell'agente di sicurezza, viene eseguita automaticamente la configurazione seguente. Per modificare manualmente l'autenticazione dell'agente di sicurezza, modificare il file di configurazione.
Cambiare il metodo di autenticazione dopo la distribuzione
Quando si distribuisce un agente di sicurezza con uno script di installazione, viene creato automaticamente un file di configurazione.
Per cambiare il metodo di autenticazione dopo la distribuzione, è necessario modificare manualmente il file di configurazione.
Agente di sicurezza basato su C#
Modificare Authentication.config con i parametri seguenti:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
Agente di sicurezza basato su C
Modificare LocalConfiguration.json con i parametri seguenti:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}