مشاركة عبر

كيفية إلغاء تسجيل جهاز أو إبطاله من Azure IoT Hub Device Provisioning Service

  • مقالة

تعتبر الإدارة السليمة لبيانات اعتماد الجهاز أمر بالغ الأهمية للأنظمة رفيعة المستوى مثل حلول IoT. أفضل ممارسة لهذه الأنظمة هي أن يكون لديك خطة واضحة لكيفية إبطال الوصول للأجهزة عندما تكون بيانات اعتمادها، سواء كانت رمز مميز لتواقيع الوصول المشتركة (SAS) أو شهادة X.509 قد تتعرض للخطر.

يتيح التسجيل في خدمة تزويد الأجهزة توفير الجهاز. الجهاز الذي تم توفيره هو الجهاز الذي تم تسجيله في IoT Hub، ما يسمح له بتلقي حالته الأولية المزدوجة للجهاز والبدء في الإبلاغ عن بيانات تتبع الاستخدام.

توضح هذه المقالة كيفية إبطال جهاز من مثيل خدمة التزويد الخاص بك، ما يمنع توفيره أو إعادة توفيره في المستقبل. لا يؤدي تعطيل مجموعة تسجيل أو تسجيل فردية إلى إزالة تسجيل جهاز موجود من IoT Hub. لمعرفة كيفية إلغاء توفير جهاز تم توفيره بالفعل إلى مركز IoT، راجع إدارة إلغاء التوفير.

عدم السماح لجهاز باستخدام تسجيل فردي

لمنع توفير جهاز من خلال خدمة تزويد الأجهزة، يمكنك تغيير حالة توفير التسجيل الفردي لمنع الجهاز من التوفير وإعادة التوفير. يمكنك الاستفادة من هذه الإمكانية إذا كان الجهاز يتصرف خارج معلماته العادية أو تم افتراض تعرضه للخطر، أو كطريقة لاختبار آلية إعادة محاولة التوفير لأجهزتك.

إذا تم توفير الجهاز الذي تريد عدم السماح به من خلال مجموعة تسجيل، فراجع الخطوات إلى عدم السماح بأجهزة معينة من مجموعة تسجيل X.509.

إشعار

كن على دراية بنهج إعادة المحاولة للأجهزة التي تبطل الوصول لها. على سبيل المثال، قد يحاول الجهاز الذي يحتوي على نهج إعادة محاولة لا نهائي التسجيل في خدمة التزويد باستمرار. يستهلك هذا الموقف موارد الخدمة مثل حصص تشغيل الخدمة وربما يؤثر على الأداء.

  1. سجل الدخول إلى مدخل Microsoft Azure وانتقل إلى مثيل خدمة تزويد الأجهزة.

  2. حدد إدارة التسجيلات، ثم حدد علامة التبويب التسجيلات الفردية.

  3. حدد إدخال التسجيل للجهاز الذي تريد عدم السماح به.

  4. في صفحة تفاصيل التسجيل، قم بإلغاء تحديد المربع تمكين هذا التسجيل في قسم حالة التزويد ثم حدد حفظ.

    لقطة شاشة توضح تعطيل تسجيل فردي في المدخل.

إذا كان جهاز IoT في نهاية دورة حياة الجهاز ولم يعد من المفترض أن يسمح له بالتزويد إلى حل IoT، يجب إزالة تسجيل الجهاز من خدمة توفير الجهاز:

  1. في خدمة التزويد، حدد إدارة التسجيلات، ثم حدد علامة التبويب التسجيلات الفردية.

  2. حدد خانة الاختيار بجوار إدخال التسجيل للجهاز الذي تريد عدم السماح به.

  3. حدد حذف في أعلى النافذة، ثم حدد نعم لتأكيد رغبتك في إزالة التسجيل.

    لقطة شاشة تعرض حذف تسجيل فردي في المدخل.

عدم السماح بشهادة المرجع المصدق المتوسطة أو الجذر X.509 باستخدام مجموعة تسجيل

عادة ما يتم ترتيب شهادات X.509 ضمن سلسلة شهادات الثقة. إذا تعرضت الشهادة في أي مرحلة من مراحل السلسلة للخطر، يجب كسر الثقة. يجب عدم السماح بالشهادة لمنع خدمة توفير الأجهزة من توفير الأجهزة في المراحل النهائية في أي سلسلة تحتوي على تلك الشهادة. لمعرفة المزيد حول شهادات X.509 وكيفية استخدامها مع خدمة التزويد، راجع شهادات X.509.

مجموعة التسجيل هي إدخال للأجهزة التي تشترك في آلية تصديق شائعة لشهادات X.509 موقعة من نفس المرجع المصدق الوسيط أو الجذر. يتم تكوين إدخال مجموعة التسجيل من خلال شهادة X.509 المقترنة بالمرجع المصدق المتوسط أو الجذر. كما يتم تكوين الإدخال من خلال أية قيم للتكوين، مثل الحالة المزدوجة وتوصيل مركز IoT، التي يتم مشاركتها من الأجهزة من خلال تلك الشهادة في سلسلة الشهادات الخاصة بالأجهزة. لمنع الشهادة، يمكنك إما تعطيل أو حذف مجموعة التسجيل الخاصة بها.

لمنع الشهادة مؤقتا عن طريق تعطيل مجموعة التسجيل الخاصة بها:

  1. سجل الدخول إلى مدخل Microsoft Azure وانتقل إلى مثيل خدمة تزويد الأجهزة.

  2. في خدمة التوفير، حدد إدارة التسجيلات، ثم حدد علامة التبويب مجموعات التسجيل.

  3. حدد مجموعة التسجيل باستخدام الشهادة التي تريد عدم السماح بها.

  4. في صفحة تفاصيل التسجيل، قم بإلغاء تحديد المربع تمكين هذا التسجيل في قسم حالة التزويد ثم حدد حفظ.

    تعطيل إدخال مجموعة التسجيل في المدخل

لمنع الشهادة نهائيا عن طريق حذف مجموعة التسجيل الخاصة بها:

  1. في خدمة التوفير، حدد إدارة التسجيلات، ثم حدد علامة التبويب مجموعات التسجيل.

  2. حدد خانة الاختيار بجوار مجموعة التسجيل للشهادة التي تريد عدم السماح بها.

  3. حدد حذف في أعلى النافذة، ثم حدد نعم لتأكيد رغبتك في إزالة مجموعة التسجيل.

    حذف إدخال مجموعة التسجيل في المدخل

بعد الانتهاء من الإجراء، يجب أن ترى الإدخال الخاص بك تمت إزالته من قائمة مجموعات التسجيل.

إشعار

إذا قمت بحذف مجموعة تسجيل لشهادة، فقد تظل الأجهزة التي تحتوي على الشهادة في سلسلة الشهادات الخاصة بها قادرة على التسجيل إذا كانت هناك مجموعة تسجيل ممكنة للشهادة الجذر أو شهادة وسيطة أخرى أعلى في سلسلة الشهادات الخاصة بها.

إشعار

لا يؤدي حذف مجموعة تسجيل إلى حذف سجلات التسجيل للأجهزة الموجودة في المجموعة. يستخدم DPS سجلات التسجيل لتحديد ما إذا كان قد تم الوصول إلى الحد الأقصى لعدد التسجيلات لمثيل DPS. لا تزال سجلات التسجيل المعزولة تحسب مقابل هذه الحصة النسبية. للحصول على الحد الأقصى الحالي لعدد التسجيلات المدعومة لمثيل DPS، راجع الحصص النسبية والحدود.

قد تحتاج إلى حذف سجلات التسجيل لمجموعة التسجيل قبل حذف مجموعة التسجيل نفسها. يمكنك مشاهدة سجلات التسجيل لمجموعة تسجيل وإدارتها يدويا في علامة التبويب حالة التسجيل للمجموعة في مدخل Microsoft Azure. يمكنك استرداد سجلات التسجيل وإدارتها برمجيا باستخدام واجهات برمجة تطبيقات REST لحالة تسجيل الجهاز أو واجهات برمجة التطبيقات المكافئة في حزم SDK لخدمة DPS، أو باستخدام أوامر تسجيل azure CLI لمجموعة تسجيل iot dps.

عدم السماح بأجهزة معينة من مجموعة تسجيل X.509

إذا كان لديك جهاز تم توفيره من خلال مجموعة تسجيل تريد إلغاء تسجيلها، يمكنك القيام بذلك عن طريق إنشاء تسجيل فردي معطل لهذا الجهاز فقط. عندما يتصل جهاز ويصادق مع خدمة تزويد الأجهزة، تبحث الخدمة أولا عن تسجيل فردي مع معرف التسجيل المطابق. فقط إذا لم يتم العثور على تسجيل فردي للجهاز، فإن الخدمة تبحث في مجموعات التسجيل.

لمنع جهاز فردي في مجموعة تسجيل، اتبع الخطوات التالية:

  1. سجل الدخول إلى مدخل Microsoft Azure وانتقل إلى مثيل خدمة تزويد الأجهزة.

  2. في خدمة التزويد، حدد إدارة التسجيلات، ثم حدد علامة التبويب التسجيلات الفردية.

  3. حدد Add individual enrollment.

  4. اتبع الخطوة المناسبة اعتمادا على ما إذا كان لديك شهادة الجهاز (الكيان النهائي) أم لا.

    • إذا كان لديك شهادة الجهاز، فوفر القيم التالية في صفحة إضافة تسجيل :

      الحقل ‏‏الوصف
      آلية التصديق حدد X.509 client certificates
      ملف الشهادة الأساسي تحميل شهادة الجهاز. بالنسبة للشهادة، استخدم شهادة الكيان النهائي الموقعة المثبتة على الجهاز. يستخدم الجهاز شهادة الكيان النهائي الموقعة للمصادقة.

    • إذا لم يكن لديك شهادة الجهاز، فوفر القيم التالية في صفحة إضافة تسجيل :

      الحقل ‏‏الوصف
      آلية التصديق تحديد مفتاح متماثل
      إنشاء مفاتيح متماثلة تلقائيا : تأكد من تحديد خانة الاختيار هذه. لا تهم المفاتيح لهذا السيناريو.
      معرف التسجيل إذا تم توفير الجهاز بالفعل، فاستخدم معرف جهاز IoT Hub الخاص به. يمكنك العثور على هذا في سجلات التسجيل لمجموعة التسجيل، أو في مركز IoT الذي تم توفير الجهاز له. إذا لم يتم توفير الجهاز بعد، أدخل شهادة الجهاز CN. (في هذه الحالة الأخيرة، لا تحتاج إلى شهادة الجهاز، ولكن ستحتاج إلى معرفة CN.)

  5. قم بالتمرير إلى أسفل صفحة Add enrollment وقم بإلغاء تحديد خانة الاختيار Enable this enrollment .

  6. حدد Review + create، ثم حدد Create.

عند إنشاء التسجيل بنجاح، يجب أن ترى تسجيل الجهاز المعطل مدرجا في علامة التبويب عمليات التسجيل الفردية.

الخطوات التالية

إلغاء التسجيل هو أيضا جزء من عملية إلغاء التزويد الأكبر. يتضمن إلغاء توفير الجهاز كلا من إلغاء التسجيل من خدمة التزويد وإلغاء التسجيل من مركز IoT. للتعرف على العملية الكاملة، راجع كيفية إلغاء توفير الأجهزة التي تم توفيرها مسبقا