Sdílet prostřednictvím

Terminologie služby IoT Hub Device Provisioning

IoT Hub Device Provisioning Service (DPS) je pomocná služba pro IoT Hub, která umožňuje zřizování zařízení s nulovým dotykem pro ioT Huby. Pomocí služby Device Provisioning můžete zřídit miliony zařízení zabezpečeným a škálovatelným způsobem.

Zřizování zařízení je proces se dvěma částmi.

  1. První část vytvoří počáteční připojení mezi zařízením a řešením IoT registrací zařízení.
  2. Druhá část použije správnou konfiguraci zařízení na základě konkrétních požadavků řešení.

Po dokončení obou kroků je zařízení plně provisionováno. Služba Device Provisioning automatizuje oba kroky a poskytuje tak bezproblémové zřizování zařízení.

Tento článek obsahuje přehled konceptů zřizování, které se vztahují ke správě služby. Tento článek je nejrelevavantnější pro osoby zapojené do kroku nastavení cloudu , aby bylo zařízení připravené k nasazení.

Koncový bod provozu služby

Koncový bod operací služby je koncový bod pro správu nastavení služby a údržbu seznamu registrací. Tento koncový bod používá pouze správce služby; zařízení ji nepoužívají.

Koncový bod zřizování zařízení

Koncový bod zřizování zařízení je koncový bod, který zařízení používají ke zřizování. I když všechny instance DPS používají stejný název hostitele globálního koncového bodu (global.azure-devices-provisioning.net), každé zařízení musí také poskytnout jedinečný rozsah ID , který identifikuje konkrétní instanci DPS během procesu zřizování. To znamená, že zařízení zřízená pro různé instance DPS budou používat různé hodnoty rozsahu ID, které vyžadují aktualizace konfigurace zařízení nebo firmwaru při přesouvání zařízení mezi různými instancemi DPS ve scénářích zahrnujících více služeb zřizování (například nasazení s více než 1 miliony zařízení).

Propojená centra IoT

Služba Device Provisioning může zřizovat zařízení pouze pro centra IoT, která jsou s ní propojená. Propojení ioT Hubu s instancí služby Device Provisioning poskytuje službě oprávnění ke čtení a zápisu do registru zařízení služby IoT Hub. Pomocí odkazu může služba Device Provisioning zaregistrovat ID zařízení a nastavit počáteční konfiguraci ve dvojčeti zařízení. Propojená centra IoT můžou být v libovolné oblasti Azure. Centra můžete propojit v jiných předplatných se službou zřizování.

Další informace najdete v tématu Propojení a správa ioT Hubů

Zásady přidělování

Zásada přidělování je nastavení na úrovni služby, které určuje, jak služba Device Provisioning přiřazuje zařízení k centru IoT. Existují čtyři podporované zásady přidělování:

  • Rovnoměrně vážená distribuce: Propojené centra IoT jsou stejně pravděpodobné, že pro ně budou zřízená zařízení. Výchozí nastavení. Pokud zřizujete zařízení jenom pro jedno centrum IoT, můžete toto nastavení zachovat.

  • Nejnižší latence: Zařízení se zřídí pro centrum IoT s nejnižší latencí zařízení. Pokud by několik propojených center IoT poskytovalo stejnou nejnižší latenci, zatřiďuje služba hash zařízení v těchto centrech.

  • Statická konfigurace prostřednictvím seznamu registrací: Specifikace požadovaného centra IoT v seznamu registrací má přednost před zásadami přidělování na úrovni služby.

  • Vlastní (použití funkce Azure): Vlastní zásady přidělování poskytují větší kontrolu nad tím, jak se zařízení přiřazují k centru IoT. Vlastní zásady přidělování používají funkci Azure Functions k přiřazování zařízení do centra IoT. Služba zřizování zařízení volá kód funkce Azure Functions, který poskytuje všechny relevantní informace o zařízení a registraci kódu. Kód funkce se spustí a vrátí informace ioT Hubu použité ke zřízení zařízení. Další informace najdete v tématu Kurz: Použití vlastních zásad přidělování se službou Device Provisioning Service (DPS).

Další informace najdete v tématu Jak používat zásady přidělování k zřizování zařízení napříč IoT huby.

Registrace

Registrace je záznam zařízení nebo skupin zařízení, která se můžou registrovat prostřednictvím automatického zřizování. Záznam registrace obsahuje informace o zařízení nebo skupině zařízení, včetně:

  • Mechanismus ověření identity používaný zařízením
  • Volitelná počáteční požadovaná konfigurace
  • Požadovaná služba IoT Hub
  • ID požadovaného zařízení

Služba Device Provisioning podporuje dva typy registrací: skupiny registrací a jednotlivé registrace.

Skupina registrací

Skupina registrací je skupina zařízení, která sdílejí konkrétní mechanismus ověření identity. Skupiny registrací podporují certifikát X.509 nebo ověření symetrického klíče.

Název skupiny registrací a ID registrace prezentované zařízeními musí být nerozlišující řetězce alfanumerických znaků a speciálních znaků: - . _ : Poslední znak musí být alfanumerický nebo pomlčka (-). Název skupiny registrací může mít délku až 128 znaků. Ve skupinách registrace symetrických klíčů můžou být ID registrace prezentovaná zařízeními delší než 128 znaků. V registračních skupinách X.509 je však maximální délka společného názvu subjektu v certifikátu X.509 64 znaků, ID registrace jsou omezená na 64 znaků.

Zařízení ve skupině registrací X.509 představují certifikáty X.509 podepsané stejnou kořenovou nebo zprostředkující certifikační autoritou (CA). Běžný název subjektu (CN) certifikátu koncové entity (list) každého zařízení se stane ID registrace daného zařízení. Zařízení ve skupině registrace symetrického klíče představují tokeny SAS odvozené ze symetrického klíče skupiny.

U zařízení ve skupině registrací se ID registrace používá také jako ID zařízení, které je zaregistrované ve službě IoT Hub.

Návod

Doporučujeme použít skupinu registrací pro velký počet zařízení, která sdílejí požadovanou počáteční konfiguraci, nebo pro zařízení, která přejdou do stejného tenanta.

Jednotlivá registrace

Jednotlivá registrace je položka pro jedno zařízení, které se může zaregistrovat. Jednotlivé registrace můžou jako mechanismy ověření identity používat buď certifikáty X.509, nebo tokeny SAS (z fyzického nebo virtuálního čipu TPM).

ID registrace v jednotlivé registraci je řetězec nerozlišující velká a malá písmena alfanumerických znaků a speciální znaky: - . _ :. Poslední znak musí být alfanumerický nebo pomlčka (-). DPS podporuje ID registrace o délce až 128 znaků.

U jednotlivých registrací X.509 musí běžný název subjektu certifikátu odpovídat ID registrace, takže běžný název musí dodržovat formát řetězce ID registrace. Běžný název subjektu má maximální délku 64 znaků, takže ID registrace je omezené na 64 znaků pro registrace X.509.

Jednotlivé registrace mohou mít specifikované požadované ID zařízení IoT hubu v položce registrace. Pokud není zadané, ID registrace se stane ID zařízení, které je zaregistrované ve službě IoT Hub.

Návod

Pro zařízení, která vyžadují jedinečné počáteční konfigurace, nebo pro zařízení, která se můžou ověřovat pouze pomocí tokenů SAS prostřednictvím ověření identity TPM, doporučujeme používat jednotlivé registrace.

Mechanismus ověření identity

Mechanismus ověření identity je metoda použitá k potvrzení identity zařízení. Mechanismus ověření identity je nakonfigurovaný u položky registrace a informuje službu zřizování, kterou metodu použít při ověřování identity zařízení během registrace.

Poznámka:

IoT Hub používá pro podobný koncept v této službě "schéma ověřování".

Služba Device Provisioning podporuje následující formy ověření identity:

  • Certifikáty X.509 založené na standardním toku ověřování certifikátů X.509 Další informace najdete v tématu Ověření certifikátu X.509.
  • Čip TPM (Trusted Platform Module) založený na výzvě nesouvisejí s použitím standardu TPM pro klíče k předložení podepsaného tokenu sdíleného přístupového podpisu (SAS). To nevyžaduje fyzický čip TPM na zařízení, ale služba očekává, že bude testovat pomocí ověřovacího klíče podle specifikace TPM. Další informace najdete v tématu Ověření identity čipem TPM.
  • Symetrický klíč založený na tokenech SAS sdíleného přístupového podpisu (SAS), které zahrnují hashovaný podpis a vložené vypršení platnosti. Další informace najdete v tématu Ověření symetrického klíče.

Modul hardwarového zabezpečení

Modul hardwarového zabezpečení (HSM) se používá pro zabezpečené hardwarové úložiště tajných kódů zařízení a je nejbezpečnější formou úložiště tajných kódů. Certifikáty X.509 i tokeny SAS se dají ukládat do HSM.

Návod

Důrazně doporučujeme používat HSM se zařízeními k bezpečnému ukládání tajných kódů na vašich zařízeních.

Tajné kódy zařízení se také dají ukládat do softwaru (paměti), ale je to méně bezpečná forma úložiště než HSM.

Rozsah ID

Obor ID se přiřadí službě Device Provisioning, když se vytvoří, a slouží k jedinečné identifikaci konkrétní služby zřizování. Služba vygeneruje obor ID, který je neměnný a zaručuje jedinečnost. Jedinečnost rozsahu ID je důležitá pro dlouhotrvající operace nasazení a scénáře sloučení a získávání.

Záznam registrace

Záznam registrace je záznam o úspěšné registraci nebo zřízení zařízení do centra IoT prostřednictvím služby zřizování zařízení. Záznamy registrace se vytvářejí automaticky; je možné je odstranit, ale nedají se aktualizovat.

ID registrace

ID registrace slouží k jedinečné identifikaci registrace zařízení ve službě Device Provisioning. ID registrace musí být jedinečné v oboru ID služby zřizování. Každé zařízení musí mít ID registrace. ID registrace je řetězec nerozlišující velká a malá písmena alfanumerických znaků a speciální znaky: - . _ :. Poslední znak musí být alfanumerický nebo pomlčka (-). DPS podporuje ID registrace o délce až 128 znaků.

  • Při ověření identity čipem TPM je ID registrace poskytováno samotným čipem TPM.
  • Při ověření identity založeném na X.509 je ID registrace nastavené na běžný název subjektu certifikátu zařízení. Z tohoto důvodu musí běžný název dodržovat formát řetězce ID registrace. ID registrace je však omezeno na 64 znaků, protože je to maximální délka společného názvu subjektu v certifikátu X.509.

ID zařízení

ID zařízení je ID, které se zobrazuje ve službě IoT Hub. Požadované ID zařízení je možné nastavit v položce registrace, ale není nutné ho nastavit. Nastavení ID požadovaného zařízení se podporuje jenom v jednotlivých registracích. Pokud v seznamu registrací není zadané žádné ID požadovaného zařízení, použije se ID registrace jako ID zařízení při registraci zařízení. Další informace o ID zařízení ve službě IoT Hub najdete v tématu Vysvětlení registru identit ve službě IoT Hub.

Operations

Operace jsou fakturační jednotkou služby Device Provisioning. Jedna operace je úspěšné dokončení jedné instrukce pro službu. Operace můžou zahrnovat registrace zařízení a opakované registrace a také změny na straně služby, jako je přidání a aktualizace položek seznamu registrací.

  • Last updated on