Terminologie služby IoT Hub Device Provisioning

  • Článek

IoT Hub Device Provisioning Service (DPS) je pomocná služba pro IoT Hub, která umožňuje zřizování zařízení s nulovým dotykem pro ioT Huby. Se službou Device Provisioning můžete bezpečně a škálovatelně zřizovat miliony zařízení.

Zřizování zařízení je proces se dvěma částmi.

  1. První část vytvoří počáteční připojení mezi zařízením a řešením IoT registrací zařízení.
  2. Druhá část použije správnou konfiguraci zařízení na základě konkrétních požadavků řešení.

Po dokončení obou kroků se zařízení plně zřídí. Služba Device Provisioning oba kroky automatizuje a zajišťuje tak bezproblémové zřizování zařízení.

Tento článek obsahuje přehled konceptů zřizování, které se vztahují ke správě služby. Tento článek je nejrelevavantnější pro osoby zapojené do kroku nastavení cloudu, aby bylo zařízení připravené k nasazení.

Koncový bod provozu služby

Koncový bod operací služby je koncový bod pro správu nastavení služby a údržbu seznamu registrací. Tento koncový bod používá pouze správce služby; zařízení ji nepoužívají.

Koncový bod zřizování zařízení

Koncový bod zřizování zařízení je jediný koncový bod, který všechna zařízení používají ke zřizování. Adresa URL je stejná pro všechny instance služby zřizování, což eliminuje potřebu reflash zařízení s novými informacemi o připojení ve scénářích dodavatelského řetězce. Rozsah ID zajišťuje izolaci tenanta.

Propojená centra IoT Hub

Služba Device Provisioning může zřizovat zařízení pouze pro centra IoT, která jsou s ní propojená. Propojení ioT Hubu s instancí služby Device Provisioning poskytuje službě oprávnění ke čtení a zápisu do registru zařízení služby IoT Hub. Pomocí odkazu může služba Device Provisioning zaregistrovat ID zařízení a nastavit počáteční konfiguraci ve dvojčeti zařízení. Propojené ioT huby můžou být v libovolné oblasti Azure. Centra můžete propojit v jiných předplatných se službou zřizování.

Další informace najdete v tématu Propojení a správa ioT Hubů

Zásady přidělování

Zásada přidělování je nastavení na úrovni služby, které určuje, jak služba Device Provisioning přiřazuje zařízení k centru IoT. Existují čtyři podporované zásady přidělování:

  • Rovnoměrně vážená distribuce: Propojené centra IoT jsou stejně pravděpodobné, že pro ně budou zřízená zařízení. Výchozí nastavení. Pokud zřizujete zařízení jenom pro jedno centrum IoT, můžete toto nastavení zachovat.

  • Nejnižší latence: Zařízení se zřídí pro centrum IoT s nejnižší latencí zařízení. Pokud by několik propojených center IoT poskytovalo stejnou nejnižší latenci, zatřiďuje služba hash zařízení v těchto centrech.

  • Statická konfigurace prostřednictvím seznamu registrací: Specifikace požadovaného centra IoT v seznamu registrací má přednost před zásadami přidělování na úrovni služby.

  • Vlastní (použití funkce Azure): Vlastní zásady přidělování poskytují větší kontrolu nad tím, jak se zařízení přiřazují k centru IoT. Vlastní zásady přidělování používají funkci Azure Functions k přiřazování zařízení do centra IoT. Služba zřizování zařízení volá kód funkce Azure Functions, který poskytuje všechny relevantní informace o zařízení a registraci kódu. Kód funkce se spustí a vrátí informace ioT Hubu použité ke zřízení zařízení. Další informace najdete v tématu Vysvětlení vlastních zásad přidělování.

Další informace naleznete v tématu Použití zásad přidělování.

Registrace

Registrace je záznam zařízení nebo skupin zařízení, která se můžou zaregistrovat prostřednictvím automatického zřizování. Záznam registrace obsahuje informace o zařízení nebo skupině zařízení, včetně:

  • Mechanismus ověření identity používaný zařízením
  • Volitelná počáteční požadovaná konfigurace
  • Požadovaná služba IoT Hub
  • ID požadovaného zařízení

Služba Device Provisioning podporuje dva typy registrací: skupiny registrací a jednotlivé registrace.

Skupina registrací

Skupina registrací je skupina zařízení, která sdílejí konkrétní mechanismus ověření identity. Skupiny registrací podporují certifikát X.509 nebo ověření symetrického klíče.

Název skupiny registrací a ID registrace prezentované zařízeními musí být nerozlišující řetězce alfanumerických znaků a speciálních znaků: - . _ : Poslední znak musí být alfanumerický nebo pomlčka (-). Název skupiny registrací může mít délku až 128 znaků. Ve skupinách registrace symetrických klíčů můžou být ID registrace prezentovaná zařízeními delší než 128 znaků. V registračních skupinách X.509 je však maximální délka společného názvu subjektu v certifikátu X.509 64 znaků, ID registrace jsou omezená na 64 znaků.

Zařízení ve skupině registrací X.509 představují certifikáty X.509 podepsané stejnou kořenovou nebo zprostředkující certifikační autoritou (CA). Běžný název subjektu (CN) certifikátu koncové entity (list) každého zařízení se stane ID registrace daného zařízení. Zařízení ve skupině registrace symetrického klíče představují tokeny SAS odvozené ze symetrického klíče skupiny.

U zařízení ve skupině registrací se ID registrace používá také jako ID zařízení, které je zaregistrované ve službě IoT Hub.

Tip

Doporučujeme použít skupinu registrací pro velký počet zařízení, která sdílejí požadovanou počáteční konfiguraci, nebo pro zařízení, která přejdou do stejného tenanta.

Jednotlivá registrace

Jednotlivá registrace je položka pro jedno zařízení, které se může zaregistrovat. Jednotlivé registrace můžou jako mechanismy ověření identity používat buď certifikáty X.509, nebo tokeny SAS (z fyzického nebo virtuálního čipu TPM).

ID registrace v jednotlivé registraci je řetězec nerozlišující velká a malá písmena alfanumerických znaků a speciální znaky: - . _ :. Poslední znak musí být alfanumerický nebo pomlčka (-). DPS podporuje ID registrace o délce až 128 znaků.

U jednotlivých registrací X.509 musí běžný název subjektu certifikátu odpovídat ID registrace, takže běžný název musí dodržovat formát řetězce ID registrace. Běžný název subjektu má maximální délku 64 znaků, takže ID registrace je omezené na 64 znaků pro registrace X.509.

Jednotlivé registrace můžou mít požadované ID zařízení ioT Hubu zadané v položce registrace. Pokud není zadané, ID registrace se stane ID zařízení, které je zaregistrované ve službě IoT Hub.

Tip

Pro zařízení, která vyžadují jedinečné počáteční konfigurace, nebo pro zařízení, která se můžou ověřovat pouze pomocí tokenů SAS prostřednictvím ověření identity TPM, doporučujeme používat jednotlivé registrace.

Mechanismus ověření identity

Mechanismus ověření identity je metoda použitá k potvrzení identity zařízení. Mechanismus ověření identity je nakonfigurovaný u položky registrace a informuje službu zřizování, kterou metodu použít při ověřování identity zařízení během registrace.

Poznámka:

IoT Hub používá pro podobný koncept v této službě "schéma ověřování".

Služba Device Provisioning podporuje následující formy ověření identity:

  • Certifikáty X.509 založené na standardním toku ověřování certifikátů X.509 Další informace najdete v tématu Ověření identity X.509.
  • Čip TPM (Trusted Platform Module) založený na výzvě nesouvisejí s použitím standardu TPM pro klíče k předložení podepsaného tokenu sdíleného přístupového podpisu (SAS). To nevyžaduje fyzický čip TPM na zařízení, ale služba očekává, že bude testovat pomocí ověřovacího klíče podle specifikace TPM. Další informace najdete v tématu Ověření identity čipem TPM.
  • Symetrický klíč založený na tokenech SAS sdíleného přístupového podpisu (SAS), které zahrnují hashovaný podpis a vložené vypršení platnosti. Další informace najdete v tématu Ověření symetrického klíče.

Modul hardwarového zabezpečení

Modul hardwarového zabezpečení (HSM) se používá pro zabezpečené hardwarové úložiště tajných kódů zařízení a je nejbezpečnější formou úložiště tajných kódů. Certifikáty X.509 i tokeny SAS se dají ukládat do HSM.

Tip

Důrazně doporučujeme používat HSM se zařízeními k bezpečnému ukládání tajných kódů na vašich zařízeních.

Tajné kódy zařízení se také dají ukládat do softwaru (paměti), ale je to méně bezpečná forma úložiště než HSM.

Obor ID

Obor ID se přiřadí službě Device Provisioning, když se vytvoří, a slouží k jedinečné identifikaci konkrétní služby zřizování. Obor ID je generován službou a je neměnný, což zaručuje jedinečnost. Jedinečnost rozsahu ID je důležitá pro dlouhotrvající operace nasazení a scénáře sloučení a získávání.

Záznam registrace

Záznam registrace je záznam zařízení, který úspěšně registruje nebo zřizuje ve službě IoT Hub prostřednictvím služby Device Provisioning. Záznamy registrace se vytvářejí automaticky; je možné je odstranit, ale nedají se aktualizovat.

ID registrace

ID registrace slouží k jedinečné identifikaci registrace zařízení ve službě Device Provisioning. ID registrace musí být jedinečné v oboru ID služby zřizování. Každé zařízení musí mít ID registrace. ID registrace je řetězec nerozlišující velká a malá písmena alfanumerických znaků a speciální znaky: - . _ :. Poslední znak musí být alfanumerický nebo pomlčka (-). DPS podporuje ID registrace o délce až 128 znaků.

  • Při ověření identity čipem TPM je ID registrace poskytováno samotným čipem TPM.
  • Při ověření identity založeném na X.509 je ID registrace nastavené na běžný název subjektu certifikátu zařízení. Z tohoto důvodu musí běžný název dodržovat formát řetězce ID registrace. ID registrace je však omezeno na 64 znaků, protože je to maximální délka společného názvu subjektu v certifikátu X.509.

ID zařízení

ID zařízení je ID, které se zobrazuje ve službě IoT Hub. Požadované ID zařízení může být nastavené v položce registrace, ale není nutné ho nastavit. Nastavení ID požadovaného zařízení se podporuje jenom v jednotlivých registracích. Pokud v seznamu registrací není zadané žádné ID požadovaného zařízení, použije se ID registrace jako ID zařízení při registraci zařízení. Přečtěte si další informace o ID zařízení ve službě IoT Hub.

Operace

Operace jsou fakturační jednotkou služby Device Provisioning. Jedna operace je úspěšné dokončení jedné instrukce pro službu. Operace můžou zahrnovat registrace zařízení a opakované registrace a také změny na straně služby, jako je přidání a aktualizace položek seznamu registrací.