Terminología del servicio de aprovisionamiento de dispositivos IoT Hub
El servicio de aprovisionamiento de dispositivos IoT Hub (DPS) es un servicio de ayuda para IoT Hub que permite el aprovisionamiento de dispositivos sin intervención a los concentradores IoT. Con el servicio Device Provisioning puede aprovisionar millones de dispositivos de forma segura y escalable.
El aprovisionamiento de dispositivos es un proceso de dos partes.
- La primera parte establece la conexión inicial entre el dispositivo y la solución IoT mediante el registro del dispositivo.
- La segunda es aplicar la configuración apropiada en el dispositivo en función de los requisitos específicos de la solución.
Una vez completados ambos pasos, el dispositivo se considera totalmente aprovisionado. El servicio Device Provisioning automatiza ambos pasos para proporcionar una experiencia perfecta de aprovisionamiento para el dispositivo.
Este artículo proporciona información general sobre los conceptos de aprovisionamiento más aplicables a la administración del servicio. Este artículo es más apropiado para las personas implicadas en el paso de configuración en la nube para preparar un dispositivo para la implementación.
Punto de conexión de las operaciones del servicio
El punto de conexión de las operaciones del servicio es para administrar la configuración del servicio y el mantenimiento de la lista de inscripción. Este punto de conexión solo lo utiliza el administrador del servicio; no lo usan los dispositivos.
Punto de conexión de aprovisionamiento de dispositivos
El punto de conexión de aprovisionamiento de dispositivos es el único que usan todos los dispositivos para el aprovisionamiento automático. La dirección URL es la misma para todas las instancias de los servicios de aprovisionamiento a fin de evitar tener que volver a programar los dispositivos con nueva información de conexión en escenarios de la cadena de suministro. El ámbito de identificador garantiza el aislamiento de los inquilinos.
Centros de IoT vinculados
El servicio Device Provisioning solo puede aprovisionar los dispositivos para los centros de IoT que se hayan vinculado a él. La vinculación de un centro de IoT a una instancia del servicio Device Provisioning proporciona al servicio permisos de lectura y escritura en el registro de dispositivos de IoT Hub. Con el vínculo, un servicio Device Provisioning puede registrar un identificador de dispositivo y establecer la configuración inicial en el dispositivo gemelo. Los centros de IoT vinculados pueden estar en cualquier región de Azure. Puede vincular centros de otras suscripciones a su servicio de aprovisionamiento.
Para más información, consulte Vinculación y administración de centros de IoT
Directiva de asignación
La directiva de asignación es una configuración del nivel de servicio que determina la forma en que el servicio Device Provisioning asigna dispositivos a un centro de IoT. Hay cuatro directivas de asignación admitidas:
Distribución uniformemente ponderada: los centros de IoT vinculados tienen la misma probabilidad de tener dispositivos aprovisionados para ellos. Es la configuración predeterminada. Si va a aprovisionar dispositivos para un único centro de IoT, puede mantener esta configuración.
Latencia más baja: los dispositivos se aprovisionan en un centro de IoT con la latencia más baja en el dispositivo. Si varios centros de IoT vinculados proporcionarían la misma latencia más baja, el servicio de aprovisionamiento aplica hash a los dispositivos a través de esos centros
Configuración estática a través de la lista de inscripción: la especificación del centro de IoT deseado en la lista de inscripción tiene prioridad sobre la directiva de asignación del nivel de servicio.
Personalizado (use la función de Azure): una directiva de asignación personalizada le ofrece más control sobre cómo se asignan los dispositivos a un centro de IoT. Las directivas de asignación personalizadas usan una función de Azure para asignar dispositivos a un centro de IoT. El servicio de aprovisionamiento de dispositivos llama al código de función de Azure y proporciona toda la información pertinente sobre el dispositivo y la inscripción en el código. El código de la función se ejecuta y devuelve la información del centro de IoT para aprovisionar el dispositivo. Para obtener más información, consulte Descripción de las directivas de asignación personalizadas.
Para obtener más información, consulte Uso de directivas de asignación.
Inscripción
Una inscripción es el registro de dispositivos o grupos de dispositivos que pueden registrarse con el aprovisionamiento automático. El registro de inscripción contiene información sobre el dispositivo o grupo de dispositivos, como:
- El mecanismo de atestación utilizado por el dispositivo
- La configuración deseada inicial opcional.
- El centro de IoT preferido
- El id. de dispositivo deseado.
Hay dos tipos de inscripciones soportadas por el Servicio de Aprovisionamiento de Dispositivos: grupos de inscripción e inscripciones individuales.
Grupo de inscripción
Un grupo de inscripción es un grupo de dispositivos que comparten un mecanismo de atestación específico. Los grupos de inscripción admiten el certificado X.509 o la atestación de clave simétrica.
El nombre del grupo de inscripción y los ID de registro presentados por los dispositivos deben ser cadenas de caracteres alfanuméricos sin distinción entre mayúsculas y minúsculas más los caracteres especiales: - . _ :. El último carácter debe ser alfanumérico o un guion (-). El nombre del grupo de inscripción puede tener hasta 128 caracteres. En los grupos de inscripción de claves simétricas, los identificadores de registro presentados por los dispositivos pueden tener hasta 128 caracteres. Sin embargo, en los grupos de inscripción X.509, dado que la longitud máxima del nombre común del firmante en un certificado X.509 es de 64 caracteres, los identificadores de registro están limitados a 64 caracteres.
Los dispositivos en un grupo de inscripción X.509 presentan certificados X.509 que ha firmado la misma entidad de certificación (CA) raíz o intermedia. El nombre común del firmante (CN) del certificado de entidad final (hoja) de cada dispositivo se convierte en el identificador de registro de ese dispositivo. Los dispositivos en un grupo de inscripción de clave simétrica presentan tokens de SAS derivados de la clave simétrica de grupo.
En el caso de los dispositivos de un grupo de inscripción, el identificador de registro también se usa como identificador de dispositivo que se registra en IoT Hub.
Sugerencia
Se recomienda usar un grupo de inscripción para un gran número de dispositivos que compartan la configuración inicial deseada o para dispositivos que vayan todos al mismo inquilino.
Inscripción individual
Una inscripción individual es una entrada para el registro de un único dispositivo. Las inscripciones individuales pueden usar certificados de hoja X.509 o tokens de SAS (de un TPM físico o virtual) como mecanismos de atestación.
El ID de inscripción en una inscripción individual es una cadena de caracteres alfanuméricos que no distingue mayúsculas de minúsculas más los caracteres especiales: - . _ :. El último carácter debe ser alfanumérico o un guion (-). DPS admite identificadores de registro de hasta 128 caracteres.
Para las inscripciones individuales X.509, el nombre común del firmante (CN) del certificado se convierte en el identificador de registro, por lo que el nombre común debe cumplir el formato de cadena de identificador de registro. El nombre común del firmante tiene una longitud máxima de 64 caracteres, por lo que el identificador de registro está limitado a 64 caracteres para las inscripciones X.509.
En las inscripciones individuales se puede especificar el identificador de dispositivo del IoT Hub deseado. Si no se especifica, el identificador de registro se convierte en el identificador de dispositivo registrado en IoT Hub.
Sugerencia
Se recomiendan las inscripciones individuales para los dispositivos que requieran configuraciones iniciales únicas o para los dispositivos que solo permitan la autenticación mediante tokens de SAS a través de TPM como mecanismo de atestación.
Mecanismo de atestación
Un mecanismo de atestación es el método utilizado para confirmar la identidad de un dispositivo. El mecanismo de atestación se configura en una entrada de inscripción e indica al servicio de aprovisionamiento el método que debe usarse al comprobar la identidad de un dispositivo durante el registro.
Nota:
IoT Hub utiliza un "esquema de autenticación" para un concepto similar en ese servicio.
El servicio de aprovisionamiento de dispositivos admite las siguientes formas de atestación:
- Certificados X.509 basado en el flujo de autenticación de certificados X.509 estándar. Para más información, vea Atestación de X.509.
- Módulo de plataforma segura (TPM) basado en un desafío nonce, utilizando el estándar TPM para las claves para presentar un token de Firma de acceso compartido (SAS) firmado. Esto no requiere un módulo de plataforma segura (TPM) físico en el dispositivo, pero el servicio espera atestar mediante la clave de aprobación para cada especificación de TPM. Para más información, consulte Atestación de TPM.
- Clave simétrica, basada en los tokens de SAS de las firmas de acceso compartido (SAS), que incluyen una firma hash y una fecha de expiración insertada. Para más información, consulte Symmetric key attestation (Atestación de clave simétrica).
Módulo de seguridad de hardware
El módulo de seguridad de hardware, o HSM, se usa para el almacenamiento seguro y basado en hardware de secretos de dispositivo y es la forma más segura de almacenamiento secreto. Tanto los certificados X.509 como los tokens de SAS se pueden almacenar en el módulo de seguridad de hardware.
Sugerencia
Se recomienda usar un módulo con los dispositivos para almacenar los secretos de forma segura en estos.
Los secretos de dispositivo también se pueden almacenar en software (en memoria), pero es una forma menos segura de almacenamiento que un dispositivo HSM.
Ámbito de identificador
El ámbito de identificador se asigna a un servicio Device Provisioning cuando se crea y se usa para identificar de forma única el servicio de aprovisionamiento específico. El ámbito de identificador los genera el servicio y es inmutable, lo que garantiza su exclusividad. Dicha exclusividad es importante para las operaciones de implementación de ejecución prolongada y en escenarios de fusiones y adquisiciones.
Registros
Se trata del registro de un dispositivo que se ha registrado o aprovisionado correctamente en un centro de IoT a través del servicio de aprovisionamiento de dispositivos. Los registros se crean automáticamente; se pueden eliminar, pero no se pueden actualizar.
Identificador de registro
Se usa para identificar de forma única el registro de un dispositivo con Device Provisioning Service. El identificador de registro debe ser único en el ámbito del identificador del servicio de aprovisionamiento. Cada dispositivo debe tener un identificador de registro. El ID de registro es una cadena de caracteres alfanuméricos que no distingue entre mayúsculas y minúsculas, más los caracteres especiales: - . _ :. El último carácter debe ser alfanumérico o un guion (-). DPS admite identificadores de registro de hasta 128 caracteres.
- Con la atestación de TPM, el propio TPM proporciona el identificador de registro.
- Con la atestación basada en X.509, el identificador de registro se establece en el nombre común del firmante (CN) del certificado del dispositivo. Por este motivo, el nombre común debe cumplir el formato de cadena de identificador de registro. Sin embargo, el identificador de registro está limitado a 64 caracteres porque esa es la longitud máxima del nombre común del firmante en un certificado X.509.
El identificador de dispositivo
El identificador de dispositivo es el mismo que aparece en IoT Hub. El identificador de dispositivo deseado se puede establecer en la entrada de inscripción, pero no es necesario establecerlo. Solo se admite el establecimiento del identificador de dispositivo elegido en inscripciones individuales. Si no se especifica ningún identificador de dispositivo deseado en la lista de inscripción, el identificador de registro se utiliza como identificador de dispositivo al registrar el dispositivo. Más información sobre identificadores de dispositivo en IoT Hub.
Operations
Las operaciones son la unidad de facturación del servicio Device Provisioning. Una operación es la finalización correcta de una instrucción para el servicio. Las operaciones pueden incluir registros de dispositivos y reregistros, así como cambios en el lado del servicio, como agregar y actualizar entradas de lista de inscripción.