Usar Azure IoT con Azure Sphere

Los dispositivos Azure Sphere pueden comunicarse con Azure IoT mediante servicios administrados como Azure IoT Hub y Azure IoT Central.

Antes de empezar

Independientemente del servicio que use, debe tener una suscripción de Azure. Si su organización aún no tiene una suscripción, puede configurar una prueba gratuita.

Importante

Aunque puede crear una suscripción de Azure sin ningún cargo, el proceso de registro requiere que proporcione un número de tarjeta de crédito.

Visibilidad de Azure Sphere en Azure IoT

El mecanismo para que Azure IoT acepte datos de un dispositivo Azure Sphere es configurar un servicio de Azure IoT para que confíe en el dispositivo de Azure Sphere, aprovisionar el dispositivo al servicio Azure IoT y, a continuación, conectarse al servicio Azure IoT con credenciales de confianza. Los servicios de Azure IoT se pueden configurar para aceptar el certificado azure Sphere Device Authentication and Attestation (DAA) como credencial de confianza. Usar este certificado está integrado en el sistema operativo del dispositivo para las conexiones a Azure IoT mediante el SDK de Azure IoT C, pero los servicios de Azure IoT deben configurarse para aceptar el certificado del catálogo de Azure Sphere, que es el certificado principal de la cadena del certificado DAA. Como alternativa, se puede usar una cadena de certificados de dispositivo personalizada para conectarse a servicios de Azure IoT. La ventaja de usar el certificado Azure Sphere DAA es que los certificados DAA se renuevan diariamente y la presencia de un certificado válido indica que un dispositivo es de confianza y ha confirmado que es original y está configurado de forma segura. Al conectarse con un certificado de dispositivo personalizado, estas garantías de autorización no están disponibles y tendrán que administrarse de forma independiente. Los certificados personalizados son necesarios para las organizaciones con sistemas de administración de certificados necesarios para su uso con Azure IoT para garantías de seguridad, normativas o de cumplimiento, y solo se deben usar con Azure Sphere cuando sea necesario.

Uso de Azure IoT con certificados de Azure Sphere

Autenticar el catálogo de Azure Sphere

Después de tener una suscripción de Azure, debe establecer la confianza entre Azure Sphere y su aplicación de Azure IoT Central o Azure IoT Hub instancia. Solo debe realizar los pasos de validación una vez descargando un certificado de entidad emisora de certificados del Servicio de Seguridad de Azure Sphere y validándolo con un código generado por Azure IoT Hub o Azure IoT Central. El proceso de validación autentica el catálogo de Azure Sphere.

El proceso de autenticación es ligeramente diferente para Azure IoT Hub y Azure IoT Central:

• Configurar un IoT Hub
• Configurar Azure IoT Central

Pasos siguientes

Una vez que tenga una suscripción de Azure y una CA validada, puede ejecutar la aplicación de ejemplo de Azure IoT desde GitHub, que se conecta a Azure IoT Central o Azure IoT Hub.

Uso de Azure IoT con certificados personalizados

Contexto para el uso de certificados personalizados

Los certificados personalizados se pueden configurar para funcionar con DPS de Azure IoT, Hub y Central. Para usar un certificado personalizado con Azure Sphere, el certificado debe generarse por dispositivo y proporcionarse a los dispositivos Azure Sphere. Azure Sphere ofrece opciones para recibir datos de diferentes orígenes, almacenar datos y cifrar datos para almacenamiento persistente que se puede usar para adquirir estos certificados. Una vez presente en un dispositivo, una aplicación de Azure Sphere puede usar el SDK de Azure IoT C con API para invalidar la autenticación de Azure Sphere a los servicios de Azure IoT.

Configuración de aplicaciones de Azure Sphere para usar certificados personalizados

Al usar DPS para aprovisionar dispositivos Azure Sphere en otros servicios de Azure IoT, las aplicaciones de Azure Sphere tendrán que crear una sesión de DPS con el SDK de Azure IoT C, que comienza con Prov_Device_LL_Create. De forma predeterminada, Azure Sphere usará su certificado DAA interno para las sesiones de DPS, por lo que se necesita una llamada adicional para pasar la cadena de certificados personalizada al SDK de Azure IoT C y reemplazar el certificado integrado del Servicio de Seguridad de Azure Sphere mediante AzureIoT_OverrideAzureSphereAuthDPS.

Para conectarse a Azure IoT Hub, se usa una llamada diferente del SDK de Azure IoT C para iniciar una sesión, IoTHubDeviceClient_LL_CreateFromDeviceAuth. De forma similar a DPS, se necesita una llamada adicional para pasar la cadena de certificados personalizada al SDK de Azure IoT C para invalidar el certificado integrado, AzureIoT_OverrideAzureSphereAuthIoTHub. Tenga en cuenta que, incluso cuando se usan DPS y IoT Hub, ambas invalidaciones son necesarias, ya que el SDK de Azure IoT C se organiza por separado para DPS y IoT Hub, y ambas invalidaciones deben llamarse con la misma cadena de certificados.

Acerca de Azure IoT DPS

Azure IoT Hub servicio de aprovisionamiento de dispositivos (DPS) permite que los dispositivos se inscriban a través de Zero-Touch Provisiong en otros servicios de Azure IoT, como IoT Hub y Central. Esto significa que no es necesario codificar de forma precisa los dispositivos para puntos de conexión de IoT específicos y que los administradores de dispositivos no tienen que estar cerca físicamente para que los dispositivos se configuren para conectarse a servicios de IoT de Azure. En el caso de los dispositivos Azure Sphere, el aprovisionamiento de dispositivos suele producirse durante la fabricación o implementación del producto, donde se reclama un dispositivo en un catálogo de servicios de Azure Sphere Security para su administración activa. A efectos de Azure IoT, el aprovisionamiento solo hace referencia a autorizar el acceso a recursos de Azure IoT y no al estado de implementación del dispositivo. DPS se puede configurar para confiar en todos los dispositivos en un catálogo azure sphere mediante el registro de un certificado intermedio del catálogo, DPS puede entonces autorizar dispositivos diariamente a medida que sus certificados de DAA se renuevan como parte de la renovación de confianza de Azure Sphere, proporcionando un alto nivel de garantía de que los dispositivos autorizados son conocidos como en un bien, y estado original. La utilización de DPS con Azure Sphere permite que los dispositivos se implementen más fácilmente a escala con otros servicios de Azure IoT.

Más información sobre Azure IoT DPS

• Información general sobre Azure IoT DPS

• Tutoriales y inicios rápidos de Azure IoT DPS

Acerca de Azure IoT Hub

Azure IoT Hub es un servicio administrado que actúa como centro de mensajes central para la comunicación bidireccional entre la aplicación de IoT y los dispositivos que administra.

Azure IoT Hub admite varios patrones de mensajería( por ejemplo, telemetría de dispositivo a nube, carga de archivos desde dispositivos y métodos de solicitud y respuesta para controlar los dispositivos desde la nube). Además, la supervisión de Azure IoT Hub le ayuda a mantener el estado de la solución mediante el seguimiento de eventos como la creación de dispositivos, errores de dispositivo y conexiones de dispositivos.

Más información sobre Azure IoT Hub

• Información general sobre Azure IoT Hub

• Azure IoT Hub tutoriales y inicios rápidos

Acerca de Azure IoT Central

Azure IoT Central es un servicio administrado que simplifica la creación de soluciones de IoT. Azure IoT Central simplifica la configuración inicial de su solución de IoT y reduce la carga de administración, los costos operativos y la sobrecarga de un proyecto típico de IoT.

Más información sobre Azure IoT Central

• ¿Qué es Azure IoT Central?

• Documentación de Azure IoT