Uso de Azure IoT con Azure Sphere
Importante
Esta es la documentación de Azure Sphere (heredado). Azure Sphere (heredado) se retira el 27 de septiembre de 2027 y los usuarios deben migrar a Azure Sphere (integrado) en este momento. Use el selector de versiones situado encima de la TOC para ver la documentación de Azure Sphere (integrado).
Los dispositivos de Azure Sphere pueden comunicarse con Azure IoT mediante servicios administrados como Azure IoT Hub y Azure IoT Central.
Antes de empezar
Independientemente del servicio que use, debe tener una suscripción de Azure. Si su organización aún no tiene una suscripción, puede configurar una suscripción de evaluación gratuita.
Importante
Aunque puede crear una suscripción de Azure sin ningún cargo, el proceso de registro requiere que proporcione un número de tarjeta de crédito.
Visibilidad de Azure Sphere en Azure IoT
El mecanismo para que Azure IoT acepte datos de un dispositivo de Azure Sphere es configurar un servicio de Azure IoT para confiar en el dispositivo de Azure Sphere, aprovisionar el dispositivo en el servicio Azure IoT y, a continuación, conectarse al servicio Azure IoT con credenciales de confianza. Los servicios de Azure IoT se pueden configurar para aceptar el certificado de autenticación y atestación de dispositivos (DAA) de Azure Sphere como credencial de confianza. El uso de este certificado está integrado en el sistema operativo del dispositivo para las conexiones a Azure IoT mediante el SDK de C de Azure IoT; sin embargo, es necesario configurar los servicios de Azure IoT para aceptar el certificado de catálogo de Azure Sphere que es el certificado primario de la cadena para el certificado DAA. Como alternativa, se puede usar una cadena de certificados de dispositivo personalizada para conectarse a los servicios de Azure IoT. La ventaja de usar el certificado DAA de Azure Sphere es que los certificados DAA se renuevan diariamente y la presencia de un certificado válido indica que un dispositivo es de confianza y ha atestiguado que es auténtico y configurado de forma segura. Al conectarse con un certificado de dispositivo personalizado, estas garantías de autorización no están disponibles y tendrán que administrarse de forma independiente. Los certificados personalizados son necesarios para las organizaciones con sistemas de administración de certificados necesarios para su uso con Azure IoT para las garantías de seguridad, normativas o cumplimiento, y solo se deben usar con Azure Sphere cuando sea necesario.
Uso de Azure IoT con certificados de Azure Sphere
Autenticación del catálogo de Azure Sphere
Después de tener una suscripción de Azure, debe establecer la confianza entre Azure Sphere y la aplicación de Azure IoT Central o la instancia de Azure IoT Hub. Debe realizar los pasos de validación solo una vez mediante la descarga de un certificado de entidad de certificación (CA) desde el servicio de seguridad de Azure Sphere y validarlo mediante un código generado por Azure IoT Hub o Azure IoT Central. El proceso de validación autentica el catálogo de Azure Sphere.
El proceso de autenticación es ligeramente diferente para Azure IoT Hub y Azure IoT Central:
Pasos siguientes
Una vez que tenga una suscripción de Azure y una entidad de certificación validada, puede ejecutar la aplicación de ejemplo de Azure IoT desde GitHub, que se conecta a Azure IoT Central o a Azure IoT Hub.
Uso de Azure IoT con certificados personalizados
Contexto para el uso de certificados personalizados
Los certificados personalizados se pueden configurar para que funcionen con Azure IoT DPS, Hub y Central. Para usar un certificado personalizado con Azure Sphere, el certificado debe generarse por dispositivo y proporcionarse a los dispositivos de Azure Sphere. Azure Sphere proporciona opciones para recibir datos de varios orígenes, almacenar datos y cifrar datos para el almacenamiento persistente que se pueden usar para adquirir estos certificados. Una vez presentes en un dispositivo, una aplicación de Azure Sphere puede usar el SDK de C de Azure IoT con API para invalidar la autenticación de Azure Sphere en los servicios de Azure IoT.
Configuración de aplicaciones de Azure Sphere para usar certificados personalizados
Al usar DPS para aprovisionar dispositivos de Azure Sphere en otros servicios de Azure IoT, las aplicaciones de Azure Sphere tendrán que crear una sesión de DPS mediante el SDK de C de Azure IoT, que comienza con Prov_Device_LL_Create. De forma predeterminada, Azure Sphere usará su certificado DAA interno para las sesiones de DPS, por lo que se necesita una llamada adicional para pasar la cadena de certificados personalizada al SDK de C de Azure IoT e invalidará el certificado integrado del servicio de seguridad de Azure Sphere mediante AzureIoT_OverrideAzureSphereAuthDPS.
Para conectarse a Azure IoT Hub, se usa una llamada diferente del SDK de C de Azure IoT para iniciar una sesión, IoTHubDeviceClient_LL_CreateFromDeviceAuth. De forma similar a DPS, se necesita una llamada adicional para pasar la cadena de certificados personalizada al SDK de C de Azure IoT para invalidar el certificado integrado, AzureIoT_OverrideAzureSphereAuthIoTHub. Tenga en cuenta que, incluso cuando se usan DPS e IoT Hub, se necesitan ambas invalidaciones, ya que el SDK de C de Azure IoT se organiza por separado para DPS e IoT Hub, y es necesario llamar a ambas invalidaciones mediante la misma cadena de certificados.
Acerca de Azure IoT DPS
Azure IoT Hub Device Provisioning Service (DPS) permite inscribir dispositivos a través de Zero-Touch Provisiong en otros servicios de Azure IoT, como IoT Hub y Central. Esto significa que los dispositivos no necesitan codificarse de forma rígida para puntos de conexión de IoT específicos y los administradores de dispositivos no necesitan estar en proximidad física para que los dispositivos se configuren para conectarse a los servicios de Azure IoT. En el caso de los dispositivos de Azure Sphere, el aprovisionamiento de dispositivos suele producirse durante la fabricación o implementación del producto, donde se reclama un dispositivo en un catálogo de servicios de seguridad de Azure Sphere para la administración activa. Para los fines de Azure IoT, el aprovisionamiento solo hace referencia a la autorización del acceso a los recursos de Azure IoT y no al estado de implementación del dispositivo. DPS se puede configurar para confiar en todos los dispositivos de un catálogo de Azure Sphere mediante el registro de un certificado intermedio de catálogo, DPS puede autorizar a los dispositivos diariamente a medida que se renuevan sus certificados DAA como parte de la renovación de confianza de Azure Sphere, lo que proporciona un fuerte nivel de garantía de que se sabe que los dispositivos autorizados están en un nivel seguro, bueno, y estado genuino. El uso de DPS con Azure Sphere permite que los dispositivos se implementen más fácilmente a escala con otros servicios de Azure IoT.
Más información sobre Azure IoT DPS
Acerca de Azure IoT Hub
Azure IoT Hub es un servicio administrado que actúa como un centro de mensajes central para la comunicación bidireccional entre la aplicación de IoT y los dispositivos que administra.
Azure IoT Hub admite varios patrones de mensajería, por ejemplo, telemetría de dispositivo a nube, carga de archivos desde dispositivos y métodos de solicitud-respuesta para controlar los dispositivos desde la nube. Además, la supervisión de Azure IoT Hub le ayuda a mantener el estado de la solución mediante el seguimiento de eventos como la creación de dispositivos, los errores de dispositivo y las conexiones de dispositivos.
Más información acerca de Azure IoT Hub
Acerca de Azure IoT Central
Azure IoT Central es un servicio administrado que simplifica la creación de soluciones de IoT. Azure IoT Central simplifica la configuración inicial de la solución de IoT y reduce la carga de administración, los costos operativos y la sobrecarga de un proyecto típico de IoT.