Atestación, autenticación y aprovisionamiento

La conexión de dispositivos de IoT a la plataforma de IoT implica los tres procesos de atestación, autenticación y aprovisionamiento.

• El mecanismo de atestación representa el método elegido para que un dispositivo confirme su identidad cuando se conecta a un servicio de la plataforma de IoT como Azure IoT Hub. IoT Hub admite estos métodos de atestación: clave simétrica, huella digital de X.509 y entidad de certificación de X.509.

• La autenticación es el modo en que el dispositivo se identifica a sí mismo. IoT Hub concede acceso a un dispositivo en función de la capacidad del dispositivo para probarse mediante su identidad de dispositivo única en combinación con su mecanismo de atestación.

• El aprovisionamiento es el acto de inscribir un dispositivo en Azure IoT Hub. El aprovisionamiento hace que IoT Hub tenga en cuenta el dispositivo y el mecanismo de atestación que usa el dispositivo.

Azure IoT Hub Device Provisioning Service (DPS)

El aprovisionamiento de dispositivos puede realizarse directamente a través de Azure IoT Hub Device Provisioning Service (DPS) o a través de las API del Administrador del Registro de IoT. El uso de DPS ofrece la ventaja del enlace en tiempo de ejecución, que permite quitar y reaprovisionar dispositivos de campo para IoT Hub sin cambiar el software del dispositivo.

En este ejemplo se muestra cómo implementar un flujo de trabajo de transición de entorno de prueba a producción mediante DPS.

1. El desarrollador de soluciones enlaza las nubes de IoT de producción y de prueba al servicio de aprovisionamiento.
2. El dispositivo implementa el protocolo DPS para encontrar IoT Hub si ya no se aprovisiona. El dispositivo se aprovisiona inicialmente en el entorno de prueba.
3. Puesto que el dispositivo está registrado con el entorno de prueba, se conecta allí y se realizan las pruebas.
4. El desarrollador reaprovisiona el dispositivo en el entorno de producción y lo quita de la central de pruebas. La central de pruebas rechaza el dispositivo la próxima vez que se vuelve a conectar.
5. El dispositivo se conecta y vuelve a negociar el flujo de aprovisionamiento. DPS ahora dirige el dispositivo al entorno de producción y el dispositivo se conecta y se autentica allí.

Protocolos admitidos de IoT Hub

Tenga en cuenta las combinaciones de protocolos de autenticación admitidos de Azure IoT Hub al trabajar con soluciones de IoT integrales. Las combinaciones que se muestran con líneas rojas en este diagrama siguiente pueden ser incompatibles o tener consideraciones adicionales.

• Los tokens de SAS siempre se registran como claves simétricas con IoT Hub.
• La revocación de certificados a través de DPS no impide que los dispositivos que hay aprovisionados actualmente se sigan autenticando con IoT Hub. Después de revocar un certificado en DPS, quite también el dispositivo de IoT Hub, ya sea manualmente a través del panel del portal o mediante programación con la API del Administrador del Registro.
• Aunque IoT Hub admite la autenticación mediante entidad de certificación de X.509, al aprovisionar los dispositivos con la entidad de certificación de X.509 a través de DPS, se aprovisionan en el IoT Hub como una huella digital de X.509.
• No se admiten las variantes de sockets web de AMQP y MQTT con certificados de entidad de certificación de X. 509 en IoT Hub.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Jason Wadsworth | Ingeniero principal de software

Pasos siguientes

• Configuración de Azure IoT Hub Device Provisioning Service con Azure Portal
• Inicio rápido: Aprovisionamiento de un dispositivo con claves simétricas mediante C#
• Inicio rápido: Creación y aprovisionamiento de un dispositivo X.509 mediante el SDK de dispositivos para C# de IoT Hub Device Provisioning Service
• Autenticación de dispositivos mediante certificados de entidades de certificación X.509