Bagikan melalui

Terminologi IoT Hub Device Provisioning Service

  • Artikel

IoT Hub Device Provisioning Service (DPS) adalah layanan pembantu untuk IoT Hub yang memungkinkan provisi perangkat tanpa sentuhan ke hub IoT. Dengan Device Provisioning Service, Anda dapat memprovisi jutaan perangkat dengan cara yang aman dan terukur.

Provisi perangkat adalah proses dua bagian.

  1. Bagian pertama menetapkan koneksi awal antara perangkat dan solusi IoT dengan mendaftarkan perangkat.
  2. Bagian kedua menerapkan konfigurasi yang tepat ke perangkat berdasarkan persyaratan spesifik solusi.

Setelah kedua langkah selesai, perangkat telah sepenuhnya diprovisikan. Device Provisioning Service mengotomatiskan kedua langkah untuk memberikan pengalaman provisi yang lancar untuk perangkat.

Artikel ini memberikan gambaran umum tentang konsep provisi yang berlaku untuk mengelola layanan. Artikel ini paling relevan untuk persona yang terlibat dalam langkah penyiapan cloud untuk menyiapkan perangkat untuk penyebaran.

Titik akhir operasi layanan

Titik akhir operasi layanan adalah titik akhir untuk mengelola pengaturan layanan dan mempertahankan daftar pendaftaran. Titik akhir ini hanya digunakan oleh administrator layanan; ini tidak digunakan oleh perangkat.

Titik akhir provisi perangkat

Titik akhir provisi perangkat adalah titik akhir tunggal yang digunakan semua perangkat untuk provisi. URL sama untuk semua instans layanan provisi, yang menghilangkan kebutuhan untuk mem-reflash perangkat dengan informasi koneksi baru dalam skenario rantai pasokan. Cakupan ID memastikan isolasi penyewa.

IoT Hub yang ditautkan

Device Provisioning Service hanya dapat memprovisikan perangkat ke IoT Hub yang sudah ditautkan ke hub tersebut. Menautkan hub IoT ke instans Device Provisioning Service memberi layanan izin baca/tulis ke registri perangkat hub IoT. Dengan tautan , Device Provisioning Service dapat mendaftarkan ID perangkat dan mengatur konfigurasi awal di perangkat kembar. IoT Hub tertaut mungkin berada di wilayah Azure mana pun. Anda dapat menautkan hub di langganan lain ke layanan provisi Anda.

Untuk informasi selengkapnya, lihat Cara menautkan dan mengelola hub IoT

Kebijakan alokasi

Kebijakan alokasi adalah pengaturan tingkat layanan yang menentukan bagaimana Device Provisioning Service menetapkan perangkat ke hub IoT. Ada empat kebijakan alokasi yang didukung:

  • Distribusi berbobot merata (default): IoT Hub yang ditautkan memiliki kemungkinan yang sama untuk memiliki perangkat yang diprovisikan untuknya. Pengaturan default. Jika Anda memprovisikan perangkat hanya ke satu hub IoT, Anda dapat menyimpan pengaturan ini.

  • Latensi terendah: Perangkat diprovisikan ke IoT Hub dengan latensi terendah ke perangkat. Jika beberapa IoT Hub yang ditautkan akan memberikan latensi terendah yang sama, layanan provisi meng-hash perangkat di seluruh hub tersebut

  • Konfigurasi statik melalui daftar pendaftaran: Spesifikasi IoT Hub yang diinginkan dalam daftar pendaftaran lebih diprioritaskan daripada kebijakan alokasi tingkat layanan.

  • Kustom (Gunakan Azure Function): Kebijakan alokasi kustom memberi Anda kontrol lebih besar tentang bagaimana perangkat ditetapkan ke IoT Hub. Kebijakan alokasi kustom menggunakan Fungsi Azure untuk menetapkan perangkat ke hub IoT. Layanan provisi perangkat memanggil kode Azure Function Anda dengan memberikan semua informasi yang relevan tentang perangkat dan pendaftaran ke kode Anda. Kode fungsi Anda dijalankan dan menampilkan informasi hub IoT yang digunakan untuk memprovisikan perangkat. Untuk informasi selengkapnya, lihat Memahami kebijakan alokasi kustom.

Untuk informasi selengkapnya, lihat Cara menggunakan kebijakan alokasi.

Pendaftaran

Pendaftaran adalah catatan perangkat atau grup perangkat yang dapat mendaftar melalui provisi otomatis. Rekaman pendaftaran berisi informasi tentang perangkat atau grup perangkat, termasuk:

  • Mekanisme pengesahan yang digunakan oleh perangkat
  • Konfigurasi awal yang diinginkan bersifat opsional
  • Hub IoT yang diinginkan
  • ID perangkat yang diinginkan

Ada dua jenis pendaftaran yang didukung oleh Device Provisioning Service: grup pendaftaran dan pendaftaran individu.

Grup pendaftaran

Grup pendaftaran adalah grup perangkat yang berbagi mekanisme pengesahan tertentu. Grup pendaftaran mendukung sertifikat X.509 atau pengesahan kunci konten.

Nama grup pendaftaran dan ID pendaftaran yang disajikan oleh perangkat harus berupa string karakter alfanumerik yang tidak peka huruf besar/kecil ditambah karakter khusus: - . _ :. Karakter terakhir harus alfanumerik atau tanda hubung (-). Nama grup pendaftaran dapat memiliki panjang hingga 128 karakter. Dalam grup pendaftaran kunci konten, ID pendaftaran yang disajikan oleh perangkat dapat memiliki panjang hingga 128 karakter. Namun, dalam grup pendaftaran X.509, karena panjang maksimum nama umum subjek dalam sertifikat X.509 adalah 64 karakter, ID pendaftaran dibatasi hingga 64 karakter.

Perangkat dalam grup pendaftaran X.509 menyajikan sertifikat X.509 yang ditandatangani oleh Otoritas Sertifikat (CA) akar atau menengah yang sama. Nama umum subjek (CN) dari sertifikat entitas akhir (daun) setiap perangkat menjadi ID pendaftaran untuk perangkat tersebut. Perangkat dalam grup pendaftaran kunci konten menyajikan token SAS yang berasal dari kunci konten grup.

Untuk perangkat dalam grup pendaftaran, ID pendaftaran juga digunakan sebagai ID perangkat yang terdaftar di IoT Hub.

Tip

Sebaiknya gunakan grup pendaftaran untuk sejumlah besar perangkat yang berbagi konfigurasi awal yang diinginkan, atau untuk semua perangkat yang masuk ke penyewa yang sama.

Pendaftaran individu

Pendaftaran individu adalah entri untuk satu perangkat yang dapat mendaftar. Pendaftaran individu dapat menggunakan sertifikat daun X.509 atau token SAS (dari TPM fisik atau virtual) sebagai mekanisme pengesahan.

ID pendaftaran dalam pendaftaran individu adalah string karakter alfanumerik yang tidak peka huruf besar/kecil ditambah karakter khusus: - . _ :. Karakter terakhir harus alfanumerik atau tanda hubung (-). DPS mendukung ID pendaftaran hingga 128 karakter.

Untuk pendaftaran individu X.509, nama umum subjek (CN) sertifikat harus cocok dengan ID pendaftaran, sehingga nama umum harus mematuhi format string ID pendaftaran. Nama umum subjek memiliki panjang maksimum 64 karakter, sehingga ID pendaftaran dibatasi hingga 64 karakter untuk pendaftaran X.509.

Pendaftaran individual mungkin memiliki ID perangkat hub IoT yang diinginkan yang ditentukan dalam entri pendaftaran. Jika tidak ditentukan, ID pendaftaran menjadi ID perangkat yang terdaftar di IoT Hub.

Tip

Sebaiknya gunakan pendaftaran individu untuk perangkat yang memerlukan konfigurasi awal yang unik, atau untuk perangkat yang hanya dapat mengautentikasi menggunakan token SAS melalui pengesahan TPM.

Mekanisme pengesahan

Mekanisme pengesahan adalah metode yang digunakan untuk mengonfirmasi identitas perangkat. Mekanisme pengesahan dikonfigurasi pada entri pendaftaran dan memberi tahu layanan provisi metode mana yang digunakan saat memverifikasi identitas perangkat selama pendaftaran.

Catatan

IoT Hub menggunakan "skema autentikasi" untuk konsep serupa dalam layanan itu.

Device Provisioning Service mendukung bentuk pengesahan berikut:

  • Sertifikat X.509 berdasarkan alur autentikasi sertifikat X.509 standar. Untuk informasi selengkapnya, lihat sertifikat X.509.
  • Modul Platform Tepercaya (TPM) berdasarkan tantangan nonce, menggunakan standar TPM untuk kunci guna menyajikan token Tanda Tangan Akses Bersama (SAS) yang ditandatangani. Ini tidak memerlukan TPM fisik pada perangkat, tetapi layanan mengharapkan untuk membuktikan menggunakan kunci dukungan sesuai spesifikasi TPM. Untuk informasi selengkapnya, lihat pengesahan TPM.
  • Kunci Konten berdasarkan token SAS tanda tangan akses bersama (SAS), yang mencakup tanda tangan hash dan kedaluwarsa yang disematkan. Untuk informasi selengkapnya, lihat Pengesahan kunci konten.

Modul keamanan perangkat keras

Modul keamanan perangkat keras, atau HSM, digunakan untuk penyimpanan rahasia perangkat berbasis perangkat keras yang aman, dan merupakan bentuk penyimpanan rahasia yang paling aman. Sertifikat X.509 dan token SAS dapat disimpan dalam HSM.

Tip

Kami sangat menyarankan menggunakan HSM dengan perangkat untuk menyimpan rahasia dengan aman di perangkat Anda.

Rahasia perangkat juga dapat disimpan dalam perangkat lunak (memori), tetapi merupakan bentuk penyimpanan yang kurang aman daripada HSM.

Cakupan ID

Cakupan ID ditetapkan ke Device Provisioning Service saat dibuat dan digunakan untuk mengidentifikasi layanan provisi tertentu secara unik. Cakupan ID dihasilkan oleh layanan dan tidak dapat diubah, yang menjamin keunikan. Keunikan cakupan ID penting untuk operasi penyebaran jangka panjang dan skenario merger dan akuisisi.

Catatan Pendaftaran

Catatan pendaftaran adalah catatan perangkat yang berhasil mendaftar/memprovisikan ke IoT Hub melalui Device Provisioning Service. Rekaman pendaftaran dibuat secara otomatis; mereka dapat dihapus, tetapi tidak dapat diperbarui.

ID Pendaftaran

ID pendaftaran digunakan untuk mengidentifikasi secara unik pendaftaran perangkat dengan Device Provisioning Service. ID pendaftaran harus unik dalam cakupan ID layanan penyediaan. Setiap perangkat harus memiliki ID pendaftaran. ID pendaftaran adalah string karakter alfanumerik yang tidak peka huruf besar/kecil ditambah karakter khusus: - . _ :. Karakter terakhir harus alfanumerik atau tanda hubung (-). DPS mendukung ID pendaftaran hingga 128 karakter.

  • Dengan pengesahan TPM, ID pendaftaran disediakan oleh TPM itu sendiri.
  • Dengan pengesahan berbasis X.509, ID pendaftaran diatur ke nama umum subjek (CN) sertifikat perangkat. Untuk alasan ini, nama umum harus mematuhi format string ID pendaftaran. Namun, ID pendaftaran dibatasi hingga 64 karakter karena itulah panjang maksimum nama umum subjek dalam sertifikat X.509.

ID Perangkat

ID perangkat adalah ID seperti yang muncul di IoT Hub. ID perangkat yang diinginkan dapat diatur dalam entri pendaftaran, tetapi tidak diperlukan untuk diatur. Mengatur ID perangkat yang diinginkan hanya didukung dalam pendaftaran individu. Jika tidak ada ID perangkat yang diinginkan yang ditentukan dalam daftar pendaftaran, ID pendaftaran digunakan sebagai ID perangkat saat mendaftarkan perangkat. Pelajari selengkapnya tentang ID perangkat di IoT Hub.

Operasional

Operasi adalah unit penagihan dari Device Provisioning Service. Salah satu operasi adalah keberhasilan penyelesaian satu petunjuk ke layanan. Operasi dapat mencakup pendaftaran perangkat dan pendaftaran ulang serta perubahan sisi layanan seperti menambahkan dan memperbarui entri daftar pendaftaran.