Terminologi IoT Hub Device Provisioning Service (DPS)

  • Artikel

IoT Hub Device Provisioning Service adalah layanan pembantu untuk IoT Hub yang Anda gunakan guna mengonfigurasi provisi perangkat tanpa sentuhan ke IoT Hub tertentu. Dengan Device Provisioning Service, Anda dapat memprovisi jutaan perangkat dengan cara yang aman dan terukur.

Provisi perangkat adalah proses dua bagian. Bagian pertama adalah membangun koneksi awal antara perangkat dan solusi IoT dengan mendaftarkan perangkat. Bagian kedua adalah menerapkan konfigurasi yang tepat ke perangkat berdasarkan persyaratan khusus solusi. Setelah kedua langkah selesai, perangkat telah sepenuhnya diprovisikan. Device Provisioning Service mengotomatiskan kedua langkah untuk memberikan pengalaman provisi yang lancar untuk perangkat.

Artikel ini memberikan ringkasan tentang konsep provisi yang paling berlaku untuk mengelola layanan. Artikel ini paling relevan untuk persona yang terlibat dalam langkah penyiapan cloud untuk menyiapkan perangkat untuk penyebaran.

Titik akhir operasi layanan

Titik akhir operasi layanan adalah titik akhir untuk mengelola pengaturan layanan dan mempertahankan daftar pendaftaran. Titik akhir ini hanya digunakan oleh administrator layanan; tidak digunakan oleh perangkat.

Titik akhir provisi perangkat

Titik akhir provisi perangkat adalah titik akhir tunggal yang digunakan semua perangkat untuk provisi otomatis. URL tersebut sama untuk semua instans layanan provisi, untuk menghilangkan kebutuhan untuk mem-flash ulang perangkat dengan informasi koneksi baru dalam skenario rantai suplai. Cakupan ID memastikan isolasi penyewa.

IoT Hub yang ditautkan

Device Provisioning Service hanya dapat memprovisikan perangkat ke IoT Hub yang sudah ditautkan ke hub tersebut. Menautkan hub IoT ke instans Layanan Penyediaan Perangkat memberikan izin baca/tulis layanan ke registri perangkat hub IoT; dengan tautan tersebut, Layanan Penyediaan Perangkat dapat mendaftarkan ID perangkat dan mengatur konfigurasi awal di perangkat kembar. IoT Hub tertaut mungkin berada di wilayah Azure mana pun. Anda dapat menautkan hub di langganan lain ke layanan provisi Anda.

Kebijakan alokasi

Pengaturan tingkat layanan yang menentukan bagaimana Device Provisioning Service menetapkan perangkat ke IoT Hub. Ada empat kebijakan alokasi yang didukung:

  • Distribusi berbobot merata (default): IoT Hub yang ditautkan memiliki kemungkinan yang sama untuk memiliki perangkat yang diprovisikan untuknya. Pengaturan default. Jika menyediakan perangkat hanya untuk satu hub IoT, Anda dapat menyimpan pengaturan ini.

  • Latensi terendah: Perangkat diprovisikan ke IoT Hub dengan latensi terendah ke perangkat. Jika beberapa IoT Hub yang ditautkan akan memberikan latensi terendah yang sama, layanan provisi meng-hash perangkat di seluruh hub tersebut

  • Konfigurasi statik melalui daftar pendaftaran: Spesifikasi IoT Hub yang diinginkan dalam daftar pendaftaran lebih diprioritaskan daripada kebijakan alokasi tingkat layanan.

  • Kustom (Gunakan Azure Function): Kebijakan alokasi kustom memberi Anda kontrol lebih besar atas bagaimana perangkat ditetapkan ke hub IoT. Ini dilakukan dengan menggunakan kode kustom dalam Azure Function untuk menetapkan perangkat ke IoT Hub. Layanan provisi perangkat memanggil kode Azure Function Anda dengan memberikan semua informasi yang relevan tentang perangkat dan pendaftaran ke kode Anda. Kode fungsi Anda dijalankan dan menampilkan informasi hub IoT yang digunakan untuk memprovisikan perangkat.

Pendaftaran

Pendaftaran adalah rekaman perangkat atau grup perangkat yang dapat mendaftar melalui provisi otomatis. Rekaman pendaftaran berisi informasi tentang perangkat atau grup perangkat, termasuk:

  • mekanisme pengesahan yang digunakan oleh perangkat
  • konfigurasi awal yang diinginkan opsional
  • IoT Hub yang diinginkan
  • ID perangkat yang diinginkan

Ada dua jenis pendaftaran yang didukung oleh Device Provisioning Service:

Grup pendaftaran

Grup pendaftaran adalah grup perangkat yang berbagi mekanisme pengesahan tertentu. Grup pendaftaran mendukung sertifikat X.509 atau pengesahan kunci konten. Perangkat dalam grup pendaftaran X.509 menyajikan sertifikat X.509 yang telah ditandatangani oleh Otoritas Sertifikat (CA) akar atau menengah yang sama. Nama umum subjek (CN) dari sertifikat entitas akhir (daun) setiap perangkat menjadi ID pendaftaran untuk perangkat tersebut. Perangkat dalam grup pendaftaran kunci konten menyajikan token SAS yang berasal dari kunci konten grup.

Nama grup pendaftaran serta ID pendaftaran yang disajikan oleh perangkat harus berupa string karakter alfanumerik yang tidak peka huruf besar/kecil ditambah karakter khusus: '-', , '.''_', ':'. Karakter terakhir harus alfanumerik atau tanda hubung ('-'). Nama grup pendaftaran dapat memiliki panjang hingga 128 karakter. Dalam grup pendaftaran kunci konten, ID pendaftaran yang disajikan oleh perangkat dapat memiliki panjang hingga 128 karakter. Namun, dalam grup pendaftaran X.509, karena panjang maksimum nama umum subjek dalam sertifikat X.509 adalah 64 karakter, ID pendaftaran dibatasi hingga 64 karakter.

Untuk perangkat dalam grup pendaftaran, ID pendaftaran juga digunakan sebagai ID perangkat yang terdaftar di IoT Hub.

Tip

Sebaiknya gunakan grup pendaftaran untuk sejumlah besar perangkat yang berbagi konfigurasi awal yang diinginkan, atau untuk semua perangkat yang masuk ke penyewa yang sama.

Pendaftaran individu

Pendaftaran individu adalah entri untuk satu perangkat yang dapat mendaftar. Pendaftaran individu dapat menggunakan sertifikat daun X.509 atau token SAS (dari TPM fisik atau virtual) sebagai mekanisme pengesahan. ID pendaftaran dalam pendaftaran individu adalah string karakter alfanumerik yang tidak peka huruf besar/kecil ditambah karakter khusus: '-', '.', '_', ':'. Karakter terakhir harus alfanumerik atau tanda hubung ('-'). DPS mendukung ID pendaftaran hingga 128 karakter.

Untuk pendaftaran individu X.509, nama umum subjek (CN) sertifikat menjadi ID pendaftaran, sehingga nama umum harus mematuhi format string ID pendaftaran. Nama umum subjek memiliki panjang maksimum 64 karakter, sehingga ID pendaftaran dibatasi hingga 64 karakter untuk pendaftaran X.509.

Pendaftaran individual mungkin memiliki ID perangkat hub IoT yang diinginkan yang ditentukan dalam entri pendaftaran. Jika tidak ditentukan, ID pendaftaran menjadi ID perangkat yang terdaftar di IoT Hub.

Anda dapat mengizinkan atau memblokir perangkat tertentu untuk sementara atau permanen agar tidak tersedia melalui Device Provisioning Service dengan mengontrol status provisi pendaftaran

Tip

Sebaiknya gunakan pendaftaran individu untuk perangkat yang memerlukan konfigurasi awal yang unik, atau untuk perangkat yang hanya dapat mengautentikasi menggunakan token SAS melalui pengesahan TPM.

Mekanisme pengesahan

Mekanisme pengesahan adalah metode yang digunakan untuk mengonfirmasi identitas perangkat. Mekanisme pengesahan dikonfigurasi pada entri pendaftaran dan memberi tahu layanan provisi metode mana yang digunakan saat memverifikasi identitas perangkat selama pendaftaran.

Catatan

IoT Hub menggunakan "skema autentikasi" untuk konsep serupa dalam layanan itu.

Device Provisioning Service mendukung bentuk pengesahan berikut:

  • Sertifikat X.509 berdasarkan alur autentikasi sertifikat X.509 standar. Untuk informasi selengkapnya, lihat sertifikat X.509.
  • Modul Platform Tepercaya (TPM) berdasarkan tantangan nonce, menggunakan standar TPM untuk kunci guna menyajikan token Tanda Tangan Akses Bersama (SAS) yang ditandatangani. Ini tidak memerlukan TPM fisik pada perangkat, tetapi layanan mengharapkan untuk membuktikan menggunakan kunci pengesahan sesuai spesifikasi TPM. Untuk informasi selengkapnya, lihat pengesahan TPM.
  • Kunci Konten berdasarkan token SAS tanda tangan akses bersama (SAS), yang mencakup tanda tangan hash dan kedaluwarsa yang disematkan. Untuk informasi selengkapnya, lihat Pengesahan kunci konten.

Modul keamanan perangkat keras

Modul keamanan perangkat keras, atau HSM, digunakan untuk penyimpanan rahasia perangkat berbasis perangkat keras yang aman, dan merupakan bentuk penyimpanan rahasia yang paling aman. Baik sertifikat X.509 dan token SAS dapat disimpan di HSM. HSM dapat digunakan dengan kedua mekanisme pengesahan yang didukung layanan provisi.

Tip

Kami sangat menyarankan menggunakan HSM dengan perangkat untuk menyimpan rahasia dengan aman di perangkat Anda.

Rahasia perangkat juga dapat disimpan dalam perangkat lunak (memori), tetapi ini adalah bentuk penyimpanan yang kurang aman daripada HSM.

Cakupan ID

Cakupan ID ditetapkan ke Device Provisioning Service saat dibuat oleh pengguna dan digunakan untuk secara unik mengidentifikasi layanan provisi spesifik yang akan didaftarkan oleh perangkat. Cakupan ID dihasilkan oleh layanan dan tidak dapat diubah, yang menjamin keunikan.

Catatan

Keunikan penting untuk operasi penyebaran jangka panjang dan skenario penggabungan dan akuisisi.

Catatan Pendaftaran

Catatan pendaftaran adalah catatan perangkat yang berhasil mendaftar/memprovisikan ke IoT Hub melalui Device Provisioning Service. Rekaman pendaftaran dibuat secara otomatis; rekaman tersebut dapat dihapus, tetapi tidak dapat diperbarui.

ID Pendaftaran

ID pendaftaran digunakan untuk mengidentifikasi secara unik pendaftaran perangkat dengan Device Provisioning Service. ID pendaftaran harus unik dalam cakupan ID layanan provisi. Setiap perangkat harus memiliki ID pendaftaran. ID pendaftaran adalah string karakter alfanumerik yang tidak peka huruf besar/kecil ditambah karakter khusus: '-', , '.''_', ':'. Karakter terakhir harus alfanumerik atau tanda hubung ('-'). DPS mendukung ID pendaftaran hingga 128 karakter.

  • Dalam kasus TPM, ID pendaftaran disediakan oleh TPM itu sendiri.
  • Dalam kasus pengesahan berbasis X.509, ID pendaftaran diatur ke nama umum subjek (CN) sertifikat perangkat. Untuk alasan ini, nama umum harus mematuhi format string ID pendaftaran. Namun, ID pendaftaran dibatasi hingga 64 karakter karena itulah panjang maksimum nama umum subjek dalam sertifikat X.509.

ID Perangkat

ID perangkat adalah ID seperti yang muncul di IoT Hub. ID perangkat yang diinginkan dapat diatur dalam entri pendaftaran, tetapi tidak diperlukan untuk diatur. Mengatur ID perangkat yang diinginkan hanya didukung dalam pendaftaran individu. Jika tidak ada ID perangkat yang diinginkan yang ditentukan dalam daftar pendaftaran, ID pendaftaran digunakan sebagai ID perangkat saat mendaftarkan perangkat. Pelajari selengkapnya tentang ID perangkat di IoT Hub.

Operasional

Operasi adalah unit penagihan dari Device Provisioning Service. Salah satu operasi adalah keberhasilan penyelesaian satu petunjuk ke layanan. Operasi termasuk pendaftaran perangkat dan pendaftaran ulang; operasi juga mencakup perubahan sisi layanan seperti menambahkan entri daftar pendaftaran, dan memperbarui entri daftar pendaftaran.