Usare Azure IoT con Azure Sphere

I dispositivi Azure Sphere possono comunicare con Azure IoT usando servizi gestiti come hub IoT di Azure e Azure IoT Central.

Prima di iniziare

Indipendentemente dal servizio che usi, devi avere una sottoscrizione di Azure. Se l'organizzazione non ha già un abbonamento, è possibile configurare una versione di valutazione gratuita.

Importante

Anche se è possibile creare una sottoscrizione di Azure senza costi aggiuntivi, il processo di iscrizione richiede di fornire un numero di carta di credito.

Visibilità di Azure Sphere in Azure IoT

Il meccanismo che consente ad IoT di Azure di accettare dati da un dispositivo Azure Sphere consiste nel configurare un servizio IoT di Azure in modo che consideri attendibile il dispositivo Azure Sphere, per effettuare il provisioning del dispositivo al servizio IoT di Azure e quindi per connettersi al servizio IoT di Azure con credenziali attendibili. I servizi IoT di Azure possono essere configurati per accettare il certificato DAA (Azure Sphere Device Authentication and Attestation) come credenziale attendibile. L'uso di questo certificato è integrato nel sistema operativo del dispositivo per le connessioni ad Azure IoT con Azure IoT C SDK, tuttavia i servizi IoT di Azure devono essere configurati per accettare il certificato del catalogo Azure Sphere, che è il certificato padre nella catena per il certificato DAA. In alternativa, è possibile usare una catena di certificati del dispositivo personalizzata per connettersi ai servizi IoT di Azure. Il vantaggio dell'uso del certificato DAA Azure Sphere è che i certificati DAA vengono rinnovati quotidianamente e la presenza di un certificato valido indica che un dispositivo è attendibile e ha attestato che è originale e configurato in modo sicuro. Quando ci si connette con un certificato dispositivo personalizzato, queste garanzie di autorizzazione non sono disponibili e devono essere gestite in modo indipendente. I certificati personalizzati sono necessari per le organizzazioni con sistemi di gestione dei certificati necessari per l'uso con Azure IoT per le garanzie di sicurezza, normative o conformità e devono essere usati con Azure Sphere solo quando necessario.

Uso di Azure IoT con certificati Azure Sphere

Autenticare il catalogo di Azure Sphere

Dopo aver effettuato una sottoscrizione ad Azure, è necessario stabilire un trust tra Azure Sphere e l'applicazione Azure IoT Central o hub IoT di Azure istanza. È necessario eseguire i passaggi di convalida una sola volta scaricando un certificato dell'autorità di certificazione (CA) dal servizio Azure Sphere Security Service e convalidandolo usando un codice generato da hub IoT di Azure o Azure IoT Central. Il processo di convalida autentica il catalogo azure sphere.

Il processo di autenticazione è leggermente diverso per hub IoT di Azure e Azure IoT Central:

• Configurare un hub IoT
• Configurare Azure IoT Central

Passaggi successivi

Dopo aver effettuato una sottoscrizione di Azure e una CA convalidata, è possibile eseguire l'applicazione di esempio IoT di Azure da GitHub, che si connette ad Azure IoT Central o a hub IoT di Azure.

Uso di Azure IoT con certificati personalizzati

Contesto per l'utilizzo di certificati personalizzati

I certificati personalizzati possono essere configurati per funzionare con Azure IoT DPS, Hub e Central. Per usare un certificato personalizzato con Azure Sphere, il certificato deve essere generato in base al dispositivo e fornito ai dispositivi Azure Sphere. Azure Sphere offre opzioni per la ricezione di dati da varie origini, l'archiviazione dei dati e la crittografia dei dati per l'archiviazione permanente che può essere utilizzata per acquisire questi certificati. Una volta presente in un dispositivo, un'applicazione Azure Sphere può usare l'SDK IoT C di Azure con API per eseguire l'override dell'autenticazione Azure Sphere nei servizi IoT di Azure.

Configurazione delle applicazioni Azure Sphere per l'utilizzo di certificati personalizzati

Quando si usa DPS per eseguire il provisioning dei dispositivi Azure Sphere in altri servizi IoT di Azure, le applicazioni Azure Sphere dovranno creare una sessione DPS usando l'SDK Di Azure IoT C, che inizia con Prov_Device_LL_Create. Per impostazione predefinita, Azure Sphere utilizzerà il certificato DAA interno per le sessioni DPS, quindi è necessaria una chiamata aggiuntiva per passare la catena di certificati personalizzata all'SDK Di Azure IoT C ed eseguire l'override del certificato incorporato dal servizio di sicurezza Azure Sphere usando AzureIoT_OverrideAzureSphereAuthDPS.

Per la connessione a hub IoT di Azure, viene usata una chiamata diversa da Azure IoT C SDK per avviare una sessione, IoTHubDeviceClient_LL_CreateFromDeviceAuth. Analogamente a DPS, è necessaria una chiamata aggiuntiva per passare la catena di certificati personalizzata all'SDK di Azure IoT C per ignorare il certificato predefinito AzureIoT_OverrideAzureSphereAuthIoTHub. Si noti che anche quando si usano sia DPS che hub IoT, sono necessari entrambi gli override perché Azure IoT C SDK è organizzato separatamente per DPS e hub IoT ed entrambi gli override devono essere chiamati usando la stessa catena di certificati.

Informazioni su Azure IoT DPS

hub IoT di Azure servizio di provisioning dei dispositivi (DPS) consente di registrare i dispositivi tramite Zero-Touch Provisiong in altri servizi IoT di Azure, ad esempio hub IoT e centrale. Ciò significa che non è necessario che i dispositivi siano hardcoded per specifici endpoint IoT e che gli amministratori di dispositivi non debbano essere in prossimità fisica per i dispositivi da configurare per la connessione ai servizi IoT di Azure. Per i dispositivi Azure Sphere, il provisioning dei dispositivi si verifica in genere durante la produzione o la distribuzione del prodotto, in cui un dispositivo viene rivendicato in un catalogo del servizio di sicurezza Azure Sphere per la gestione attiva. Ai fini dell'IoT di Azure, il provisioning si riferisce solo all'autorizzazione dell'accesso alle risorse IoT di Azure e non allo stato di distribuzione del dispositivo. DPS può essere configurato per considerare attendibili tutti i dispositivi in un catalogo Azure Sphere registrando un certificato intermedio di catalogo, DPS può quindi autorizzare i dispositivi quotidianamente man mano che i certificati DAA vengono rinnovati nell'ambito del rinnovo della fiducia di Azure Sphere, fornendo un forte livello di garanzia che i dispositivi autorizzati siano noti per essere sicuri, buoni, e allo stato originale. L'uso di DPS con Azure Sphere consente ai dispositivi di essere distribuiti più facilmente su vasta scala con altri servizi IoT di Azure.

Altre informazioni su Azure IoT DPS

• Panoramica di Azure IoT DPS

• Guide introduttive ed esercitazioni di Azure IoT DPS

Informazioni su hub IoT di Azure

hub IoT di Azure è un servizio gestito che funge da hub messaggi centrale per la comunicazione bidirezionale tra l'applicazione IoT e i dispositivi gestiti.

hub IoT di Azure supporta più modelli di messaggistica, ad esempio telemetria da dispositivo a cloud, caricamento di file dai dispositivi e metodi di richiesta-risposta per controllare i dispositivi dal cloud. Inoltre, il monitoraggio hub IoT di Azure consente di mantenere l'integrità della soluzione monitorando eventi come la creazione di dispositivi, errori del dispositivo e connessioni del dispositivo.

Altre informazioni su hub IoT di Azure

• Panoramica di hub IoT di Azure

• hub IoT di Azure Guide introduttive ed esercitazioni

Informazioni su Azure IoT Central

Azure IoT Central è un servizio gestito che semplifica la creazione di soluzioni IoT. Azure IoT Central semplifica la configurazione iniziale della soluzione IoT e riduce il carico di gestione, i costi operativi e il sovraccarico di un tipico progetto IoT.

Altre informazioni su Azure IoT Central

• Che cos'è Azure IoT Central?

• Documentazione di Azure IoT