Share via


IoT Hub Device Provisioning Service-terminologie

IoT Hub Device Provisioning Service (DPS) is een helperservice voor IoT Hub waarmee zero-touch-apparaatinrichting mogelijk is voor IoT-hubs. Met de Device Provisioning Service kunt u miljoenen apparaten inrichten op een veilige en schaalbare manier.

Apparaatinrichting is een proces van twee onderdelen.

  1. Het eerste deel brengt de eerste verbinding tot stand tussen het apparaat en de IoT-oplossing door het apparaat te registreren.
  2. Het tweede deel past de juiste configuratie toe op het apparaat op basis van de specifieke vereisten van de oplossing.

Zodra beide stappen zijn voltooid, is het apparaat volledig ingericht. De Device Provisioning Service automatiseert beide stappen en biedt zo een naadloze ervaring voor de inrichting van het apparaat.

Dit artikel bevat een overzicht van de inrichtingsconcepten die van toepassing zijn op het beheren van de service. Dit artikel is het meest relevant voor persona's die betrokken zijn bij de cloudinstallatiestap om een apparaat gereed te maken voor implementatie.

Eindpunt voor servicebewerkingen

Het eindpunt voor servicebewerkingen is het eindpunt voor het beheren van de service-instellingen en het onderhouden van de inschrijvingslijst. Dit eindpunt wordt alleen gebruikt door de servicebeheerder; het wordt niet gebruikt door apparaten.

Eindpunt voor apparaatinrichting

Het eindpunt voor apparaatinrichting is het enige eindpunt dat alle apparaten gebruiken voor inrichting. De URL is hetzelfde voor alle exemplaren van de inrichtingsservice, waardoor het niet meer nodig is om apparaten opnieuw te flashen met nieuwe verbindingsgegevens in supply chain-scenario's. Het id-bereik zorgt voor tenantisolatie.

Gekoppelde IoT-hubs

Device Provisioning Service kan alleen apparaten inrichten voor IoT-hubs die eraan zijn gekoppeld. Als u een IoT-hub koppelt aan een exemplaar van Device Provisioning Service, krijgt de service lees-/schrijfmachtigingen voor het apparaatregister van de IoT-hub. Met de koppeling kan een Device Provisioning Service een apparaat-id registreren en de eerste configuratie instellen in de apparaatdubbel. Gekoppelde IoT-hubs kunnen zich in elke Azure-regio bevinden. U kunt hubs in andere abonnementen koppelen aan uw inrichtingsservice.

Zie IoT-hubs koppelen en beheren voor meer informatie

Toewijzingsbeleid

Het toewijzingsbeleid is een instelling op serviceniveau waarmee wordt bepaald hoe Device Provisioning Service apparaten toewijst aan een IoT-hub. Er zijn vier ondersteunde toewijzingsbeleidsregels:

  • Gelijkmatig gewogen distributie: gekoppelde IoT-hubs hebben even waarschijnlijk apparaten ingericht. De standaardinstelling. Als u apparaten inricht voor slechts één IoT-hub, kunt u deze instelling behouden.

  • Laagste latentie: apparaten worden ingericht voor een IoT-hub met de laagste latentie voor het apparaat. Als meerdere gekoppelde IoT-hubs dezelfde laagste latentie zouden bieden, heeft de inrichtingsservice hashes-apparaten in deze hubs

  • Statische configuratie via de inschrijvingslijst: specificatie van de gewenste IoT-hub in de inschrijvingslijst heeft prioriteit boven het toewijzingsbeleid op serviceniveau.

  • Aangepast (Azure-functie gebruiken): met een aangepast toewijzingsbeleid hebt u meer controle over hoe apparaten worden toegewezen aan een IoT-hub. Aangepast toewijzingsbeleid gebruikt een Azure-functie om apparaten toe te wijzen aan een IoT-hub. De device provisioning service roept uw Azure Function-code aan die alle relevante informatie over het apparaat en de inschrijving voor uw code levert. De functiecode wordt uitgevoerd en retourneert de gegevens van de IoT-hub die worden gebruikt om het apparaat in te richten. Zie Aangepast toewijzingsbeleid begrijpen voor meer informatie.

Zie Toewijzingsbeleid gebruiken voor meer informatie.

Inschrijving

Een inschrijving is de record van apparaten of groepen apparaten die zich kunnen registreren via automatisch inrichten. De inschrijvingsrecord bevat informatie over het apparaat of de groep apparaten, waaronder:

  • Het attestation-mechanisme dat door het apparaat wordt gebruikt
  • De optionele initiële gewenste configuratie
  • De gewenste IoT-hub
  • De gewenste apparaat-id

Er zijn twee typen inschrijvingen die worden ondersteund door Device Provisioning Service: inschrijvingsgroepen en afzonderlijke inschrijvingen.

Inschrijvingsgroep

Een inschrijvingsgroep is een groep apparaten die een specifiek attestation-mechanisme delen. Inschrijvingsgroepen ondersteunen X.509-certificaat of attestation met symmetrische sleutels.

De naam van de inschrijvingsgroep en de registratie-id's die door apparaten worden gepresenteerd, moeten hoofdlettergevoelige tekenreeksen van alfanumerieke tekens plus de speciale tekens zijn: - . _ : Het laatste teken moet alfanumeriek of streepje (-) zijn. De naam van de inschrijvingsgroep mag maximaal 128 tekens lang zijn. In symmetrische sleutelinschrijvingsgroepen kunnen de registratie-id's die door apparaten worden gepresenteerd, maximaal 128 tekens lang zijn. In X.509-inschrijvingsgroepen, omdat de maximale lengte van de algemene naam van het onderwerp in een X.509-certificaat echter 64 tekens is, zijn de registratie-id's beperkt tot 64 tekens.

Apparaten in een X.509-inschrijvingsgroep bevatten X.509-certificaten die zijn ondertekend door dezelfde basis- of tussenliggende certificeringsinstantie (CA). De algemene naam van het onderwerp (CN) van het end-entity-certificaat (leaf) van elk apparaat wordt de registratie-id voor dat apparaat. Apparaten in een symmetrische sleutelinschrijvingsgroep bevatten SAS-tokens die zijn afgeleid van de symmetrische groepssleutel.

Voor apparaten in een inschrijvingsgroep wordt de registratie-id ook gebruikt als de apparaat-id die is geregistreerd bij IoT Hub.

Tip

U wordt aangeraden een inschrijvingsgroep te gebruiken voor een groot aantal apparaten die een gewenste initiële configuratie delen, of voor apparaten die allemaal naar dezelfde tenant gaan.

Afzonderlijke inschrijving

Een afzonderlijke inschrijving is een vermelding voor één apparaat dat zich kan registreren. Afzonderlijke inschrijvingen kunnen X.509 leaf-certificaten of SAS-tokens (van een fysieke of virtuele TPM) gebruiken als attestation-mechanismen.

De registratie-id in een afzonderlijke inschrijving is een hoofdlettergevoelige tekenreeks met alfanumerieke tekens plus de speciale tekens: - . _ :. Het laatste teken moet alfanumeriek of streepje (-) zijn. DPS ondersteunt registratie-id's van maximaal 128 tekens.

Voor X.509 afzonderlijke inschrijvingen moet de algemene naam van het onderwerp (CN) van het certificaat overeenkomen met de registratie-id, zodat de algemene naam moet voldoen aan de tekenreeksindeling van de registratie-id. De algemene naam van het onderwerp heeft een maximale lengte van 64 tekens, dus de registratie-id is beperkt tot 64 tekens voor X.509-inschrijvingen.

Voor afzonderlijke inschrijvingen is mogelijk de gewenste IoT Hub-apparaat-id opgegeven in de inschrijvingsvermelding. Als deze niet is opgegeven, wordt de registratie-id de apparaat-id die is geregistreerd bij IoT Hub.

Tip

We raden u aan afzonderlijke inschrijvingen te gebruiken voor apparaten waarvoor unieke initiële configuraties zijn vereist, of voor apparaten die alleen kunnen worden geverifieerd met behulp van SAS-tokens via TPM-attestation.

Attestation-mechanisme

Een attestation-mechanisme is de methode die wordt gebruikt voor het bevestigen van de identiteit van een apparaat. Het attestation-mechanisme wordt geconfigureerd voor een inschrijvingsvermelding en vertelt de inrichtingsservice welke methode moet worden gebruikt bij het verifiëren van de identiteit van een apparaat tijdens de registratie.

Notitie

IoT Hub maakt gebruik van 'verificatieschema' voor een vergelijkbaar concept in die service.

Device Provisioning Service ondersteunt de volgende vormen van attestation:

  • X.509-certificaten op basis van de standaard X.509-certificaatverificatiestroom. Zie X.509 Attestation voor meer informatie.
  • Trusted Platform Module (TPM) op basis van een niet-ce-uitdaging, met behulp van de TPM-standaard voor sleutels om een ondertekend SAS-token (Shared Access Signature) te presenteren. Hiervoor is geen fysieke TPM op het apparaat vereist, maar de service verwacht dat deze de goedkeuringssleutel gebruikt volgens de TPM-specificatie. Zie TPM-attestation voor meer informatie.
  • Symmetrische sleutel op basis van SAS-tokens (Shared Access Signature), waaronder een hash-handtekening en een ingesloten vervaldatum. Zie Attestation voor symmetrische sleutels voor meer informatie.

Hardwarebeveiligingsmodule

Een hardwarebeveiligingsmodule of HSM wordt gebruikt voor veilige, hardwaregebaseerde opslag van apparaatgeheimen en is de veiligste vorm van geheime opslag. Zowel X.509-certificaten als SAS-tokens kunnen worden opgeslagen in een HSM.

Tip

We raden u ten zeerste aan om een HSM met apparaten te gebruiken om geheimen veilig op uw apparaten op te slaan.

Apparaatgeheimen kunnen ook worden opgeslagen in software (geheugen), maar het is een minder veilige vorm van opslag dan een HSM.

Id-bereik

Het id-bereik wordt toegewezen aan een Device Provisioning Service wanneer het wordt gemaakt en wordt gebruikt om de specifieke inrichtingsservice uniek te identificeren. Het id-bereik wordt gegenereerd door de service en is onveranderbaar, wat uniekheid garandeert. Id-bereik uniekheid is belangrijk voor langdurige implementatiebewerkingen en fusie- en overnamescenario's.

Registratierecord

Een registratierecord is de record van een apparaat dat is geregistreerd/ingericht voor een IoT Hub via Device Provisioning Service. Registratierecords worden automatisch gemaakt; ze kunnen worden verwijderd, maar ze kunnen niet worden bijgewerkt.

Registratie-id

De registratie-id wordt gebruikt om een apparaatregistratie uniek te identificeren bij Device Provisioning Service. De registratie-id moet uniek zijn in het bereik van de inrichtingsservice-id. Elk apparaat moet een registratie-id hebben. De registratie-id is een hoofdlettergevoelige tekenreeks met alfanumerieke tekens plus de speciale tekens: - . _ :. Het laatste teken moet alfanumeriek of streepje (-) zijn. DPS ondersteunt registratie-id's van maximaal 128 tekens.

  • Met TPM-attestation wordt de registratie-id geleverd door de TPM zelf.
  • Met attestation op basis van X.509 wordt de registratie-id ingesteld op de algemene naam van het onderwerp (CN) van het apparaatcertificaat. Daarom moet de algemene naam voldoen aan de tekenreeksindeling van de registratie-id. De registratie-id is echter beperkt tot 64 tekens, omdat dit de maximale lengte is van de algemene naam van het onderwerp in een X.509-certificaat.

Apparaat-ID

De apparaat-id is de id zoals deze wordt weergegeven in IoT Hub. De gewenste apparaat-id kan worden ingesteld in de inschrijvingsvermelding, maar hoeft niet te worden ingesteld. Het instellen van de gewenste apparaat-id wordt alleen ondersteund in afzonderlijke inschrijvingen. Als er geen gewenste apparaat-id wordt opgegeven in de registratielijst, wordt de registratie-id gebruikt als de apparaat-id bij het registreren van het apparaat. Meer informatie over apparaat-id's in IoT Hub.

Operations

Bewerkingen zijn de factureringseenheid van Device Provisioning Service. Eén bewerking is de geslaagde voltooiing van één instructie voor de service. Bewerkingen kunnen apparaatregistraties en herregistraties omvatten, evenals wijzigingen aan de servicezijde, zoals het toevoegen en bijwerken van vermeldingen in de registratielijst.