Atestado, autenticação e provisionamento

Conectar dispositivos de IoT à plataforma de IoT envolve os três processos de atestado, autenticação e provisionamento.

• O mecanismo de atestado representa o método escolhido para um dispositivo confirmar sua identidade quando ele se conecta a um serviço de plataforma de IoT, como o Hub IoT do Azure. O Hub IoT dá suporte a chave simétrica, impressão digital X.509 e métodos de atestado de autoridade de certificação X.509.

• A Autenticação é como o dispositivo se identifica. O Hub IoT concede acesso a um dispositivo com base na capacidade do dispositivo de provar a si mesmo usando sua identidade de dispositivo exclusiva em combinação com seu mecanismo de atestado.

• O provisionamento é o ato de registrar um dispositivo no Hub IoT do Azure. O provisionamento torna o Hub IoT ciente do dispositivo e do mecanismo de atestado que o dispositivo usa.

DPS (Serviço de Provisionamento de Dispositivos) no Hub IoT do Azure

O provisionamento de dispositivos pode ocorrer por meio do DPS (Serviço de Provisionamento de Dispositivos no Hub IoT) ou diretamente por meio das APIs do Gerenciador de Registro do Hub IoT. O uso do DPS confere o benefício da associação tardia, que permite remover e reprovisionar dispositivos de campo para o Hub IoT sem alterar o software do dispositivo.

O exemplo a seguir mostra como implementar um fluxo de trabalho de transição de ambiente de teste para produção usando o DPS.

1. O desenvolvedor da solução vincula as nuvens de IoT de Teste e Produção ao serviço de provisionamento.
2. O dispositivo implementa o protocolo DPS para encontrar o Hub IoT se ele não for mais provisionado. Inicialmente, o dispositivo é provisionado para o ambiente de teste.
3. Como o dispositivo está registrado no ambiente de teste, ele se conecta lá e ocorre um teste.
4. O desenvolvedor provisiona o dispositivo para o ambiente de produção e o remove do hub de teste. O hub de teste rejeitará o dispositivo na próxima vez que ele se reconectar.
5. O dispositivo se conecta e negocia o fluxo de provisionamento. O DPS agora direciona o dispositivo para o ambiente de produção, e o dispositivo se conecta e se autentica lá.

Protocolos compatíveis com o Hub IoT

Considere as combinações de protocolos de autenticação compatíveis com o Hub IoT do Azure ao trabalhar com soluções de IoT de ponta a ponta. As combinações mostradas com linhas vermelhas no diagrama a seguir podem ser incompatíveis ou ter considerações adicionadas.

• Tokens SAS sempre são registrados como chaves simétricas com o Hub IoT.
• Revogar certificados por meio do DPS não impede que os dispositivos provisionados no momento continuem a se autenticar com o Hub IoT. Depois de revogar um certificado no DPS, remova também o dispositivo do Hub IoT manualmente por meio do painel do portal ou programaticamente usando APIs do Gerenciador de Registro.
• Embora o Hub IoT seja compatível com a autenticação de autoridade de certificação X.509, o provisionamento de dispositivos com autoridade de certificação X.509 por meio do DPS os provisiona para o Hub IoT como impressão digital X.509.
• Não há suporte para variantes de soquete da Web do AMQP e MQTT com certificados de autoridade de certificação X.509 no Hub IoT.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Jason Wadsworth | Engenheiro de Software Principal

Próximas etapas

• Configurar o Serviço de Provisionamento de Dispositivos do Hub IoT com o portal do Azure
• Provisionar um dispositivo simétrico usando C#
• Criar e provisionar um dispositivo X.509 usando o SDK do dispositivo C# para o Serviço de Provisionamento de Dispositivos no Hub IoT
• Autenticação de dispositivo usando certificados de AC X.509