Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O DPS (Serviço de Provisionamento de Dispositivos) do Hub IoT é um serviço auxiliar para o Hub IoT que permite o provisionamento de dispositivos zero-touch para hubs IoT. Com o Serviço de Provisionamento de Dispositivos, você pode provisionar milhões de dispositivos de forma segura e escalável.
O provisionamento de dispositivos é um processo em duas partes.
- A primeira parte estabelece a conexão inicial entre o dispositivo e a solução IoT registrando o dispositivo.
- A segunda parte aplica a configuração adequada ao dispositivo com base nos requisitos específicos da solução.
Quando ambas as etapas forem concluídas, o dispositivo será totalmente provisionado. O Serviço de Aprovisionamento de Dispositivos automatiza os dois passos para fornecer uma experiência totalmente integrada de aprovisionamento do dispositivo.
Este artigo fornece uma visão geral dos conceitos de provisionamento aplicáveis ao gerenciamento do serviço. Este artigo é mais relevante para as pessoas envolvidas na etapa de configuração da nuvem de preparar um dispositivo para implantação.
Terminal de operações de serviço
O ponto de extremidade de operações de serviço é onde se gerenciam as configurações de serviço e se mantém a lista de inscrições. Este endpoint é usado apenas pelo administrador do serviço; ele não é usado por dispositivos.
Endpoint de provisionamento de dispositivo
O ponto de extremidade de provisionamento de dispositivo é o ponto de extremidade que os dispositivos usam para provisionamento. Embora todas as instâncias DPS usem o mesmo nome de host de ponto de extremidade global (global.azure-devices-provisioning.net), cada dispositivo também deve fornecer o escopo de ID exclusivo que identifica a instância específica do DPS durante o processo de provisionamento. Isso significa que o provisionamento de dispositivos para diferentes instâncias DPS usará valores de escopo de ID diferentes, exigindo configuração de dispositivo ou atualizações de firmware ao mover dispositivos entre instâncias DPS diferentes em cenários que envolvem vários serviços de provisionamento (como implantações com mais de 1 milhão de dispositivos).
Hubs IoT ligados
O Serviço de Provisionamento de Dispositivos só pode provisionar dispositivos para hubs IoT vinculados a ele. Vincular um hub IoT a uma instância do Serviço de Provisionamento de Dispositivo dá ao serviço permissões de leitura/gravação para o registro de dispositivo do hub IoT. Com o link, um Serviço de Provisionamento de Dispositivo pode registrar um ID de dispositivo e definir a configuração inicial no gêmeo do dispositivo. Os hubs IoT vinculados podem estar em qualquer região do Azure. Você pode vincular hubs em outras assinaturas ao seu serviço de provisionamento.
Para obter mais informações, consulte Como vincular e gerenciar hubs IoT
Política de alocação
A política de alocação é uma configuração de nível de serviço que determina como o Serviço de Provisionamento de Dispositivo atribui dispositivos a um hub IoT. Existem quatro políticas de atribuição apoiadas:
Distribuição ponderada uniformemente: hubs IoT vinculados têm a mesma probabilidade de ter dispositivos provisionados para eles. A definição padrão. Se você estiver provisionando dispositivos para apenas um hub IoT, poderá manter essa configuração.
Menor latência: os dispositivos são provisionados para um hub IoT com a menor latência para o dispositivo. Se vários hubs IoT ligados fornecerem a mesma latência mínima, o serviço de provisionamento distribuirá os dispositivos entre esses hubs.
Configuração estática por meio da lista de registro: a especificação do hub IoT desejado na lista de inscrição tem prioridade sobre a política de alocação de nível de serviço.
Personalizado (Usar Função do Azure): uma política de alocação personalizada oferece mais controle sobre como os dispositivos são atribuídos a um hub IoT. As políticas de alocação personalizadas usam uma Função do Azure para atribuir dispositivos a um hub IoT. O serviço de provisionamento de dispositivo chama seu código de Função do Azure fornecendo todas as informações relevantes sobre o dispositivo e o registro em seu código. Seu código de função é executado e retorna as informações do hub IoT usadas para provisionar o dispositivo. Para obter mais informações, consulte Tutorial: Usar políticas de alocação personalizadas com o Serviço de Provisionamento de Dispositivo (DPS).
Para obter mais informações, consulte Como usar políticas de alocação para provisionar dispositivos em hubs IoT.
Inscrição
Uma inscrição é o registo de dispositivos ou grupos de dispositivos que possam registar-se através do aprovisionamento automático. O registro de inscrição contém informações sobre o dispositivo ou grupo de dispositivos, incluindo:
- O mecanismo de certificação utilizado pelo dispositivo
- A configuração inicial desejada opcional
- O hub IoT desejado
- O ID do dispositivo desejado
Há dois tipos de inscrições suportadas pelo Serviço de Provisionamento de Dispositivos: grupos de inscrição e inscrições individuais.
Grupo de inscrição
Um grupo de inscrição é um grupo de dispositivos que compartilham um mecanismo de atestado específico. Os grupos de inscrição suportam certificado X.509 ou atestado de chave simétrica.
O nome do grupo de inscrição e os IDs de registro apresentados pelos dispositivos devem ser cadeias de caracteres alfanuméricos que não diferenciam maiúsculas de minúsculas mais os caracteres especiais: - . _ :. O último caractere deve ser alfanumérico ou hífen (-). O nome do grupo de inscrição pode ter até 128 caracteres. Em grupos de inscrição de chaves simétricas, os IDs de registro apresentados pelos dispositivos podem ter até 128 caracteres. No entanto, em grupos de inscrição X.509, como o comprimento máximo do nome comum do assunto em um certificado X.509 é de 64 caracteres, as IDs de registro são limitadas a 64 caracteres.
Os dispositivos em um grupo de registro X.509 apresentam certificados X.509 assinados pela mesma autoridade de certificação (CA) raiz ou intermediária. O nome comum do sujeito (CN) do certificado de entidade final (folha) de cada dispositivo torna-se a identificação de registo para esse dispositivo. Os dispositivos em um grupo de registro de chave simétrica apresentam tokens SAS derivados da chave simétrica do grupo.
Para dispositivos em um grupo de registro, a ID de registro também é usada como a ID de dispositivo registrada no Hub IoT.
Sugestão
Recomendamos o uso de um grupo de registro para um grande número de dispositivos que compartilham uma configuração inicial desejada ou para dispositivos que vão para o mesmo locatário.
Inscrição individual
Uma inscrição individual é uma entrada para um único dispositivo que pode se registrar. As inscrições individuais podem usar certificados de folha X.509 ou tokens SAS (de um TPM físico ou virtual) como mecanismos de atestado.
O ID de registro em uma inscrição individual é uma cadeia de caracteres alfanuméricos que não diferencia maiúsculas de minúsculas mais os caracteres especiais: - . _ :. O último caractere deve ser alfanumérico ou hífen (-). O DPS suporta IDs de registro de até 128 caracteres.
Para registos individuais X.509, o nome comum (CN) do certificado deve corresponder ao ID de registo, portanto, o nome comum deve aderir ao formato de cadeia de caracteres do ID de registo. O nome comum do assunto tem um comprimento máximo de 64 caracteres, portanto, o ID de registro é limitado a 64 caracteres para inscrições X.509.
As inscrições individuais podem ter o ID de dispositivo do hub IoT desejado especificado na entrada de inscrição. Se não for especificado, o ID de registro se tornará o ID do dispositivo registrado no Hub IoT.
Sugestão
Recomendamos o uso de registros individuais para dispositivos que exigem configurações iniciais exclusivas ou para dispositivos que só podem se autenticar usando tokens SAS por meio do atestado TPM.
Mecanismo de certificação
Um mecanismo de certificação é o método utilizado para confirmar a identidade de um dispositivo. O mecanismo de atestado é configurado em uma entrada de registro e informa ao serviço de provisionamento qual método usar ao verificar a identidade de um dispositivo durante o registro.
Observação
O Hub IoT usa "esquema de autenticação" para um conceito semelhante nesse serviço.
O Serviço de Provisionamento de Dispositivos suporta as seguintes formas de atestado:
- Certificados X.509 baseados no fluxo de autenticação padrão de certificados X.509. Para obter mais informações, consulte Atestado de certificado X.509.
- TPM (Trusted Platform Module) baseado em um desafio de nonce, usando o padrão TPM para chaves para apresentar um token SAS (Shared Access Signature) assinado. Isso não requer um TPM físico no dispositivo, mas o serviço espera atestar o uso da chave de endosso de acordo com a especificação do TPM. Para obter mais informações, consulte Atestado TPM.
- Chave simétrica baseada em tokens SAS de assinatura de acesso compartilhado (SAS), que incluem uma assinatura com hash e uma expiração incorporada. Para obter mais informações, consulte Atestado de chave simétrica.
Módulo de segurança de hardware
Um módulo de segurança de hardware, ou HSM, é usado para armazenamento seguro baseado em hardware de segredos de dispositivos e é a forma mais segura de armazenamento secreto. Tanto os certificados X.509 quanto os tokens SAS podem ser armazenados em um HSM.
Sugestão
É altamente recomendável usar um HSM com dispositivos para armazenar segredos com segurança em seus dispositivos.
Os segredos do dispositivo também podem ser armazenados em software (memória), mas é uma forma menos segura de armazenamento do que um HSM.
Âmbito do ID
O escopo de ID é atribuído a um Serviço de Provisionamento de Dispositivo quando ele é criado e é usado para identificar exclusivamente o serviço de provisionamento específico. O serviço gera o escopo de ID, que é imutável e garante exclusividade. A exclusividade do escopo do ID é importante para operações de implantação de longa duração e cenários de fusão e aquisição.
Registo de Inscrição
Um registo de inscrição é o registo de um dispositivo provisionado com sucesso para um hub IoT através do Serviço de Provisionamento de Dispositivo. Os registos são criados automaticamente; eles podem ser excluídos, mas não podem ser atualizados.
ID de Registo
A ID de registro é usada para identificar exclusivamente um registro de dispositivo com o Serviço de Provisionamento de Dispositivo. A ID de registro deve ser exclusiva no escopo da ID do serviço de provisionamento. Cada dispositivo deve ter um ID de registo. O ID de registo é uma cadeia de carateres alfanuméricos que não diferencia maiúsculas de minúsculas mais os carateres especiais: - . _ :. O último caractere deve ser alfanumérico ou hífen (-). O DPS suporta IDs de registro de até 128 caracteres.
- Com a certificação TPM, o ID de registo é fornecido pelo próprio TPM.
- Com o atestado baseado em X.509, o ID de registo é definido como o nome comum do sujeito (CN) do certificado do dispositivo. Por esse motivo, o nome comum deve aderir ao formato de cadeia de caracteres de ID de registro. No entanto, o ID de registro é limitado a 64 caracteres porque esse é o comprimento máximo do nome comum do assunto em um certificado X.509.
ID do dispositivo
O ID do dispositivo é o ID tal como aparece no Hub IoT. O ID do dispositivo desejado pode ser definido na entrada de inscrição, mas não é necessário configurá-lo. A definição do ID do dispositivo desejado só é suportada em inscrições individuais. Se nenhum ID de dispositivo desejado for especificado na lista de registro, o ID de registro será usado como o ID do dispositivo ao registrar o dispositivo. Para obter mais informações sobre IDs de dispositivo no Hub IoT, consulte Compreender o registro de identidade em seu hub IoT.
Operações
As operações são a unidade de faturamento do Serviço de Provisionamento de Dispositivos. Uma operação é a conclusão bem-sucedida de uma instrução dada ao serviço. As operações podem incluir registros e reregistros de dispositivos, bem como alterações do lado do serviço, como adicionar e atualizar entradas da lista de registros.