Terminologia do Serviço de Provisionamento de Dispositivos do Hub IoT

  • Artigo

O DPS (Serviço de Provisionamento de Dispositivos) do Hub IoT é um serviço auxiliar para o Hub IoT que permite o provisionamento de dispositivos zero-touch para hubs IoT. Com o Serviço de Aprovisionamento de Dispositivos, pode aprovisionar milhões de dispositivos de forma segura e dimensionável.

O provisionamento de dispositivos é um processo em duas partes.

  1. A primeira parte estabelece a conexão inicial entre o dispositivo e a solução IoT registrando o dispositivo.
  2. A segunda parte aplica a configuração adequada ao dispositivo com base nos requisitos específicos da solução.

Uma vez concluídas ambas as etapas, o dispositivo foi totalmente provisionado. O Serviço de Aprovisionamento de Dispositivos automatiza os dois passos para fornecer uma experiência totalmente integrada de aprovisionamento do dispositivo.

Este artigo fornece uma visão geral dos conceitos de provisionamento aplicáveis ao gerenciamento do serviço. Este artigo é mais relevante para as pessoas envolvidas na etapa de configuração da nuvem de preparar um dispositivo para implantação.

Ponto de extremidade de operações de serviço

O ponto de extremidade de operações de serviço é o ponto de extremidade para gerenciar as configurações de serviço e manter a lista de registro. Este ponto de extremidade é usado apenas pelo administrador do serviço; ele não é usado por dispositivos.

Ponto de extremidade de provisionamento de dispositivo

O ponto de extremidade de provisionamento de dispositivo é o único ponto de extremidade que todos os dispositivos usam para provisionamento. A URL é a mesma para todas as instâncias de serviço de provisionamento, o que elimina a necessidade de reflash dispositivos com novas informações de conexão em cenários de cadeia de suprimentos. O escopo ID garante o isolamento do locatário.

Hubs IoT ligados

O Serviço de Provisionamento de Dispositivos só pode provisionar dispositivos para hubs IoT que tenham sido vinculados a ele. Vincular um hub IoT a uma instância do Serviço de Provisionamento de Dispositivo dá ao serviço permissões de leitura/gravação para o registro de dispositivo do hub IoT. Com o link, um Serviço de Provisionamento de Dispositivo pode registrar um ID de dispositivo e definir a configuração inicial no gêmeo do dispositivo. Os hubs IoT vinculados podem estar em qualquer região do Azure. Você pode vincular hubs em outras assinaturas ao seu serviço de provisionamento.

Para obter mais informações, consulte Como vincular e gerenciar hubs IoT

Política de afetação

A política de alocação é uma configuração de nível de serviço que determina como o Serviço de Provisionamento de Dispositivo atribui dispositivos a um hub IoT. Existem quatro políticas de atribuição apoiadas:

  • Distribuição ponderada uniformemente: hubs IoT vinculados têm a mesma probabilidade de ter dispositivos provisionados para eles. A definição pré-definida. Se você estiver provisionando dispositivos para apenas um hub IoT, poderá manter essa configuração.

  • Menor latência: os dispositivos são provisionados para um hub IoT com a menor latência para o dispositivo. Se vários hubs IoT vinculados fornecerem a mesma latência mais baixa, o serviço de provisionamento hashará dispositivos nesses hubs

  • Configuração estática por meio da lista de registro: a especificação do hub IoT desejado na lista de inscrição tem prioridade sobre a política de alocação de nível de serviço.

  • Personalizado (Usar Função do Azure): uma política de alocação personalizada oferece mais controle sobre como os dispositivos são atribuídos a um hub IoT. As políticas de alocação personalizadas usam uma Função do Azure para atribuir dispositivos a um hub IoT. O serviço de provisionamento de dispositivo chama seu código de Função do Azure fornecendo todas as informações relevantes sobre o dispositivo e o registro em seu código. Seu código de função é executado e retorna as informações do hub IoT usadas para provisionar o dispositivo. Para obter mais informações, consulte Compreender as políticas de alocação personalizadas.

Para obter mais informações, consulte Como usar políticas de alocação.

Inscrição

Um registro é o registro de dispositivos ou grupos de dispositivos que podem se registrar por meio do provisionamento automático. O registro de inscrição contém informações sobre o dispositivo ou grupo de dispositivos, incluindo:

  • O mecanismo de certificação utilizado pelo dispositivo
  • A configuração inicial desejada opcional
  • O hub IoT desejado
  • O ID do dispositivo desejado

Há dois tipos de inscrições suportadas pelo Serviço de Provisionamento de Dispositivos: grupos de inscrição e inscrições individuais.

Grupo de inscrição

Um grupo de inscrição é um grupo de dispositivos que compartilham um mecanismo de atestado específico. Os grupos de inscrição suportam certificado X.509 ou atestado de chave simétrica.

O nome do grupo de inscrição e os IDs de registro apresentados pelos dispositivos devem ser cadeias de caracteres alfanuméricos que não diferenciam maiúsculas de minúsculas mais os caracteres especiais: - . _ :. O último caractere deve ser alfanumérico ou traço (-). O nome do grupo de inscrição pode ter até 128 caracteres. Em grupos de inscrição de chaves simétricas, os IDs de registro apresentados pelos dispositivos podem ter até 128 caracteres. No entanto, em grupos de inscrição X.509, como o comprimento máximo do nome comum do assunto em um certificado X.509 é de 64 caracteres, as IDs de registro são limitadas a 64 caracteres.

Os dispositivos em um grupo de registro X.509 apresentam certificados X.509 assinados pela mesma autoridade de certificação (CA) raiz ou intermediária. O nome comum da entidade (NC) do certificado de entidade final (folha) de cada dispositivo torna-se o ID de registo desse dispositivo. Os dispositivos em um grupo de registro de chave simétrica apresentam tokens SAS derivados da chave simétrica do grupo.

Para dispositivos em um grupo de registro, a ID de registro também é usada como a ID de dispositivo registrada no Hub IoT.

Gorjeta

Recomendamos o uso de um grupo de registro para um grande número de dispositivos que compartilham uma configuração inicial desejada ou para dispositivos que vão para o mesmo locatário.

Inscrição individual

Uma inscrição individual é uma entrada para um único dispositivo que pode se registrar. As inscrições individuais podem usar certificados de folha X.509 ou tokens SAS (de um TPM físico ou virtual) como mecanismos de atestado.

O ID de registro em uma inscrição individual é uma cadeia de caracteres alfanuméricos que não diferencia maiúsculas de minúsculas mais os caracteres especiais: - . _ :. O último caractere deve ser alfanumérico ou traço (-). O DPS suporta IDs de registro de até 128 caracteres.

Para inscrições individuais X.509, o nome comum (CN) do certificado deve corresponder ao ID de registro, portanto, o nome comum deve aderir ao formato de cadeia de caracteres de ID de registro. O nome comum do assunto tem um comprimento máximo de 64 caracteres, portanto, o ID de registro é limitado a 64 caracteres para inscrições X.509.

As inscrições individuais podem ter o ID de dispositivo do hub IoT desejado especificado na entrada de inscrição. Se não for especificado, o ID de registro se tornará o ID do dispositivo registrado no Hub IoT.

Gorjeta

Recomendamos o uso de registros individuais para dispositivos que exigem configurações iniciais exclusivas ou para dispositivos que só podem se autenticar usando tokens SAS por meio do atestado TPM.

Mecanismo de certificação

Um mecanismo de certificação é o método utilizado para confirmar a identidade de um dispositivo. O mecanismo de atestado é configurado em uma entrada de registro e informa ao serviço de provisionamento qual método usar ao verificar a identidade de um dispositivo durante o registro.

Nota

O Hub IoT usa "esquema de autenticação" para um conceito semelhante nesse serviço.

O Serviço de Provisionamento de Dispositivos suporta as seguintes formas de atestado:

  • Certificados X.509 baseados no fluxo de autenticação de certificado X.509 padrão. Para obter mais informações, consulte Atestado X.509.
  • TPM (Trusted Platform Module) baseado em um desafio nonce, usando o padrão TPM para chaves para apresentar um token SAS (Shared Access Signature) assinado. Isso não requer um TPM físico no dispositivo, mas o serviço espera atestar o uso da chave de endosso de acordo com a especificação do TPM. Para obter mais informações, consulte Atestado TPM.
  • Chave simétrica baseada em tokens SAS de assinatura de acesso compartilhado (SAS), que incluem uma assinatura com hash e uma expiração incorporada. Para obter mais informações, consulte Atestado de chave simétrica.

Módulo de segurança de hardware

Um módulo de segurança de hardware, ou HSM, é usado para armazenamento seguro baseado em hardware de segredos de dispositivos e é a forma mais segura de armazenamento secreto. Tanto os certificados X.509 quanto os tokens SAS podem ser armazenados em um HSM.

Gorjeta

É altamente recomendável usar um HSM com dispositivos para armazenar segredos com segurança em seus dispositivos.

Os segredos do dispositivo também podem ser armazenados em software (memória), mas é uma forma menos segura de armazenamento do que um HSM.

Âmbito do ID

O escopo de ID é atribuído a um Serviço de Provisionamento de Dispositivo quando ele é criado e é usado para identificar exclusivamente o serviço de provisionamento específico. O escopo do ID é gerado pelo serviço e é imutável, o que garante exclusividade. A exclusividade do escopo do ID é importante para operações de implantação de longa duração e cenários de fusão e aquisição.

Registo de Registo

Um registro de registro é o registro de um dispositivo registrando/provisionando com êxito um Hub IoT por meio do Serviço de Provisionamento de Dispositivo. Os registos são criados automaticamente; eles podem ser excluídos, mas não podem ser atualizados.

ID de Registo

A ID de registro é usada para identificar exclusivamente um registro de dispositivo com o Serviço de Provisionamento de Dispositivo. A ID de registro deve ser exclusiva no escopo da ID do serviço de provisionamento. Cada dispositivo deve ter um ID de registo. O ID de registo é uma cadeia de carateres alfanuméricos que não diferencia maiúsculas de minúsculas mais os carateres especiais: - . _ :. O último caractere deve ser alfanumérico ou traço (-). O DPS suporta IDs de registro de até 128 caracteres.

  • Com o atestado TPM, o ID de registro é fornecido pelo próprio TPM.
  • Com o atestado baseado em X.509, o ID de registro é definido como o nome comum do assunto (CN) do certificado do dispositivo. Por esse motivo, o nome comum deve aderir ao formato de cadeia de caracteres de ID de registro. No entanto, o ID de registro é limitado a 64 caracteres porque esse é o comprimento máximo do nome comum do assunto em um certificado X.509.

ID do Dispositivo

O ID do dispositivo é o ID tal como aparece no Hub IoT. O ID do dispositivo desejado pode ser definido na entrada de inscrição, mas não é necessário configurá-lo. A definição do ID do dispositivo desejado só é suportada em inscrições individuais. Se nenhum ID de dispositivo desejado for especificado na lista de registro, o ID de registro será usado como o ID do dispositivo ao registrar o dispositivo. Saiba mais sobre IDs de dispositivo no Hub IoT.

Operações

As operações são a unidade de faturamento do Serviço de Provisionamento de Dispositivos. Uma operação é a conclusão bem-sucedida de uma instrução para o serviço. As operações podem incluir registros e reregistros de dispositivos, bem como alterações do lado do serviço, como adicionar e atualizar entradas da lista de registros.