terminologia do Serviço de Fornecimento de Dispositivos de Hub IoT (DPS)

Hub IoT Serviço de Provisionamento de Dispositivos é um serviço de ajuda para Hub IoT que utiliza para configurar o fornecimento de dispositivos de toque zero a um hub IoT especificado. Com o Serviço de Provisionamento de Dispositivos, pode forcamar milhões de dispositivos de forma segura e escalável.

O fornecimento de dispositivos é um processo de duas partes. A primeira parte é estabelecer a ligação inicial entre o dispositivo e a solução IoT registando o dispositivo. A segunda parte é aplicar a configuração adequada ao dispositivo com base nos requisitos específicos da solução. Uma vez concluídos os dois passos, o dispositivo foi completamente provisionado. O Serviço de Aprovisionamento de Dispositivos automatiza os dois passos para fornecer uma experiência totalmente integrada de aprovisionamento do dispositivo.

Este artigo apresenta uma visão geral dos conceitos de provisionamento mais aplicáveis à gestão do serviço. Este artigo é mais relevante para as pessoas envolvidas no passo de configuração da nuvem de preparar um dispositivo para a implementação.

Ponto final das operações de serviço

O ponto final das operações de serviço é o ponto final para gerir as definições de serviço e manter a lista de inscrições. Este ponto final é utilizado apenas pelo administrador de serviço; não é utilizado por dispositivos.

Ponto final de provisionamento de dispositivos

O dispositivo que fornece o ponto final é o único ponto final que todos os dispositivos utilizam para o fornecimento automático. O URL é o mesmo para todas as instâncias de serviço de fornecimento, para eliminar a necessidade de reflash dispositivos com novas informações de conexão em cenários de cadeia de fornecimento. O âmbito de identificação garante o isolamento do inquilino.

Centros IoT ligados

O Serviço de Provisionamento de Dispositivos só pode prestar dispositivos a centros IoT que tenham sido ligados ao mesmo. A ligação de um hub IoT a uma instância do Serviço de Provisionamento de Dispositivos dá ao serviço permissões de leitura/escrita para o registo de dispositivos do hub IoT; com a ligação, um Serviço de Provisionamento de Dispositivos pode registar um ID do dispositivo e definir a configuração inicial no twin do dispositivo. Os centros IoT ligados podem estar em qualquer região de Azure. Pode ligar os hubs noutras subscrições ao seu serviço de fornecimento.

Política de atribuição

A definição de nível de serviço que determina como o Serviço de Provisionamento de Dispositivos atribui dispositivos a um hub IoT. Existem quatro políticas de atribuição apoiadas:

  • Distribuição equilibrada: os centros IoT ligados são igualmente propensos a ter dispositivos a eles a forrados. A definição predefinida. Se estiver a aprovisionar dispositivos apenas para um hub IoT, pode manter esta definição.

  • Latência mais baixa: os dispositivos são a provisionados para um hub IoT com a latência mais baixa do dispositivo. Se vários centros IoT ligados forneceriam a mesma latência mais baixa, o serviço de fornecimento hashes dispositivos através desses centros

  • Configuração estática através da lista de inscrições: a especificação do centro IoT desejado na lista de inscrições tem prioridade sobre a política de atribuição ao nível do serviço.

  • Custom (Use Azure Function): Uma política de atribuição personalizada dá-lhe mais controlo sobre a forma como os dispositivos são atribuídos a um hub IoT. Isto é conseguido utilizando código personalizado numa Função Azure para atribuir dispositivos a um hub IoT. O serviço de fornecimento de dispositivos chama o seu código Azure Function fornecendo todas as informações relevantes sobre o dispositivo e a inscrição no seu código. O seu código de função é executado e devolve as informações do hub IoT utilizadas para o fornecimento do dispositivo.

Inscrição

Uma inscrição é o registo de dispositivos ou grupos de dispositivos que podem registar-se através do fornecimento automático. O registo de inscrições contém informações sobre o dispositivo ou grupo de dispositivos, incluindo:

  • o mecanismo de atestado utilizado pelo dispositivo
  • a configuração opcional inicial desejada
  • hub IoT desejado
  • o ID do dispositivo desejado

Existem dois tipos de matrículas suportadas pelo Serviço de Provisionamento de Dispositivos:

Grupo de inscrições

Um grupo de inscrições é um grupo de dispositivos que partilham um mecanismo específico de atestado. Os grupos de inscrição suportam certificado X.509 ou atestado de chave simétrica. Os dispositivos de um grupo de matrículas X.509 apresentam certificados X.509 assinados pela mesma Autoridade de Certificados raiz ou intermédio (CA). O nome comum (CN) do certificado de entidade final (folha) de cada dispositivo passa a ser o ID de registo desse dispositivo. Os dispositivos de um grupo de inscrição chave simétrico apresentam fichas SAS derivadas da chave simétrica do grupo.

O nome do grupo de inscrição, bem como os IDs de registo apresentados pelos dispositivos, devem ser cordas insensíveis de caracteres alfanuméricos, além dos caracteres especiais: '-', '.'. '_'. . . ':' O último caractere deve ser alfanumérico ou traço ('-'). O nome do grupo de inscrição pode ter até 128 caracteres de comprimento. Nos grupos de inscrição chave simétricas, os IDs de registo apresentados pelos dispositivos podem ter até 128 caracteres de comprimento. No entanto, nos grupos de inscrição X.509, uma vez que o comprimento máximo do nome comum num certificado X.509 é de 64 caracteres, os IDs de registo estão limitados a 64 caracteres.

Para dispositivos num grupo de inscrição, o ID de registo também é usado como o ID do dispositivo que está registado em Hub IoT.

Dica

Recomendamos a utilização de um grupo de inscrição para um grande número de dispositivos que partilham uma configuração inicial desejada, ou para dispositivos que vão todos para o mesmo inquilino.

Inscrição individual

Uma inscrição individual é uma entrada para um único dispositivo que pode registar-se. As inscrições individuais podem utilizar certificados de folha X.509 ou fichas SAS (de um TPM físico ou virtual) como mecanismos de atestação. O ID de registo numa inscrição individual é uma cadeia de caracteres alfanuméricos insensíveis e os caracteres especiais: '-', '.'. '_'. ':' O último caractere deve ser alfanumérico ou traço ('-'). O DPS suporta iDs de registo até 128 caracteres de comprimento.

Para as matrículas individuais de X.509, o nome comum (CN) do certificado passa a ser o ID de registo, pelo que o nome comum deve aderir ao formato de cadeia de identificação de registo. O nome comum do sujeito tem um comprimento máximo de 64 caracteres, pelo que o ID de registo está limitado a 64 caracteres para inscrições de X.509.

As inscrições individuais podem ter o IoT hub id desejado especificado na entrada de inscrição. Se não for especificado, o ID de registo torna-se o ID do dispositivo que está registado em Hub IoT.

Dica

Recomendamos a utilização de inscrições individuais para dispositivos que exijam configurações iniciais únicas, ou para dispositivos que só podem autenticar usando tokens SAS através do atestado de TPM.

Mecanismo de atestação

Um mecanismo de atestação é o método utilizado para confirmar a identidade de um dispositivo. O mecanismo de atestação está configurado numa entrada de inscrição e diz ao serviço de provisionamento qual o método a utilizar ao verificar a identidade de um dispositivo durante o registo.

Nota

Hub IoT usa "esquema de autenticação" para um conceito semelhante nesse serviço.

O Serviço de Provisionamento de Dispositivos suporta as seguintes formas de atestado:

  • Certificados X.509 com base no fluxo de autenticação padrão X.509. Para mais informações, consulte a atetação X.509.
  • Módulo de Plataforma Fidedigna (TPM) baseado num desafio de nonce, utilizando a norma TPM para as chaves apresentarem um token assinado assinatura de acesso partilhado (SAS). Isto não requer um TPM físico no dispositivo, mas o serviço espera atestar usando a chave de averbamento de acordo com a especificação TPM. Para mais informações, consulte a atetação TPM.
  • Chave simétrica baseada em fichas SAS de assinatura de acesso partilhado (SAS), que incluem uma assinatura hashed e uma expiração incorporada. Para mais informações, consulte a estação de informação de chave simétrica.

Módulo de segurança de hardware

O módulo de segurança de hardware, ou HSM, é usado para armazenamento seguro e baseado em hardware de segredos do dispositivo, e é a forma mais segura de armazenamento secreto. Tanto os certificados X.509 como os tokens SAS podem ser armazenados no HSM. Os HSMs podem ser utilizados com ambos os mecanismos de atestado que o serviço de fornecimento suporta.

Dica

Recomendamos vivamente a utilização de um HSM com dispositivos para armazenar segredos de forma segura nos seus dispositivos.

Os segredos do dispositivo também podem ser armazenados em software (memória), mas é uma forma de armazenamento menos segura do que um HSM.

Âmbito de ID

O âmbito de identificação é atribuído a um Serviço de Provisionamento de Dispositivos quando é criado pelo utilizador e é utilizado para identificar de forma única o serviço de fornecimento específico através do qual o dispositivo irá registar.. O âmbito de ID é gerado pelo serviço e é imutável, o que garante a singularidade.

Nota

A singularidade é importante para operações de implantação de longa duração e cenários de fusão e aquisição.

Registo

Um registo é o registo de um dispositivo que regista/a provisione com sucesso a um Hub IoT através do Serviço de Provisionamento de Dispositivos. Os registos de registo são criados automaticamente; podem ser eliminados, mas não podem ser atualizados.

ID de inscrição

O ID de registo é utilizado para identificar de forma única um registo do dispositivo com o Serviço de Provisionamento de Dispositivos. O ID de registo deve ser único no âmbito de identificação do serviço de fornecimento. Cada dispositivo deve ter uma identificação de registo. O ID de registo é uma cadeia de caracteres alfanuméricos, além dos caracteres especiais: '-'. '.'. . '_'. . ':' O último caractere deve ser alfanumérico ou traço ('-'). O DPS suporta iDs de registo até 128 caracteres de comprimento.

  • No caso do TPM, o ID de registo é fornecido pelo próprio TPM.
  • No caso do atestado com base em X.509, o ID de registo é definido como nome comum (CN) do certificado do dispositivo. Por esta razão, o nome comum deve aderir ao formato de cadeia de identificação de registo. No entanto, o ID de registo está limitado a 64 caracteres porque é o comprimento máximo do nome comum num certificado X.509.

ID do Dispositivo

O ID do dispositivo é o ID tal como aparece em Hub IoT. O ID do dispositivo pretendido pode ser definido na entrada de inscrição, mas não é necessário definir. A definição do ID do dispositivo pretendido só é suportada em inscrições individuais. Se não for especificado nenhum ID do dispositivo desejado na lista de inscrição, o ID de registo é utilizado como ID do dispositivo ao registar o dispositivo. Saiba mais sobre as ids do dispositivo em Hub IoT.

Operações

As operações são a unidade de faturação do Serviço de Provisionamento de Dispositivos. Uma operação é a conclusão bem sucedida de uma instrução para o serviço. As operações incluem registos de dispositivos e re-registos; as operações também incluem alterações do lado do serviço, tais como a adição de inscrições na lista de inscrições e a atualização de inscrições na lista de inscrições.