التحكم في الوصول إلى IoT Hub باستخدام توقيعات الوصول المشترك

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توضح هذه المقالة خيارات تأمين مركز إنترنت الأشياء. يستخدم IoT Hub الأذونات لمنح حق الوصول إلى كل نقطة نهاية لمركز إنترنت الأشياء. تُقيّد الأذونات إمكانية الوصول إلى IoT Hub بناءً على الوظائف.

يقدم هذا المقال:

• الأذونات المختلفة التي يمكنك منحها للعميل للوصول إلى مركز إنترنت الأشياء الخاص بك.
• الرموز المميزة التي يستخدمها IoT Hub للتحقق من الأذونات.
• كيفية تحديد نطاق بيانات الاعتماد للحد من الوصول إلى موارد محددة.
• آليات مصادقة الجهاز المخصصة التي تستخدم سجلات هوية الجهاز الحالية أو أنظمة المصادقة.

ملاحظة

تتوفر بعض الميزات المذكورة في هذه المقالة، مثل المراسلة من السحابة إلى الجهاز، وتوائم الأجهزة، وإدارة الأجهزة، فقط في المستوى القياسي من IoT Hub. لمزيد من المعلومات حول مستويات مركز IoT الأساسية والمعيارية، راجع كيفية اختيار مستوى مركز IoT الصحيح.

يجب أن يكون لديك الأذونات المناسبة للوصول إلى أي من نقاط نهاية IoT Hub. على سبيل المثال، يجب أن يتضمن الجهاز رمزا مميزا يحتوي على بيانات اعتماد الأمان إلى جانب كل رسالة يرسلها إلى IoT Hub. ومع ذلك ، لا يتم إرسال مفاتيح التوقيع ، مثل المفاتيح المتماثلة للجهاز ، عبر السلك.

التحكم بالوصول والأذونات

استخدم نهج الوصول المشتركة للوصول إلى IoT hub على مستوى لوحة الوصل، واستخدم بيانات اعتماد الجهاز الفردي لتوسيع نطاق الوصول إلى هذا الجهاز فقط.

سياسات الوصول المشترك على مستوى محور إنترنت الأشياء

يمكن أن تمنح سياسات الوصول المشترك أي مجموعة من الأذونات. يمكنك تعريف النهج في مدخل Azure، برمجيا باستخدام واجهات برمجة تطبيقات REST لموارد مركز إنترنت الأشياء، أو باستخدام نهج مركز إنترنت الأشياء CLI. يحتوي IoT Hub المنشأ حديثا على النهج الافتراضية التالية:

نهج الوصول المشترك	الأذونات
Iothubowner	كل الأذونات
الخدمة	أذونات سيرفيس كونيكت
device	أذونات DeviceConnect
قراءة السجل	أذونات قراءة التسجيل
كتابة قراءة السجل	التسجيل أذونات القراءة والتسجيلالكتابة

يسرد الجدول التالي الأذونات التي يمكنك استخدامها للتحكم في الوصول إلى مركز إنترنت الأشياء.

الإذن	ملاحظات
سيرفيس كونيكت	يمنح الوصول إلى نقاط نهاية الاتصالات والمراقبة التي تواجه الخدمة السحابية. يمنح الإذن لتلقي الرسائل من جهاز إلى سحابة، وإرسال رسائل من مجموعة سحابة إلى جهاز، واسترداد إقرارات التسليم المقابلة. يمنح الإذن لاسترداد إقرارات التسليم لتحميلات الملفات. يمنح الإذن للوصول إلى التوائم لتحديث العلامات والخصائص المطلوبة، واسترداد الخصائص التي تم الإبلاغ عنها، وتشغيل الاستعلامات. يتم استخدام هذا الإذن بواسطة الخدمات السحابية الخلفية.
DeviceConnect	يمنح الوصول إلى نقاط النهاية المواجهة للجهاز. يمنح الإذن لإرسال رسائل من جهاز إلى سحابة وتلقي رسائل من مجموعة إلى أخرى. يمنح الإذن لإجراء تحميل الملفات من جهاز. يمنح الإذن لتلقي إشعارات الخاصية التوأم للجهاز المطلوب وتحديث الخصائص التي تم الإبلاغ عنها بتوأم الجهاز. يمنح الإذن لإجراء عمليات تحميل الملفات. يتم استخدام هذا الإذن بواسطة الأجهزة.
التسجيلاقرأ	يمنح حق الوصول للقراءة إلى سجل الهوية. لمزيد من المعلومات، راجع سجل الهوية. يتم استخدام هذا الإذن بواسطة الخدمات السحابية الخلفية.
التسجيلReadWrite	يمنح حق القراءة والكتابة حق الوصول إلى سجل الهوية. لمزيد من المعلومات، راجع سجل الهوية. يتم استخدام هذا الإذن بواسطة الخدمات السحابية الخلفية.

بيانات اعتماد الأمان لكل جهاز

يحتوي كل مركز إنترنت الأشياء على سجل هوية لكل جهاز في سجل الهوية هذا، يمكنك تكوين بيانات اعتماد الأمان التي تمنح أذونات DeviceConnect ذات النطاق إلى نقاط نهاية الجهاز المقابلة.

رموز SAS المميزة

يستخدم IoT Hub الرموز المميزة لتوقيع الوصول المشترك (SAS) لمصادقة الأجهزة والخدمات لتجنب إرسال المفاتيح على السلك. رموز SAS محدودة في الصلاحية الزمنية والنطاق. تقوم Azure IoT SDKs تلقائيا بإنشاء الرموز المميزة دون الحاجة إلى أي تكوين خاص. تتطلب منك بعض السيناريوهات إنشاء واستخدام رموز SAS مباشرة. تتضمن هذه السيناريوهات ما يلي:

• الاستخدام المباشر للأسطح MQTT أو AMQP أو HTTPS.

• تنفيذ نمط خدمة الرمز المميز ، كما هو موضح في مصادقة الجهاز المخصص.

يمكنك استخدام رموز SAS المميزة لمنح وصول محدد زمنيا إلى الأجهزة والخدمات لوظائف محددة في IoT Hub. للحصول على إذن للاتصال ب IoT Hub، يجب على الأجهزة والخدمات إرسال رموز SAS المميزة الموقعة إما بوصول مشترك أو مفتاح متماثل. يتم تخزين المفاتيح المتماثلة مع هوية جهاز في سجل الهوية.

بنية الرمز المميز SAS

الرمز المميز الموقع مع مفتاح وصول مشترك يمنح حق الوصول إلى كافة الوظائف المقترنة بأذونات سياسة الوصول المشترك. الرمز المميز الموقع بالمفتاح المتماثل لهوية الجهاز يمنح فقط إذن DeviceConnect لهوية الجهاز المقترن.

يحتوي الرمز المميز SAS على التنسيق التالي:

SharedAccessSignature sig={signature-string}&se={expiry}&skn={policyName}&sr={URL-encoded-resourceURI}

فيما يأتي القيم المتوقعة:

القيمة	الوصف
{signature}	سلسلة توقيع HMAC-SHA256 للنموذج: {URL-encoded-resourceURI} + "\n" + expiry. هام: يتم فك تشفير المفتاح من base64 واستخدامه كمفتاح لإجراء حساب HMAC-SHA256.
{resourceURI}	بادئة URI (حسب الشريحة) لنقاط النهاية التي يمكن الوصول إليها باستخدام هذا الرمز المميز ، بدءا من اسم المضيف لمركز إنترنت الأشياء (بدون بروتوكول). يتم تحديد نطاق رموز SAS الممنوحة للخدمات الخلفية على مستوى محور إنترنت الأشياء ؛ على سبيل المثال، myHub.azure-devices.net. يجب تحديد نطاق رموز SAS الممنوحة للأجهزة إلى جهاز فردي ؛ على سبيل المثال، myHub.azure-devices.net/devices/device1.
{expiry}	سلاسل UTF8 لعدد الثواني منذ 00:00:00 للتوقيت العالمي المتفق عليه في 1 يناير 1970.
{URL-encoded-resourceURI}	ترميز عنوان URL بأحرف صغيرة لمورد URI بالأحرف الصغيرة
{policyName}	اسم نهج الوصول المشترك الذي يوضح هذا الرمز المميز. غائب إذا كان الرمز المميز يشير إلى بيانات اعتماد تسجيل الجهاز.

يتم حساب بادئة عنوان موقع الويب حسب القطعة وليس حسب الحرف. على سبيل المثال،/a/b هي بادئة لـ /a/b/cولكن ليست لـ/a/bc.

Node.js

تقوم التعليمة البرمجية التالية بإنشاء رمز مميز SAS باستخدام عنوان URI للمورد ومفتاح التوقيع واسم النهج وفترة انتهاء الصلاحية. توضح الأقسام التالية بالتفصيل كيفية تهيئة المدخلات المختلفة لحالات استخدام الرموز المميزة المختلفة.

var generateSasToken = function(resourceUri, signingKey, policyName, expiresInMins) {
    resourceUri = encodeURIComponent(resourceUri);

    // Set expiration in seconds
    var expires = (Date.now() / 1000) + expiresInMins * 60;
    expires = Math.ceil(expires);
    var toSign = resourceUri + '\n' + expires;

    // Use crypto
    var hmac = crypto.createHmac('sha256', Buffer.from(signingKey, 'base64'));
    hmac.update(toSign);
    var base64UriEncoded = encodeURIComponent(hmac.digest('base64'));

    // Construct authorization string
    var token = "SharedAccessSignature sr=" + resourceUri + "&sig="
    + base64UriEncoded + "&se=" + expires;
    if (policyName) token += "&skn="+policyName;
    return token;
};

Python

تقوم التعليمة البرمجية التالية بإنشاء رمز مميز SAS باستخدام عنوان URI للمورد ومفتاح التوقيع واسم النهج وفترة انتهاء الصلاحية. توضح الأقسام التالية بالتفصيل كيفية تهيئة المدخلات المختلفة لحالات استخدام الرموز المميزة المختلفة.

from base64 import b64encode, b64decode
from hashlib import sha256
from time import time
from urllib import parse
from hmac import HMAC

def generate_sas_token(uri, key, policy_name, expiry=3600):
    ttl = time() + expiry
    sign_key = "%s\n%d" % ((parse.quote_plus(uri)), int(ttl))
    print(sign_key)
    signature = b64encode(HMAC(b64decode(key), sign_key.encode('utf-8'), sha256).digest())

    rawtoken = {
        'sr' :  uri,
        'sig': signature,
        'se' : str(int(ttl))
    }

    if policy_name is not None:
        rawtoken['skn'] = policy_name

    return 'SharedAccessSignature ' + parse.urlencode(rawtoken)

C#‎

تقوم التعليمة البرمجية التالية بإنشاء رمز مميز SAS باستخدام عنوان URI للمورد ومفتاح التوقيع واسم النهج وفترة انتهاء الصلاحية. توضح الأقسام التالية بالتفصيل كيفية تهيئة المدخلات المختلفة لحالات استخدام الرموز المميزة المختلفة.

using System;
using System.Globalization;
using System.Net;
using System.Net.Http;
using System.Security.Cryptography;
using System.Text;

public static string generateSasToken(string resourceUri, string key, string policyName, int expiryInSeconds = 3600)
{
    TimeSpan fromEpochStart = DateTime.UtcNow - new DateTime(1970, 1, 1);
    string expiry = Convert.ToString((int)fromEpochStart.TotalSeconds + expiryInSeconds);

    string stringToSign = WebUtility.UrlEncode(resourceUri) + "\n" + expiry;

    HMACSHA256 hmac = new HMACSHA256(Convert.FromBase64String(key));
    string signature = Convert.ToBase64String(hmac.ComputeHash(Encoding.UTF8.GetBytes(stringToSign)));

    string token = String.Format(CultureInfo.InvariantCulture, "SharedAccessSignature sr={0}&sig={1}&se={2}", WebUtility.UrlEncode(resourceUri), WebUtility.UrlEncode(signature), expiry);

    if (!String.IsNullOrEmpty(policyName))
    {
        token += "&skn=" + policyName;
    }

    return token;
}

Java

تقوم التعليمة البرمجية التالية بإنشاء رمز SAS مميز باستخدام URI المورد ومفتاح التوقيع. يتم تعيين فترة انتهاء الصلاحية إلى ساعة واحدة من الوقت الحالي. توضح الأقسام التالية بالتفصيل كيفية تهيئة المدخلات المختلفة لحالات استخدام الرموز المميزة المختلفة.

    public static String generateSasToken(String resourceUri, String key) throws Exception {
        // Token will expire in one hour
        var expiry = Instant.now().getEpochSecond() + 3600;

        String stringToSign = URLEncoder.encode(resourceUri, StandardCharsets.UTF_8) + "\n" + expiry;
        byte[] decodedKey = Base64.getDecoder().decode(key);

        Mac sha256HMAC = Mac.getInstance("HmacSHA256");
        SecretKeySpec secretKey = new SecretKeySpec(decodedKey, "HmacSHA256");
        sha256HMAC.init(secretKey);
        Base64.Encoder encoder = Base64.getEncoder();

        String signature = new String(encoder.encode(
            sha256HMAC.doFinal(stringToSign.getBytes(StandardCharsets.UTF_8))), StandardCharsets.UTF_8);

        String token = "SharedAccessSignature sr=" + URLEncoder.encode(resourceUri, StandardCharsets.UTF_8)
                + "&sig=" + URLEncoder.encode(signature, StandardCharsets.UTF_8.name()) + "&se=" + expiry;
            
        return token;
    }

تفاصيل البروتوكول

يقوم كل بروتوكول مدعوم ، مثل MQTT و AMQP و HTTPS ، بنقل الرموز المميزة بطرق مختلفة.

عند استخدام MQTT ، تحتوي حزمة CONNECT على deviceId كمعرف العميل ، في حقل اسم المستخدم ، {iothubhostname}/{deviceId} ورمز SAS المميز في حقل كلمة المرور. {iothubhostname} يجب أن يكون CName الكامل لمركز إنترنت الأشياء (على سبيل المثال ، contoso.azure-devices.net).

عند استخدام AMQP ، يدعم IoT Hub SASL PLAIN و AMQP Claims-Based-Security.

إذا كنت تستخدم الأمان المستند إلى مطالبات AMQP ، فإن المعيار يحدد كيفية نقل هذه الرموز المميزة.

بالنسبة إلى SASL PLAIN ، يمكن أن يكون اسم المستخدم :

• {policyName}@sas.root.{iothubName} إذا كنت تستخدم الرموز المميزة على مستوى محور إنترنت الأشياء.
• {deviceId}@sas.{iothubname} إذا كنت تستخدم الرموز المميزة على نطاق الجهاز.

في كلتا الحالتين ، يحتوي حقل كلمة المرور على الرمز المميز ، كما هو موضح في رموز IoT Hub SAS.

ينفذ HTTPS المصادقة عن طريق تضمين رمز مميز صالح في رأس طلب التفويض .

على سبيل المثال، اسم المستخدم (DeviceId حساس لحالة الأحرف): iothubname.azure-devices.net/DeviceId

كلمة المرور (يمكنك إنشاء رمز SAS مميز باستخدام أمر ملحق CLI az iot hub generate-sas-token، أو Azure IoT Tools for Visual Studio Code):

SharedAccessSignature sr=iothubname.azure-devices.net%2fdevices%2fDeviceId&sig=kPszxZZZZZZZZZZZZZZZZZAhLT%2bV7o%3d&se=1487709501

ملاحظة

تقوم Azure IoT SDKs تلقائيا بإنشاء رموز مميزة عند الاتصال بالخدمة. في بعض الحالات، لا تدعم Azure IoT SDKs كافة البروتوكولات أو كافة طرق المصادقة.

اعتبارات خاصة ل SASL PLAIN

عند استخدام SASL PLAIN مع AMQP، يمكن للعميل المتصل بمركز إنترنت الأشياء استخدام رمز مميز واحد لكل اتصال TCP. عند انتهاء صلاحية الرمز المميز، يتم قطع اتصال TCP بالخدمة وتشغيل إعادة اتصال. هذا السلوك، على الرغم من أنه لا يمثل مشكلة بالنسبة لتطبيق الواجهة الخلفية، إلا أنه يضر بتطبيق جهاز للأسباب التالية:

• عادة ما تتصل البوابات نيابة عن العديد من الأجهزة. عند استخدام SASL PLAIN ، يتعين عليهم إنشاء اتصال TCP متميز لكل جهاز يتصل بمركز إنترنت الأشياء. يزيد هذا السيناريو بشكل كبير من استهلاك الطاقة وموارد الشبكات، ويزيد من زمن انتقال كل اتصال جهاز.

• تتأثر الأجهزة المحدودة الموارد سلبا بزيادة استخدام الموارد لإعادة الاتصال بعد انتهاء صلاحية كل رمز مميز.

استخدام رموز SAS المميزة من الخدمات

يمكن للخدمات إنشاء رموز SAS باستخدام سياسة الوصول المشترك التي تحدد الأذونات المناسبة كما هو موضح سابقا في التحكم في الوصول والأذونات.

على سبيل المثال، ستقوم خدمة تستخدم نهج الوصول المشترك الذي تم إنشاؤه مسبقا يسمى registryRead بإنشاء رمز مميز بالمعلمات التالية:

• URI للمورد: {IoT hub name}.azure-devices.net،
• مفتاح التوقيع: أحد مفاتيح سياسةregistryRead،
• اسم السياسة:registryRead،
• أي وقت انتهاء الصلاحية.

var endpoint = "myhub.azure-devices.net";
var policyName = 'registryRead';
var policyKey = '...';

var token = generateSasToken(endpoint, policyKey, policyName, 60);

وستكون النتيجة، التي من شأنها أن تمنح حق الوصول إلى قراءة جميع هويات الأجهزة، كما يلي:

SharedAccessSignature sr=myhub.azure-devices.net&sig=JdyscqTpXdEJs49elIUCcohw2DlFDR3zfH5KqGJo4r4%3D&se=1456973447&skn=registryRead

بالنسبة للخدمات، تمنح رموز SAS الأذونات فقط على مستوى IoT Hub. أي أن الخدمة التي تتم المصادقة باستخدام رمز مميز استنادا إلى سياسة الخدمة ، ستكون قادرة على تنفيذ جميع العمليات الممنوحة بواسطة إذن ServiceConnect . تتضمن هذه العمليات تلقي رسائل من جهاز إلى سحابة ، وإرسال رسائل من سحابة إلى جهاز ، وما إلى ذلك. إذا كنت ترغب في منح المزيد من الوصول الدقيق إلى خدماتك، على سبيل المثال، قصر خدمة على إرسال رسائل سحابية إلى الجهاز فقط، فيمكنك استخدام Azure Active Directory. لمعرفة المزيد، راجع التحكم في الوصول إلى IoT Hub باستخدام Azure AD.

مصادقة جهاز إلى IoT Hub

شهادات X.509 المدعومة

يمكنك استخدام أي شهادة X.509 لمصادقة جهاز مع IoT Hub عن طريق تحميل بصمة شهادة أو مرجع مصدق إلى Azure IoT Hub. لمعرفة المزيد، راجع مصادقة الجهاز باستخدام شهادات X.509 CA. للحصول على معلومات حول كيفية تحميل مرجع مصدق والتحقق منه باستخدام مركز إنترنت الأشياء، راجع إعداد أمان X.509 في مركز Azure IoT.

فرض مصادقة X.509

لمزيد من الأمان، يمكن تكوين مركز إنترنت الأشياء بحيث لا يسمح بمصادقة SAS للأجهزة والوحدات النمطية، مما يترك X.509 كخيار المصادقة الوحيد المقبول. حاليا، لا تتوفر هذه الميزة في مدخل Azure. لتكوين خصائص مورد IoT Hub وتعيينها disableDeviceSAS وتشغيلها disableModuleSAStrue :

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --set properties.disableDeviceSAS=true properties.disableModuleSAS=true

استخدام رموز SAS المميزة كجهاز

هناك طريقتان للحصول على أذونات DeviceConnect باستخدام IoT Hub باستخدام رموز SAS: استخدم مفتاح جهاز متماثل من سجل الهوية، أو استخدم مفتاح وصول مشترك.

تذكر أن جميع الوظائف التي يمكن الوصول إليها من الأجهزة مكشوفة حسب التصميم على نقاط النهاية مع البادئة /devices/{deviceId}.

نقاط النهاية التي تواجه الجهاز هي (بغض النظر عن البروتوكول):

نقطة النهاية	الوظيفة
{iot hub host name}/devices/{deviceId}/messages/events	إرسال رسائل من جهاز إلى سحابة.
{iot hub host name}/devices/{deviceId}/messages/devicebound	تلقي الرسائل من السحابة إلى الجهاز.

استخدام مفتاح متماثل في سجل الهوية

عند استخدام المفتاح المتماثل لهوية الجهاز لإنشاء رمز مميز، يتم حذف عنصر policyName (skn) من الرمز المميز.

على سبيل المثال، يجب أن يحتوي الرمز المميز الذي تم إنشاؤه للوصول إلى جميع وظائف الجهاز على المعلمات التالية:

• URI للمورد: {IoT hub name}.azure-devices.net/devices/{device id}،
• مفتاح التوقيع: أي مفتاح متماثل للهوية {device id} ،
• لا يوجد اسم للسياسة،
• أي وقت انتهاء الصلاحية.

مثال على استخدام الدالة Node.js السابقة هو:

var endpoint ="myhub.azure-devices.net/devices/device1";
var deviceKey ="...";

var token = generateSasToken(endpoint, deviceKey, null, 60);

وستكون النتيجة، التي تمنح حق الوصول إلى جميع وظائف الجهاز1، كما يلي:

SharedAccessSignature sr=myhub.azure-devices.net%2fdevices%2fdevice1&sig=13y8ejUk2z7PLmvtwR5RqlGBOVwiq7rQR3WZ5xZX3N4%3D&se=1456971697

ملاحظة

من الممكن إنشاء رمز SAS مميز باستخدام أمر امتداد CLI az iot hub generate-sas-token، أو Azure IoT Tools for Visual Studio Code.

استخدام سياسة الوصول المشترك للوصول نيابة عن جهاز

عند إنشاء رمز مميز من سياسة وصول مشترك، قم بتعيين skn الحقل إلى اسم السياسة. يجب أن تمنح هذه السياسة إذن DeviceConnect .

السيناريوهان الرئيسيان لاستخدام سياسات الوصول المشترك للوصول إلى وظائف الجهاز هما:

• بوابات بروتوكول السحابة,
• خدمات الرمز المميز المستخدمة لتنفيذ أنظمة المصادقة المخصصة.

نظرا لأن سياسة الوصول المشترك يمكن أن تمنح حق الوصول للاتصال كأي جهاز ، فمن المهم استخدام URI المورد الصحيح عند إنشاء رموز SAS. هذا الإعداد مهم بشكل خاص لخدمات الرمز المميز ، والتي يجب أن تحدد نطاق الرمز المميز إلى جهاز معين باستخدام مورد URI. هذه النقطة أقل صلة ببوابات البروتوكول لأنها تتوسط بالفعل حركة المرور لجميع الأجهزة.

على سبيل المثال، ستقوم خدمة الرمز المميز باستخدام سياسة الوصول المشترك التي تم إنشاؤها مسبقا والتي تسمى الجهاز بإنشاء رمز مميز يحتوي على المعلمات التالية:

• URI للمورد: {IoT hub name}.azure-devices.net/devices/{device id}،
• مفتاح التوقيع: أحد مفاتيح سياسةdevice،
• اسم السياسة:device،
• أي وقت انتهاء الصلاحية.

مثال على استخدام الدالة Node.js السابقة هو:

var endpoint ="myhub.azure-devices.net/devices/device1";
var policyName = 'device';
var policyKey = '...';

var token = generateSasToken(endpoint, policyKey, policyName, 60);

وستكون النتيجة، التي تمنح حق الوصول إلى جميع وظائف الجهاز1، كما يلي:

SharedAccessSignature sr=myhub.azure-devices.net%2fdevices%2fdevice1&sig=13y8ejUk2z7PLmvtwR5RqlGBOVwiq7rQR3WZ5xZX3N4%3D&se=1456971697&skn=device

يمكن أن تستخدم بوابة البروتوكول نفس الرمز المميز لجميع الأجهزة ببساطة تعيين مورد URI إلى myhub.azure-devices.net/devices.

إنشاء خدمة رمزية لدمج الأجهزة الموجودة

يمكنك استخدام سجل هوية IoT Hub لتكوين بيانات اعتماد أمان كل جهاز/وحدة نمطية والتحكم في الوصول باستخدام الرموز المميزة. إذا كان أحد حلول إنترنت الأشياء يحتوي بالفعل على سجل هوية مخصص و/أو نظام مصادقة، ففكر في إنشاء خدمة رمزية لدمج هذه البنية التحتية مع IoT Hub. وبهذه الطريقة، يمكنك استخدام ميزات إنترنت الأشياء الأخرى في الحل الخاص بك.

خدمة الرمز المميز هي خدمة سحابية مخصصة. يستخدم سياسة الوصول المشترك IoT Hub مع إذن DeviceConnect لإنشاء رموز مميزة على نطاق الجهاز أو نطاق الوحدة النمطية . تمكن هذه الرموز المميزة جهازا ووحدة نمطية من الاتصال بمركز إنترنت الأشياء الخاص بك.

فيما يلي الخطوات الرئيسية لنمط خدمة الرمز المميز:

1. أنشئ سياسة وصول مشتركة لمركز إنترنت الأشياء باستخدام إذن DeviceConnect لمركز إنترنت الأشياء الخاص بك. يمكنك إنشاء هذا النهج في مدخل Azure أو برمجيا. تستخدم خدمة الرمز المميز هذه السياسة لتوقيع الرموز المميزة التي تنشئها.

2. عندما يحتاج الجهاز / الوحدة النمطية إلى الوصول إلى مركز إنترنت الأشياء الخاص بك ، فإنه يطلب رمزا مميزا موقعا من خدمة الرمز المميز الخاصة بك. يمكن للجهاز المصادقة باستخدام نظام تسجيل / مصادقة الهوية المخصص لتحديد هوية الجهاز / الوحدة النمطية التي تستخدمها خدمة الرمز المميز لإنشاء الرمز المميز.

3. ترجع خدمة الرمز المميز رمزا مميزا. يتم إنشاء الرمز المميز باستخدام /devices/{deviceId} أو باسم resourceURI، مع deviceId مصادقة الجهاز أو /devices/{deviceId}/module/{moduleId}moduleId كوحدة نمطية يتم مصادقتها. تستخدم خدمة الرمز المميز سياسة الوصول المشترك لإنشاء الرمز المميز.

4. يستخدم الجهاز / الوحدة الرمز المميز مباشرة مع مركز إنترنت الأشياء.

ملاحظة

يمكنك استخدام فئة .NET SharedAccessSignatureBuilder أو فئة Java IotHubServiceSasToken لإنشاء رمز مميز في خدمة الرمز المميز الخاصة بك.

يمكن لخدمة الرمز المميز تعيين انتهاء صلاحية الرمز المميز حسب الرغبة. عند انتهاء صلاحية الرمز المميز ، يقطع مركز إنترنت الأشياء اتصال الجهاز / الوحدة النمطية. بعد ذلك ، يجب أن يطلب الجهاز / الوحدة رمزا مميزا جديدا من خدمة الرمز المميز. يزيد وقت انتهاء الصلاحية القصير من الحمل على كل من الجهاز / الوحدة النمطية وخدمة الرمز المميز.

لكي يتصل جهاز/وحدة نمطية بمركزك، لا يزال يتعين عليك إضافته إلى سجل هوية IoT Hub — على الرغم من أنه يستخدم رمزا مميزا وليس مفتاحا للاتصال. لذلك، يمكنك الاستمرار في استخدام التحكم في الوصول لكل جهاز/لكل وحدة نمطية عن طريق تمكين هويات الجهاز/الوحدة النمطية أو تعطيلها في سجل الهوية. هذا النهج يخفف من مخاطر استخدام الرموز المميزة مع أوقات انتهاء الصلاحية الطويلة.

مقارنة مع بوابة مخصصة

نمط خدمة الرمز المميز هو الطريقة الموصى بها لتنفيذ نظام تسجيل / مصادقة هوية مخصص مع IoT Hub. يوصى بهذا النمط لأن IoT Hub يستمر في التعامل مع معظم حركة مرور الحلول. ومع ذلك، إذا كان نظام المصادقة المخصصة متشابكا جدا مع البروتوكول، فقد تحتاج إلى بوابة مخصصة لمعالجة كل حركة المرور. مثال على هذا السيناريو هو استخدام أمان طبقة النقل (TLS) والمفاتيح المشتركة مسبقا (PSKs). لمزيد من المعلومات، راجع كيف يمكن استخدام جهاز IoT Edge كبوابة.

مواد مرجعية إضافية

تتضمن الموضوعات المرجعية الأخرى في دليل مطوري IoT Hub ما يلي:

• تصف نقاط نهاية IoT Hub نقاط النهاية المختلفة التي يعرضها كل مركز إنترنت الأشياء لعمليات وقت التشغيل والإدارة.

• يصف الاختناق والحصص النسبية الحصص النسبية وسلوكيات الاختناق التي تنطبق على خدمة IoT Hub.

• تسرد مجموعات تطوير البرامج (SDK) الخاصة بأجهزة وخدمة Azure لغات مختلفة التي يمكنك استخدامها عند تطوير كل من تطبيقات الأجهزة والخدمات التي تتفاعل مع IoT Hub.

• تصف لغة استعلام IoT Hub لغة الاستعلام التي يمكنك استخدامها لاسترداد المعلومات من IoT Hub حول توائم جهازك ووظائفه.

• يوفر دعم IoT Hub MQTT مزيدا من المعلومات حول دعم IoT Hub لبروتوكول MQTT.

• المعيار RFC 5246 - يوفر الإصدار 1.2 من بروتوكول أمان طبقة النقل (TLS) مزيدا من المعلومات حول مصادقة طبقة النقل الآمنة (TLS).

• لمزيد من المعلومات حول المصادقة باستخدام المرجع المصدق، راجع مصادقة الجهاز باستخدام شهادات X.509 CA

الخطوات التالية

الآن بعد أن تعلمت كيفية التحكم في الوصول إلى IoT Hub ، قد تكون مهتما بمواضيع دليل مطوري IoT Hub التالية:

• استخدام توائم الجهاز لمزامنة الحالة والتكوينات
• استدعاء طريقة مباشرة على جهاز
• جدولة المهام على أجهزة متعددة

إذا كنت ترغب في تجربة بعض المفاهيم الموضحة في هذه المقالة، فراجع البرامج التعليمية التالية ل IoT Hub:

• بدء استخدام Azure IoT Hub
• كيفية إرسال رسائل سحابية إلى جهاز باستخدام IoT Hub
• كيفية معالجة رسائل IoT Hub من الجهاز إلى السحابة