Terminologie služby IoT Hub Device Provisioning Service (DPS)
Služba IoT Hub Device Provisioning je pomocná služba pro IoT Hub, kterou používáte ke konfiguraci zřizování zařízení bez dotykového ovládání pro zadané centrum IoT. Pomocí služby Device Provisioning můžete zřídit miliony zařízení zabezpečeným a škálovatelným způsobem.
Zřizování zařízení je proces se dvěma částmi. První částí je vytvoření počátečního připojení mezi zařízením a řešením IoT registrací zařízení. Druhou částí je použití správné konfigurace na zařízení na základě konkrétních požadavků řešení. Po dokončení obou kroků se zařízení plně zřídí. Služba Device Provisioning oba kroky automatizuje a zajišťuje tak bezproblémové zřizování zařízení.
Tento článek obsahuje přehled konceptů zřizování, které se nejvíce vztahují ke správě služby. Tento článek je nejrelevavantnější pro osoby zapojené do kroku nastavení cloudu, aby bylo zařízení připravené k nasazení.
Koncový bod provozu služby
Koncový bod operací služby je koncový bod pro správu nastavení služby a údržbu seznamu registrací. Tento koncový bod používá pouze správce služby; zařízení ji nepoužívají.
Koncový bod zřizování zařízení
Koncový bod zřizování zařízení je jediným koncovým bodem, který všechna zařízení používají k automatickému zřizování. Adresa URL je stejná pro všechny instance služby zřizování, aby se eliminovala nutnost reflash zařízení s novými informacemi o připojení ve scénářích dodavatelského řetězce. Rozsah ID zajišťuje izolaci tenanta.
Propojená centra IoT Hub
Služba Device Provisioning může zřizovat zařízení pouze pro centra IoT, která jsou s ní propojená. Propojení ioT Hubu s instancí služby Device Provisioning poskytuje službě oprávnění ke čtení a zápisu do registru zařízení služby IoT Hub; s odkazem může služba Device Provisioning zaregistrovat ID zařízení a nastavit počáteční konfiguraci dvojčete zařízení. Propojené ioT huby můžou být v libovolné oblasti Azure. Centra v jiných předplatných můžete propojit se službou zřizování.
Zásady přidělování
Nastavení na úrovni služby, které určuje, jak služba Device Provisioning přiřazuje zařízení k centru IoT. Existují čtyři podporované zásady přidělování:
Rovnoměrně vážená distribuce: Propojené centra IoT jsou stejně pravděpodobné, že pro ně budou zřízená zařízení. Výchozí nastavení. Pokud zřizujete zařízení jenom v jednom centru IoT, můžete nechat toto nastavení.
Nejnižší latence: Zařízení se zřídí pro centrum IoT s nejnižší latencí zařízení. Pokud by několik propojených center IoT poskytovalo stejnou nejnižší latenci, zatřiďuje služba hash zařízení v těchto centrech.
Statická konfigurace prostřednictvím seznamu registrací: Specifikace požadovaného centra IoT v seznamu registrací má přednost před zásadami přidělování na úrovni služby.
Vlastní (použití funkce Azure): Vlastní zásady přidělování poskytují větší kontrolu nad tím, jak se zařízení přiřazují k centru IoT. Toho se dosahuje pomocí vlastního kódu ve funkci Azure Functions k přiřazení zařízení do ioT Hubu. Služba zřizování zařízení volá kód funkce Azure Functions, který poskytuje všechny relevantní informace o zařízení a registraci kódu. Kód funkce se spustí a vrátí informace ioT Hubu použité ke zřízení zařízení.
Registrace
Registrace je záznam zařízení nebo skupin zařízení, která se můžou zaregistrovat prostřednictvím automatického zřizování. Záznam registrace obsahuje informace o zařízení nebo skupině zařízení, včetně:
- mechanismus ověření identity používaný zařízením
- volitelná počáteční požadovaná konfigurace
- Desired IoT Hub
- ID požadovaného zařízení
Služba Device Provisioning podporuje dva typy registrací:
Skupina registrací
Skupina registrací je skupina zařízení, která sdílejí konkrétní mechanismus ověření identity. Skupiny registrací podporují certifikát X.509 nebo ověření symetrického klíče. Zařízení ve skupině registrací X.509 představují certifikáty X.509 podepsané stejnou kořenovou nebo zprostředkující certifikační autoritou (CA). Běžný název subjektu (CN) certifikátu koncové entity (list) každého zařízení se stane ID registrace daného zařízení. Zařízení ve skupině registrace symetrického klíče představují tokeny SAS odvozené ze symetrického klíče skupiny.
Název skupiny registrací a ID registrace, které zařízení předloží, musí být nerozlišující řetězce alfanumerických znaků a speciálních znaků: '-', '.''_', ':'. Poslední znak musí být alfanumerický nebo pomlčka ('-'). Název skupiny registrací může mít délku až 128 znaků. Ve skupinách registrace symetrických klíčů můžou být ID registrace prezentovaná zařízeními delší než 128 znaků. V registračních skupinách X.509 je však maximální délka společného názvu subjektu v certifikátu X.509 64 znaků, ID registrace jsou omezená na 64 znaků.
U zařízení ve skupině registrací se ID registrace používá také jako ID zařízení, které je zaregistrované ve službě IoT Hub.
Tip
Doporučujeme použít skupinu registrací pro velký počet zařízení, která sdílejí požadovanou počáteční konfiguraci, nebo pro zařízení, která přejdou do stejného tenanta.
Jednotlivá registrace
Jednotlivá registrace je položka pro jedno zařízení, které se může zaregistrovat. Jednotlivé registrace můžou jako mechanismy ověření identity používat buď certifikáty X.509, nebo tokeny SAS (z fyzického nebo virtuálního čipu TPM). ID registrace v jednotlivé registraci je řetězec nerozlišující velká a malá písmena alfanumerických znaků a speciální znaky: '-', '.', '_', ':'. Poslední znak musí být alfanumerický nebo pomlčka ('-'). DPS podporuje ID registrace o délce až 128 znaků.
U jednotlivých registrací X.509 se běžný název subjektu certifikátu změní na ID registrace, takže běžný název musí dodržovat formát řetězce ID registrace. Běžný název subjektu má maximální délku 64 znaků, takže ID registrace je omezené na 64 znaků pro registrace X.509.
Jednotlivé registrace můžou mít požadované ID zařízení ioT Hubu zadané v položce registrace. Pokud není zadané, ID registrace se stane ID zařízení, které je zaregistrované ve službě IoT Hub.
Prostřednictvím služby Device Provisioning Můžete dočasně nebo trvale povolit nebo zablokovat zřizování konkrétního zařízení prostřednictvím služby Device Provisioning tím, že řídíte stav zřizování registrace.
Tip
Pro zařízení, která vyžadují jedinečné počáteční konfigurace, nebo pro zařízení, která se můžou ověřovat pouze pomocí tokenů SAS prostřednictvím ověření identity TPM, doporučujeme používat jednotlivé registrace.
Mechanismus ověření identity
Mechanismus ověření identity je metoda použitá k potvrzení identity zařízení. Mechanismus ověření identity je nakonfigurovaný u položky registrace a informuje službu zřizování, kterou metodu použít při ověřování identity zařízení během registrace.
Poznámka:
IoT Hub používá pro podobný koncept v této službě "schéma ověřování".
Služba Device Provisioning podporuje následující formy ověření identity:
- Certifikáty X.509 založené na standardním toku ověřování certifikátů X.509 Další informace najdete v tématu Ověření identity X.509.
- Čip TPM (Trusted Platform Module) založený na výzvě nesouvisejí s použitím standardu TPM pro klíče k předložení podepsaného tokenu sdíleného přístupového podpisu (SAS). To nevyžaduje fyzický čip TPM na zařízení, ale služba očekává, že bude testovat pomocí ověřovacího klíče podle specifikace TPM. Další informace najdete v tématu Ověření identity čipem TPM.
- Symetrický klíč založený na tokenech SAS sdíleného přístupového podpisu (SAS), které zahrnují hashovaný podpis a vložené vypršení platnosti. Další informace najdete v tématu Ověření symetrického klíče.
Modul hardwarového zabezpečení
Modul hardwarového zabezpečení (HSM) slouží k zabezpečení hardwarového úložiště tajných kódů zařízení a je nejbezpečnější formou úložiště tajných kódů. Certifikáty X.509 i tokeny SAS se dají uložit do HSM. Moduly hardwarového zabezpečení je možné použít s oběma mechanismy ověřování, které služba zřizování podporuje.
Tip
Důrazně doporučujeme používat HSM se zařízeními k bezpečnému ukládání tajných kódů na vašich zařízeních.
Tajné kódy zařízení mohou být také uloženy v softwaru (paměti), ale je to méně bezpečná forma úložiště než HSM.
Obor ID
Obor ID se přiřadí službě Device Provisioning, když ho uživatel vytvoří, a slouží k jedinečné identifikaci konkrétní služby zřizování, kterou se zařízení zaregistruje. Obor ID je generován službou a je neměnný, což zaručuje jedinečnost.
Poznámka:
Jedinečnost je důležitá pro dlouhotrvající operace nasazení a scénáře fúze a akvizice.
Záznam registrace
Záznam registrace je záznam zařízení, který úspěšně registruje nebo zřizuje ve službě IoT Hub prostřednictvím služby Device Provisioning. Záznamy registrace se vytvářejí automaticky; je možné je odstranit, ale nelze je aktualizovat.
ID registrace
ID registrace slouží k jedinečné identifikaci registrace zařízení ve službě Device Provisioning. ID registrace musí být jedinečné v oboru ID služby zřizování. Každé zařízení musí mít ID registrace. ID registrace je řetězec nerozlišující velká a malá písmena alfanumerických znaků a speciální znaky: '-', , '.''_', ':'. Poslední znak musí být alfanumerický nebo pomlčka ('-'). DPS podporuje ID registrace o délce až 128 znaků.
- V případě čipu TPM je ID registrace poskytováno samotným čipem TPM.
- V případě ověření identity založeného na X.509 je ID registrace nastaveno na běžný název subjektu certifikátu zařízení. Z tohoto důvodu musí běžný název dodržovat formát řetězce ID registrace. ID registrace je však omezeno na 64 znaků, protože je to maximální délka společného názvu subjektu v certifikátu X.509.
ID zařízení
ID zařízení je ID, které se zobrazuje ve službě IoT Hub. Požadované ID zařízení může být nastaveno v položce registrace, ale není nutné ho nastavit. Nastavení ID požadovaného zařízení se podporuje jenom v jednotlivých registracích. Pokud v seznamu registrací není zadané žádné ID požadovaného zařízení, použije se ID registrace jako ID zařízení při registraci zařízení. Přečtěte si další informace o ID zařízení ve službě IoT Hub.
Operace
Operace jsou fakturační jednotkou služby Device Provisioning. Jedna operace je úspěšné dokončení jedné instrukce pro službu. Operace zahrnují registraci a opakovanou registraci zařízení a také změny na straně služby, jako je přidání položek seznamu registrací a jejich aktualizace.