Nachweis, Authentifizierung und Bereitstellung

Das Verbinden von IoT-Geräten mit der IoT-Plattform umfasst die drei Vorgänge Nachweis, Authentifizierung und Bereitstellung.

• Der Nachweismechanismus stellt die ausgewählte Methode dar, über die ein Gerät seine Identität bestätigt, wenn eine Verbindung mit einem IoT-Plattformdienst wie Azure IoT Hub hergestellt wird. IoT Hub unterstützt die Nachweismethoden symmetrischer Schlüssel, X.509-Fingerabdruck und X.509-Zertifizierungsstelle.

• Authentifizierung ist die Art, auf die das Gerät sich selbst identifiziert. IoT Hub gewährt den Zugriff auf ein Gerät basierend auf der Fähigkeit des Geräts, einen Selbstnachweis mit seiner eindeutigen Geräteidentität in Verbindung mit seinem Nachweismechanismus zu erbringen.

• Bereitstellung ist das Anmelden eines Geräts bei Azure IoT Hub. Durch die Bereitstellung wird IoT Hub auf das Gerät und den vom Gerät verwendeten Nachweismechanismus hingewiesen.

Azure IoT Hub Device Provisioning Service (DPS)

Die Gerätebereitstellung kann über Azure IoT Hub Device Provisioning Service (DPS) oder direkt über IoT Hub-Registrierungs-Manager-APIs erfolgen. Die Verwendung von DPS hat den Vorteil der späten Bindung, über die Sie Feldgeräte von IoT Hub entfernen und erneut bereitstellen können, ohne die Gerätesoftware zu ändern.

Im folgenden Beispiel wird gezeigt, wie ein Übergangsworkflow von der Test- in die Produktionsumgebung mithilfe von DPS implementiert wird.

1. Der Lösungsentwickler verknüpft die Test- und Produktions-IoT-Clouds mit dem Bereitstellungsdienst.
2. Das Gerät implementiert das DPS-Protokoll, um den IoT-Hub zu finden, wenn es nicht mehr bereitgestellt wird. Das Gerät wird anfänglich in der Testumgebung bereitgestellt.
3. Da das Gerät bei der Testumgebung registriert ist, wird dort eine Verbindung hergestellt, und ein Test erfolgt.
4. Der Entwickler stellt das Gerät neu in der Produktionsumgebung bereit und entfernt es aus dem Testhub. Der Testhub lehnt das Gerät beim nächsten Herstellen einer Verbindung ab.
5. Das Gerät stellt eine Verbindung her und verhandelt den Bereitstellungsflow neu. DPS leitet das Gerät nun an die Produktionsumgebung weiter, und das Gerät stellt dort eine Verbindung her und authentifiziert sich.

Von IoT Hub unterstützte Protokolle

Beachten Sie bei der Arbeit mit End-to-End-IoT-Lösungen die Kombinationen aus von Azure IoT Hub unterstützten Authentifizierungsprotokollen. Im folgenden Diagramm mit roten Linien angezeigte Kombinationen sind möglicherweise nicht kompatibel oder mit zusätzlichen Überlegungen verbunden.

• SAS-Token werden bei IoT Hub immer als symmetrische Schlüssel registriert.
• Das Widerrufen von Zertifikaten über DPS verhindert nicht, dass derzeit bereitgestellte Geräte weiterhin bei IoT Hub authentifiziert werden können. Nachdem Sie ein Zertifikat in DPS widerrufen haben, müssen Sie das Gerät auch aus dem IoT-Hub entfernen, entweder manuell über das Portal-Dashboard oder programmgesteuert mithilfe der Registrierungs-Manager-APIs.
• IoT Hub unterstützt die Authentifizierung über eine X.509-Zertifizierungsstelle. Bei der Bereitstellung von Geräten über eine X.509-Zertifizierungsstelle mit DPS werden diese jedoch vom als X.509-Fingerabdruck beim IoT-Hub bereitgestellt.
• Websocketvarianten von AMQP und MQTT werden bei X.509-Zertifizierungsstellenzertifikaten in IoT Hub nicht unterstützt.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Jason Wadsworth | Principal Software Engineer

Nächste Schritte

• Einrichten des IoT Hub Device Provisioning-Diensts über das Azure-Portal
• Bereitstellen eines Geräts mit symmetrischem Schlüssel mithilfe von C#
• Erstellen und Bereitstellen eines X.509-Geräts mithilfe des C#-Geräte-SDK für IoT Hub Device Provisioning Service
• Geräteauthentifizierung mit X.509-Zertifikaten