Konzepte für Geräte mit dem IoT Hub Device Provisioning-DienstIoT Hub Device Provisioning Service device concepts

Der IoT Hub Device Provisioning-Dienst ist ein Hilfsdienst für IoT Hub, mit dem Sie Geräte ohne manuelles Eingreifen auf einem angegebenen IoT Hub konfigurieren können.IoT Hub Device Provisioning Service is a helper service for IoT Hub that you use to configure zero-touch device provisioning to a specified IoT hub. Mit dem Device Provisioning-Dienst können Sie Millionen von Geräten auf sichere und skalierbare Weise bereitstellen.With the Device Provisioning Service, you can provision millions of devices in a secure and scalable manner.

Dieser Artikel bietet eine Übersicht über die Gerätekonzepte bei der Gerätebereitstellung.This article gives an overview of the device concepts involved in device provisioning. Dieser Artikel ist besonders für Personen relevant, die am Fertigungsschritt der Vorbereitung von Geräten für die Bereitstellung beteiligt sind.This article is most relevant to personas involved in the manufacturing step of getting a device ready for deployment.

NachweismechanismusAttestation mechanism

Der Nachweismechanismus ist die Methode für das Überprüfen der Identität eines Geräts.The attestation mechanism is the method used for confirming a device's identity. Der Nachweismechanismus ist auch für die Registrierungsliste wichtig, über die der Bereitstellungsdienst erfährt, welche Methode zum Nachweis für ein bestimmtes Gerät verwendet werden soll.The attestation mechanism is also relevant to the enrollment list, which tells the provisioning service which method of attestation to use with a given device.

Hinweis

IoT Hub verwendet das „Authentifizierungsschema“ für ein ähnliches Konzept in diesem Dienst.IoT Hub uses "authentication scheme" for a similar concept in that service.

Der Device Provisioning-Dienst unterstützt die folgenden Arten von Nachweisen:The Device Provisioning Service supports the following forms of attestation:

  • X.509-Zertifikate – basierend auf dem Standardauthentifizierungsablauf für X.509-Zertifikate.X.509 certificates based on the standard X.509 certificate authentication flow.
  • Trusted Platform Module (TPM) – basierend auf einer Nonce-Abfrage mit dem TPM-Standard für Schlüssel zum Bereitstellen eines signierten SAS-Tokens (Shared Access Signature).Trusted Platform Module (TPM) based on a nonce challenge, using the TPM standard for keys to present a signed Shared Access Signature (SAS) token. Dies erfordert keine physische TPM-Instanz auf dem Gerät. Der Dienst erwartet für den Nachweis jedoch den Endorsement Key gemäß TPM-Spezifikation.This does not require a physical TPM on the device, but the service expects to attest using the endorsement key per the TPM spec.
  • Symmetrischer Schlüssel – basierend auf Shared Access Signature (SAS)-Sicherheitstokens, die eine Hashsignatur und ein eingebettetes Ablaufdatum haben.Symmetric Key based on shared access signature (SAS) Security tokens, which include a hashed signature and an embedded expiration. Weitere Informationen finden Sie unter Symmetric key attestation (Nachweis des symmetrischen Schlüssels).For more information, see Symmetric key attestation.

HardwaresicherheitsmodulHardware security module

Das Hardwaresicherheitsmodul (HSM) dient der sicheren, hardwarebasierten Speicherung von Gerätegeheimnissen und gilt als die sicherste Form der Geheimnisspeicherung.The hardware security module, or HSM, is used for secure, hardware-based storage of device secrets, and is the most secure form of secret storage. Sowohl X.509-Zertifikate als auch SAS-Token können im HSM gespeichert werden.Both X.509 certificates and SAS tokens can be stored in the HSM. HSMs können mit beiden Nachweismechanismen verwendet werden, die der Bereitstellungsdienst unterstützt.HSMs can be used with both attestation mechanisms the provisioning service supports.

Tipp

Es wird dringend empfohlen, ein HSM mit Geräten zu verwenden, um Geheimnisse sicher auf Ihren Geräten zu speichern.We strongly recommend using an HSM with devices to securely store secrets on your devices.

Gerätegeheimnisse können auch in Software (Arbeitsspeicher) gespeichert werden. Dies gilt jedoch im Vergleich zu einem HSM als die weniger sichere Speicherform.Device secrets may also be stored in software (memory), but it is a less secure form of storage than an HSM.

Registrierungs-IDRegistration ID

Die Registrierungs-ID wird zur eindeutigen Identifizierung eines Geräts im Device Provisioning-Dienst verwendet.The registration ID is used to uniquely identify a device in the Device Provisioning Service. Die Geräte-ID muss im ID-Bereich des Bereitstellungsdiensts eindeutig sein.The device ID must be unique in the provisioning service ID scope. Jedes Gerät benötigt eine Registrierungs-ID.Each device must have a registration ID. Die Registrierungs-ID ist alphanumerisch, es wird nicht zwischen Groß- und Kleinschreibung unterschieden, und sie kann Sonderzeichen wie Doppelpunkte, Punkte, Unterstriche und Bindestriche aufweisen.The registration ID is alphanumeric, case insensitive, and may contain special characters including colon, period, underscore and hyphen.

  • Bei TPM wird die Registrierungs-ID durch das TPM selbst bereitgestellt.In the case of TPM, the registration ID is provided by the TPM itself.
  • Im Fall von X.509-basierten Nachweisen wird die Registrierungs-ID als Antragstellername des Zertifikats bereitgestellt.In the case of X.509-based attestation, the registration ID is provided as the subject name of the certificate.

Geräte-IDDevice ID

Die Geräte-ID ist die ID, die in IoT Hub angezeigt wird.The device ID is the ID as it appears in IoT Hub. Die gewünschte Geräte-ID kann im Registrierungseintrag festgelegt werden, eine Festlegung ist aber nicht zwingend.The desired device ID may be set in the enrollment entry, but it is not required to be set. Das Festlegen der gewünschten Geräte-ID wird nur in Einzelregistrierungen unterstützt.Setting the desired device ID is only supported in individual enrollments. Wenn in der Registrierungsliste keine gewünschte Geräte-ID angegeben wurde, wird bei der Registrierung des Geräts die Registrierungs-ID als die Geräte-ID verwendet.If no desired device ID is specified in the enrollment list, the registration ID is used as the device ID when registering the device. Erfahren Sie mehr zu Geräte-IDs in IoT Hub.Learn more about device IDs in IoT Hub.

ID-BereichID scope

Der ID-Bereich wird einem Device Provisioning-Dienst zugewiesen, wenn er vom Benutzer erstellt wird. Er dient der Identifizierung des jeweiligen Bereitstellungsdiensts, über den sich das Gerät registriert.The ID scope is assigned to a Device Provisioning Service when it is created by the user and is used to uniquely identify the specific provisioning service the device will register through. Der ID-Bereich wird vom Dienst generiert. Er kann nicht geändert werden und stellt Eindeutigkeit sicher.The ID scope is generated by the service and is immutable, which guarantees uniqueness.

Hinweis

Eindeutigkeit ist wichtig für lang andauernde Bereitstellungsvorgänge und Zusammenführungs- sowie Kaufszenarien.Uniqueness is important for long-running deployment operations and merger and acquisition scenarios.