La connexion d’appareils IoT à la plateforme IoT implique les trois processus d’attestation, d’authentification et d’approvisionnement.
Le mécanisme d’attestation représente la méthode choisie pour qu’un appareil confirme son identité quand il se connecte à un service de plateforme IoT tel qu’Azure IoT Hub. IoT Hub prend en charge les méthodes d’attestation par clé symétrique, empreinte numérique X.509 et autorité de certification X.509.
L’authentification est la manière dont l’appareil s’identifie lui-même. IoT Hub accorde l’accès à un appareil en fonction de la capacité de celui-ci à s’authentifier en utilisant son identité d’appareil unique combinée avec son mécanisme d’attestation.
L’approvisionnement consiste à inscrire un appareil dans Azure IoT Hub. L’approvisionnement informe IoT Hub de l’existence de l’appareil et du mécanisme d’attestation que l’appareil utilise.
Service Azure IoT Hub Device Provisioning (DPS)
L’approvisionnement d’appareil peut se faire via le Service Azure IoT Hub Device Provisioning (DPS) ou directement via des API du gestionnaire du Registre IoT Hub. L’utilisation de DPS offre l’avantage d’une liaison tardive, ce qui permet de supprimer et de réapprovisionner des appareils de champ pour IoT Hub sans modifier le logiciel de l’appareil.
L’exemple suivant montre comment implémenter un flux de travail de transition d’environnement de test en production à l’aide de DPS.
- Le développeur de solutions lie les clouds IoT de test et de production au service d’approvisionnement.
- L’appareil implémente le protocole DPS pour rechercher l’IoT Hub s’il n’est plus approvisionné. L’appareil est initialement approvisionné dans l’environnement de test.
- L’appareil étant inscrit auprès de l’environnement de test, il se connecte à celui-ci et les tests sont effectués.
- Le développeur réapprovisionne l’appareil dans l’environnement de production et le supprime du hub de test. Le hub de test rejette l’appareil quand celui-ci se reconnecte.
- L’appareil se connecte et renégocie le processus d’approvisionnement. DPS dirige maintenant l’appareil vers l’environnement de production, et l’appareil se connecte et s’authentifie auprès de celui-ci.
Protocoles pris en charge par IoT Hub
Prenez en compte les combinaisons de protocoles d’authentification pris en charge par Azure IoT Hub lors de l’utilisation de solutions IoT de bout en bout. Il se peut que les combinaisons marquées par des lignes rouges dans le diagramme suivant soient incompatibles ou fassent l’objet de considérations ajoutées.
- Les jetons SAP sont toujours inscrits en tant que clés symétriques auprès du service IoT Hub.
- La révocation de certificats via DPS n’empêche pas les appareils actuellement approvisionnés de continuer à s’authentifier auprès du service IoT Hub. Après révocation d’un certificat dans DPS, supprimez également l’appareil du service IoT Hub, soit manuellement via le tableau de bord du portail, soit par programmation à l’aide d’API du gestionnaire du Registre.
- Bien que le service IoT Hub prenne en charge l’authentification d’autorité de certification X.509, l’approvisionnement d’appareils avec l’autorité de certification X.509 via DPS a pour effet de les approvisionner dans le service IoT Hub en tant qu’empreinte numérique X.509.
- Les variantes de socket web d’AMQP et de MQTT ne sont pas prises en charge avec les certificats d’autorité de certification X.509 dans le service IoT Hub.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Jason Wadsworth | Ingénieur logiciel principal
Étapes suivantes
- Configurer le service d’approvisionnement d’appareil IoT Hub avec le portail Azure
- Provisionner un appareil à clé symétrique avec C#
- Créer et provisionner un appareil X.509 auprès du service IoT Hub Device Provisioning à l’aide du SDK d’appareil C#
- Authentification des appareils à l’aide de certificats d’autorité de certification X.509