Az IoT Hub Device Provisioning Service terminológiája

Az IoT Hub Device Provisioning Service (DPS) az IoT Hub segédszolgáltatása, amely lehetővé teszi az eszközök érintés nélküli kiépítését az IoT Hubokon. A Device Provisioning Service-szel több millió eszköz kiépítését végezheti el biztonságosan és skálázható módon.

Az eszközkiépítés két részből áll.

1. Az első rész az eszköz regisztrálásával hozza létre az eszköz és az IoT-megoldás közötti kezdeti kapcsolatot.
2. A második rész a megoldás konkrét követelményei alapján alkalmazza a megfelelő konfigurációt az eszközre.

Miután mindkét lépés befejeződött, az eszköz teljesen ki lett építve. A Device Provisioning Service a két lépés automatizálásával biztosítja az eszközök zökkenőmentes kiépítését.

Ez a cikk áttekintést nyújt a szolgáltatás kezelésére vonatkozó kiépítési fogalmakról. Ez a cikk leginkább azoknak a személyeknek szól, akik részt vesznek az eszközök üzembe helyezésre való felkészítésének felhőbeállítási lépésében .

Szolgáltatásműveleti végpont

A szolgáltatásműveleti végpont a szolgáltatásbeállítások kezelésére és a regisztrációs lista karbantartására szolgáló végpont. Ezt a végpontot csak a szolgáltatásadminisztrátor használja; az eszközök nem használják.

Eszközkiépítési végpont

Az eszközkiépítési végpont az egyetlen végpont, amelyet az összes eszköz használ a kiépítéshez. Az URL-cím megegyezik az összes kiépítési szolgáltatáspéldány esetében, ami szükségtelenné teszi az új kapcsolati adatokkal rendelkező eszközök újrabontását az ellátási lánc forgatókönyveiben. Az azonosító hatóköre biztosítja a bérlők elkülönítését.

IoT-központokkal összekapcsolva

Az eszközkiépítési szolgáltatás csak azokhoz az IoT Hubokhoz tud eszközöket kiépíteni, amelyek hozzá lettek csatolva. Az IoT Hub és a Device Provisioning Service egy példányának összekapcsolása olvasási/írási engedélyeket ad a szolgáltatásnak az IoT Hub eszközregisztrációs adatbázisához. A hivatkozással a Device Provisioning Service regisztrálhat egy eszközazonosítót, és beállíthatja a kezdeti konfigurációt az ikereszközben. A csatolt IoT Hubok bármely Azure-régióban lehetnek. Más előfizetésekben lévő központokat összekapcsolhatja a kiépítési szolgáltatással.

További információ: IoT Hubok csatolása és kezelése

Foglalási szabályzat

A kiosztási szabályzat egy szolgáltatásszintű beállítás, amely meghatározza, hogy a Device Provisioning Service hogyan rendel eszközöket egy IoT Hubhoz. Négy támogatott foglalási szabályzat létezik:

• Egyenletesen súlyozott elosztás: a csatolt IoT Hubok ugyanolyan valószínűséggel rendelkeznek az eszközök üzembe helyezésére. Az alapértelmezett beállítás. Ha csak egy IoT Hubra épít ki eszközöket, megtarthatja ezt a beállítást.

• Legalacsonyabb késés: az eszközök ki vannak építve egy IoT Hubra, amely a legalacsonyabb késést jelenti az eszközön. Ha több csatolt IoT Hub is ugyanazt a legalacsonyabb késést nyújtaná, a kiépítési szolgáltatás az összes ilyen hubon kivonatot ad az eszközökről

• Statikus konfiguráció a regisztrációs listával: a regisztrációs listában a kívánt IoT Hub specifikációja elsőbbséget élvez a szolgáltatásszintű foglalási szabályzattal szemben.

• Egyéni (Azure-függvény használata):: Az egyéni foglalási szabályzatok nagyobb mértékben szabályozják az eszközök IoT Hubhoz való hozzárendelését. Az egyéni foglalási szabályzatok egy Azure-függvény használatával rendelnek eszközöket egy IoT Hubhoz. Az eszközkiépítési szolgáltatás meghívja az Azure-függvénykódot, amely minden releváns információt megad az eszközről és a kód regisztrálásáról. A rendszer végrehajtja a függvénykódot, és visszaadja az eszköz kiépítéséhez használt IoT Hub-adatokat. További információ: Az egyéni foglalási szabályzatok ismertetése.

További információ: Foglalási szabályzatok használata.

Bejegyzés

A regisztráció azon eszközök vagy eszközcsoportok rekordja, amelyek automatikusan regisztrálhatók. A regisztrációs rekord információkat tartalmaz az eszközről vagy eszközcsoportról, beleértve a következőket:

• Az eszköz által használt igazolási mechanizmus
• Az opcionális kezdeti kívánt konfiguráció
• A kívánt IoT Hub
• A kívánt eszközazonosító

A Device Provisioning Service kétféle regisztrációt támogat: regisztrációs csoportokat és egyéni regisztrációkat.

Regisztrációs csoport

A regisztrációs csoport egy olyan eszközcsoport, amely egy adott igazolási mechanizmussal rendelkezik. A regisztrációs csoportok támogatják az X.509 tanúsítványt vagy szimmetrikus kulcsigazolást.

A regisztrációs csoport nevének és az eszközök által megjelenített regisztrációs azonosítóknak alfanumerikus karakterekből és speciális karakterekből álló kis- és nagybetűknek kell lenniük: - . _ :. Az utolsó karakternek alfanumerikusnak vagy kötőjelnek (-) kell lennie. A regisztrációs csoport neve legfeljebb 128 karakter hosszú lehet. Szimmetrikus kulcsregisztrációs csoportokban az eszközök által megjelenített regisztrációs azonosítók legfeljebb 128 karakter hosszúak lehetnek. Az X.509 regisztrációs csoportokban azonban, mivel az X.509-tanúsítványokban a tulajdonos közös nevének maximális hossza 64 karakter, a regisztrációs azonosítók legfeljebb 64 karakter hosszúságúak.

Az X.509 regisztrációs csoportban lévő eszközök olyan X.509-tanúsítványokat mutatnak be, amelyeket ugyanaz a legfelső szintű vagy köztes hitelesítésszolgáltató (CA) ír alá. Az egyes eszközök végfelhasználói tanúsítványának (levéltanúsítványának) tulajdonosi köznapi neve (CN) lesz az adott eszköz regisztrációs azonosítója. A szimmetrikus kulcsregisztrációs csoportban lévő eszközök a csoport szimmetrikus kulcsából származtatott SAS-jogkivonatokat mutatnak be.

A regisztrációs csoportban lévő eszközök esetében a regisztrációs azonosító az IoT Hubon regisztrált eszközazonosítóként is használatos.

Tipp.

Javasoljuk, hogy nagy számú olyan eszközhöz használjon regisztrációs csoportot, amely a kívánt kezdeti konfigurációval rendelkezik, vagy olyan eszközökhöz, amelyek mindegyike ugyanarra a bérlőre kerül.

Egyéni regisztráció

Az egyéni regisztráció egyetlen olyan eszköz bejegyzése, amely regisztrálható. Az egyéni regisztrációk az igazolási mechanizmusként X.509 levéltanúsítványokat vagy SAS-jogkivonatokat (fizikai vagy virtuális TPM-ből) használhatnak.

Az egyéni regisztráció regisztrációs azonosítója egy kis- és nagybetűket nem megkülönböztető sztring, amely alfanumerikus karakterekből és speciális karakterekből áll: - . _ :. Az utolsó karakternek alfanumerikusnak vagy kötőjelnek (-) kell lennie. A DPS legfeljebb 128 karakter hosszú regisztrációs azonosítókat támogat.

Az X.509 egyéni regisztrációk esetében a tanúsítvány tulajdonosának köznapi nevének (CN) meg kell egyeznie a regisztrációs azonosítóval, így a köznapi névnek meg kell felelnie a regisztrációs azonosító sztringformátumának. A tulajdonos köznapi neve legfeljebb 64 karakter hosszúságú lehet, ezért az X.509-regisztrációk esetében a regisztrációs azonosító legfeljebb 64 karakter hosszúságú lehet.

Előfordulhat, hogy az egyes regisztrációkhoz meg van adva a kívánt IoT Hub-eszközazonosító a regisztrációs bejegyzésben. Ha nincs megadva, a regisztrációs azonosító lesz az IoT Hubon regisztrált eszközazonosító.

Tipp.

Javasoljuk, hogy egyéni regisztrációkat használjunk egyedi kezdeti konfigurációt igénylő eszközökhöz, vagy olyan eszközökhöz, amelyek csak TPM-igazolással tudnak hitelesíteni SAS-jogkivonatokkal.

Igazolási mechanizmus

Az igazolási mechanizmus az eszköz identitásának megerősítésére használt módszer. Az igazolási mechanizmus egy regisztrációs bejegyzésen van konfigurálva, és közli a kiépítési szolgáltatással, hogy melyik módszert kell használni az eszköz személyazonosságának ellenőrzésekor a regisztráció során.

Feljegyzés

Az IoT Hub a szolgáltatás hasonló koncepciójának "hitelesítési sémáját" használja.

A Device Provisioning Service az alábbi igazolási formákat támogatja:

• X.509-tanúsítványok a szabványos X.509-tanúsítványhitelesítési folyamat alapján. További információ: X.509 igazolás.
• Megbízható platformmodul (TPM) egy nem szándékos feladat alapján, a kulcsok TPM-szabványának használatával egy aláírt közös hozzáférésű jogosultságkód (SAS) jogkivonatot jeleníthet meg. Ehhez nincs szükség fizikai TPM-re az eszközön, de a szolgáltatás elvárja, hogy a TPM specifikációja szerinti ellenőrző kulccsal igazolja. További információ: TPM-igazolás.
• Szimmetrikus kulcs a közös hozzáférésű jogosultságkódon (SAS) alapuló SAS-jogkivonatokon, amelyek kivonatolt aláírást és beágyazott lejáratot tartalmaznak. További információ: Szimmetrikus kulcsigazolás.

Hardveres biztonsági modul

A hardveres biztonsági modult vagy HSM-et az eszköz titkos kulcsainak biztonságos, hardveralapú tárolására használják, és ez a titkos kulcsok tárolásának legbiztonságosabb formája. Az X.509-tanúsítványok és az SAS-jogkivonatok is tárolhatók egy HSM-ben.

Tipp.

Határozottan javasoljuk, hogy használjon HSM-et eszközökkel a titkos kódok biztonságos tárolásához az eszközein.

Az eszköz titkos kódjai szoftverben (memóriában) is tárolhatók, de kevésbé biztonságos tárolási forma, mint a HSM.

Azonosító hatóköre

Az azonosító hatóköre a létrehozáskor egy eszközkiépítési szolgáltatáshoz van rendelve, és az adott kiépítési szolgáltatás egyedi azonosítására szolgál. Az azonosító hatókörét a szolgáltatás hozza létre, és nem módosítható, ami garantálja az egyediséget. Az azonosító hatókörének egyedisége fontos a hosszú ideig futó üzembe helyezési műveletek, valamint az egyesülési és felvásárlási forgatókönyvek esetében.

Regisztrációs rekord

A regisztrációs rekord annak az eszköznek a rekordja, amely sikeresen regisztrál/kiépített egy IoT Hubot a Device Provisioning Service-en keresztül. A regisztrációs rekordok automatikusan létrejönnek; törölhetők, de nem frissíthetők.

Regisztráció azonosítója

A regisztrációs azonosítóval egyedileg azonosíthatja az eszközregisztrációt a Device Provisioning Service szolgáltatással. A regisztrációs azonosítónak egyedinek kell lennie a kiépítési szolgáltatásazonosító hatókörében. Minden eszköznek rendelkeznie kell regisztrációs azonosítóval. A regisztrációs azonosító egy kis- és nagybetűket nem megkülönböztető karakterlánc, amely alfanumerikus karakterekből és speciális karakterekből áll: - . _ :. Az utolsó karakternek alfanumerikusnak vagy kötőjelnek (-) kell lennie. A DPS legfeljebb 128 karakter hosszú regisztrációs azonosítókat támogat.

• A TPM-igazolással a regisztrációs azonosítót maga a TPM adja meg.
• X.509-alapú igazolás esetén a regisztrációs azonosító az eszköztanúsítvány tulajdonosi köznapi nevére (CN) van állítva. Ezért a köznapi névnek meg kell felelnie a regisztrációs azonosító sztringformátumának. A regisztrációs azonosító azonban legfeljebb 64 karakter hosszúságú lehet, mivel az X.509-tanúsítványban ez a tulajdonos közös nevének maximális hossza.

Eszközazonosító

Az eszközazonosító az IoT Hubban megjelenő azonosító. Előfordulhat, hogy a kívánt eszközazonosító be van állítva a regisztrációs bejegyzésben, de nem szükséges beállítani. A kívánt eszközazonosító beállítása csak az egyes regisztrációkban támogatott. Ha nincs megadva kívánt eszközazonosító a regisztrációs listában, a regisztrációs azonosító lesz az eszközazonosító az eszköz regisztrálásakor. További információ az IoT Hub eszközazonosítóiról.

Üzemeltetés

A műveletek a Device Provisioning Service számlázási egységei. Az egyik művelet egy utasítás sikeres végrehajtása a szolgáltatás számára. A műveletek tartalmazhatnak eszközregisztrációkat és újraregisztrációkat, valamint szolgáltatásoldali módosításokat, például regisztrációs listabejegyzések hozzáadását és frissítését.