Terminologi IoT Hub Device Provisioning Service (DPS)

IoT Hub Device Provisioning Service adalah layanan pembantu untuk IoT Hub yang Anda gunakan guna mengonfigurasi provisi perangkat tanpa sentuhan ke IoT Hub tertentu. Dengan Device Provisioning Service, Anda dapat memprovisi jutaan perangkat dengan cara yang aman dan terukur.

Provisi perangkat adalah proses dua bagian. Bagian pertama adalah membangun koneksi awal antara perangkat dan solusi IoT dengan mendaftarkan perangkat. Bagian kedua adalah menerapkan konfigurasi yang tepat ke perangkat berdasarkan persyaratan khusus solusi. Setelah kedua langkah selesai, perangkat telah sepenuhnya diprovisikan. Device Provisioning Service mengotomatiskan kedua langkah untuk memberikan pengalaman provisi yang lancar untuk perangkat.

Artikel ini memberikan ringkasan tentang konsep provisi yang paling berlaku untuk mengelola layanan. Artikel ini paling relevan untuk persona yang terlibat dalam langkah penyiapan cloud untuk menyiapkan perangkat untuk penyebaran.

Titik akhir operasi layanan

Titik akhir operasi layanan adalah titik akhir untuk mengelola pengaturan layanan dan mempertahankan daftar pendaftaran. Titik akhir ini hanya digunakan oleh administrator layanan; tidak digunakan oleh perangkat.

Titik akhir provisi perangkat

Titik akhir provisi perangkat adalah titik akhir tunggal yang digunakan semua perangkat untuk provisi otomatis. URL tersebut sama untuk semua instans layanan provisi, untuk menghilangkan kebutuhan untuk mem-flash ulang perangkat dengan informasi koneksi baru dalam skenario rantai suplai. Cakupan ID memastikan isolasi penyewa.

IoT Hub yang ditautkan

Device Provisioning Service hanya dapat memprovisikan perangkat ke IoT Hub yang sudah ditautkan ke hub tersebut. Menautkan hub IoT ke instans Layanan Penyediaan Perangkat memberikan izin baca/tulis layanan ke registri perangkat hub IoT; dengan tautan tersebut, Layanan Penyediaan Perangkat dapat mendaftarkan ID perangkat dan mengatur konfigurasi awal di perangkat kembar. IoT Hub tertaut mungkin berada di wilayah Azure mana pun. Anda dapat menautkan hub di langganan lain ke layanan provisi Anda.

Kebijakan alokasi

Pengaturan tingkat layanan yang menentukan bagaimana Device Provisioning Service menetapkan perangkat ke IoT Hub. Ada empat kebijakan alokasi yang didukung:

  • Distribusi berbobot merata (default): IoT Hub yang ditautkan memiliki kemungkinan yang sama untuk memiliki perangkat yang diprovisikan untuknya. Pengaturan default. Jika memprovisikan perangkat hanya untuk satu IoT Hub, Anda dapat menyimpan pengaturan ini.

  • Latensi terendah: Perangkat diprovisikan ke IoT Hub dengan latensi terendah ke perangkat. Jika beberapa IoT Hub yang ditautkan akan memberikan latensi terendah yang sama, layanan provisi meng-hash perangkat di seluruh hub tersebut

  • Konfigurasi statik melalui daftar pendaftaran: Spesifikasi IoT Hub yang diinginkan dalam daftar pendaftaran lebih diprioritaskan daripada kebijakan alokasi tingkat layanan.

  • Custom (Use Azure Function):Kebijakan alokasi khusus memberi Anda kontrol lebih besar atas bagaimana perangkat ditugaskan ke hub IoT. Ini dilakukan dengan menggunakan kode kustom dalam Azure Function untuk menetapkan perangkat ke IoT Hub. Layanan provisi perangkat memanggil kode Azure Function Anda dengan memberikan semua informasi yang relevan tentang perangkat dan pendaftaran ke kode Anda. Kode fungsi Anda dijalankan dan mengembalikan informasi IoT Hub yang digunakan untuk memprovisikan perangkat.

Pendaftaran

Pendaftaran adalah rekaman perangkat atau grup perangkat yang dapat mendaftar melalui provisi otomatis. Rekaman pendaftaran berisi informasi tentang perangkat atau grup perangkat, termasuk:

  • mekanisme pengesahan yang digunakan oleh perangkat
  • konfigurasi awal yang diinginkan opsional
  • IoT Hub yang diinginkan
  • ID perangkat yang diinginkan

Ada dua jenis pendaftaran yang didukung oleh Device Provisioning Service:

Grup pendaftaran

Grup pendaftaran adalah grup perangkat yang berbagi mekanisme pengesahan tertentu. Grup pendaftaran mendukung X.509 serta simetris. Semua perangkat dalam grup pendaftaran X.509 menunjukkan sertifikat X.509 yang telah ditandatangani oleh Otoritas Sertifikat (CA) akar atau perantara yang sama. Setiap perangkat dalam grup pendaftaran kunci konten menyajikan token SAS yang berasal dari kunci konten grup. Nama grup pendaftaran dan nama sertifikat harus berupa alfanumerik, huruf kecil, dan dapat berisi tanda hubung.

Tip

Sebaiknya gunakan grup pendaftaran untuk sejumlah besar perangkat yang berbagi konfigurasi awal yang diinginkan, atau untuk semua perangkat yang masuk ke penyewa yang sama.

Pendaftaran individu

Pendaftaran individu adalah entri untuk satu perangkat yang dapat mendaftar. Pendaftaran individu dapat menggunakan sertifikat daun X.509 atau token SAS (dari TPM fisik atau virtual) sebagai mekanisme pengesahan. ID pendaftaran dalam pendaftaran individu adalah alfanumerik, huruf kecil, dan dapat berisi tanda hubung. Pendaftaran individu dapat memiliki ID perangkat IoT hub yang diinginkan yang ditentukan.

Tip

Sebaiknya gunakan pendaftaran individu untuk perangkat yang memerlukan konfigurasi awal yang unik, atau untuk perangkat yang hanya dapat mengautentikasi menggunakan token SAS melalui pengesahan TPM.

Mekanisme pengesahan

Mekanisme pengesahan adalah metode yang digunakan untuk mengonfirmasi identitas perangkat. Mekanisme pengesahan dikonfigurasi pada entri pendaftaran dan memberi tahu layanan provisi metode mana yang digunakan saat memverifikasi identitas perangkat selama pendaftaran.

Catatan

IoT Hub menggunakan "skema autentikasi" untuk konsep serupa dalam layanan itu.

Device Provisioning Service mendukung bentuk pengesahan berikut:

  • Sertifikat X.509 berdasarkan alur autentikasi sertifikat X.509 standar. Untuk informasi selengkapnya, lihat sertifikat X.509.
  • Modul Platform Tepercaya (TPM) berdasarkan tantangan nonce, menggunakan standar TPM untuk kunci guna menyajikan token Tanda Tangan Akses Bersama (SAS) yang ditandatangani. Ini tidak memerlukan TPM fisik pada perangkat, tetapi layanan mengharapkan untuk membuktikan menggunakan kunci pengesahan sesuai spesifikasi TPM. Untuk informasi selengkapnya, lihat pengesahan TPM.
  • Kunci Konten berdasarkan tanda tangan akses bersama (SAS) Token keamanan, yang mencakup tanda tangan yang di-hash dan kedaluwarsa yang disematkan. Untuk informasi selengkapnya, lihat Pengesahan kunci konten.

Modul keamanan perangkat keras

Modul keamanan perangkat keras, atau HSM, digunakan untuk penyimpanan rahasia perangkat berbasis perangkat keras yang aman, dan merupakan bentuk penyimpanan rahasia yang paling aman. Baik sertifikat X.509 dan token SAS dapat disimpan di HSM. HSM dapat digunakan dengan kedua mekanisme pengesahan yang didukung layanan provisi.

Tip

Kami sangat menyarankan menggunakan HSM dengan perangkat untuk menyimpan rahasia dengan aman di perangkat Anda.

Rahasia perangkat juga dapat disimpan dalam perangkat lunak (memori), tetapi ini adalah bentuk penyimpanan yang kurang aman daripada HSM.

Cakupan ID

Cakupan ID ditetapkan ke Device Provisioning Service saat dibuat oleh pengguna dan digunakan untuk secara unik mengidentifikasi layanan provisi spesifik yang akan didaftarkan oleh perangkat. Cakupan ID dihasilkan oleh layanan dan tidak dapat diubah, yang menjamin keunikan.

Catatan

Keunikan penting untuk operasi penyebaran jangka panjang dan skenario penggabungan dan akuisisi.

Pendaftaran

Pendaftaran adalah rekaman perangkat yang berhasil mendaftar/memprovisikan ke IoT Hub melalui Device Provisioning Service. Rekaman pendaftaran dibuat secara otomatis; rekaman tersebut dapat dihapus, tetapi tidak dapat diperbarui.

ID Pendaftaran

ID pendaftaran digunakan untuk mengidentifikasi secara unik pendaftaran perangkat dengan Device Provisioning Service. ID perangkat harus unik dalam cakupan ID layanan provisi. Setiap perangkat harus memiliki ID pendaftaran. ID pendaftaran adalah alfanumerik, tidak peka huruf besar/kecil, dan dapat berisi karakter khusus termasuk titik dua, titik, garis bawah dan tanda hubung.

  • Dalam kasus TPM, ID pendaftaran disediakan oleh TPM itu sendiri.
  • Dalam kasus pengesahan berbasis X.509, ID pendaftaran disediakan sebagai nama subjek sertifikat.

ID Perangkat

ID perangkat adalah ID seperti yang muncul di IoT Hub. ID perangkat yang diinginkan dapat diatur dalam entri pendaftaran, tetapi tidak diperlukan untuk diatur. Mengatur ID perangkat yang diinginkan hanya didukung dalam pendaftaran individu. Jika tidak ada ID perangkat yang diinginkan yang ditentukan dalam daftar pendaftaran, ID pendaftaran digunakan sebagai ID perangkat saat mendaftarkan perangkat. Pelajari selengkapnya tentang ID perangkat di IoT Hub.

Operasional

Operasi adalah unit penagihan dari Device Provisioning Service. Salah satu operasi adalah keberhasilan penyelesaian satu petunjuk ke layanan. Operasi termasuk pendaftaran perangkat dan pendaftaran ulang; operasi juga mencakup perubahan sisi layanan seperti menambahkan entri daftar pendaftaran, dan memperbarui entri daftar pendaftaran.