terminologia del servizio Device Provisioning hub IoT
hub IoT Device Provisioning Service (DPS) è un servizio helper per hub IoT che consente il provisioning di dispositivi senza tocco agli hub IoT. Con il servizio Device Provisioning è possibile effettuare il provisioning di milioni di dispositivi in modo sicuro e scalabile.
Il provisioning dei dispositivi è un processo in due parti.
- La prima parte stabilisce la connessione iniziale tra il dispositivo e la soluzione IoT registrando il dispositivo.
- La seconda parte applica la configurazione corretta al dispositivo in base ai requisiti specifici della soluzione.
Una volta completati entrambi questi passaggi, il provisioning del dispositivo può considerarsi completato. Il servizio Device Provisioning consente di automatizzare entrambi i passaggi per semplificare l'esperienza di provisioning dei dispositivi.
Questo articolo offre una panoramica dei concetti di provisioning applicabili alla gestione del servizio. L'articolo è di particolare interesse per le persone coinvolte nella fase di impostazione cloud in preparazione alla distribuzione di un dispositivo.
Endpoint delle operazioni del servizio
L'endpoint delle operazioni del servizio è l'endpoint per la gestione delle impostazioni del servizio e la manutenzione dell'elenco di registrazione. Questo endpoint viene usato solo dall'amministratore del servizio; non viene usato dai dispositivi.
Endpoint di provisioning dei dispositivi
L'endpoint di provisioning del dispositivo è l'endpoint singolo usato da tutti i dispositivi per il provisioning. L'URL è lo stesso per tutte le istanze del servizio di provisioning, che elimina la necessità di riflashing dei dispositivi con nuove informazioni di connessione negli scenari della supply chain. L'ambito ID garantisce l'isolamento dei tenant.
Hub IoT collegati
Il servizio Device Provisioning può effettuare il provisioning dei dispositivi solo negli hub IoT che sono stati collegati. Il collegamento di un hub IoT a un'istanza del servizio Device Provisioning concede al servizio le autorizzazioni di lettura/scrittura al registro dei dispositivi dell'hub IoT. Con il collegamento, un servizio Device Provisioning può registrare un ID dispositivo e impostare la configurazione iniziale nel dispositivo gemello. Gli hub IoT collegati possono trovarsi in qualsiasi area di Azure. È possibile collegare hub in altre sottoscrizioni al servizio di provisioning.
Per altre informazioni, vedere Come collegare e gestire hub IoT
Criteri di assegnazione
I criteri di allocazione sono un'impostazione a livello di servizio che determina il modo in cui il servizio Device Provisioning assegna i dispositivi a un hub IoT. Esistono quattro criteri di allocazione supportati:
Distribuzione ponderata uniforme: gli hub IoT collegati hanno le stesse probabilità di essere scelti per il provisioning dei dispositivi. Si tratta dell'impostazione predefinita. Se si esegue il provisioning dei dispositivi in un solo hub IoT, è possibile mantenere questa impostazione.
Latenza minima: il provisioning dei dispositivi viene effettuato in un hub IoT con latenza minima per il dispositivo. Se più hub IoT collegati forniscono la stessa latenza minima, il servizio di provisioning suddivide i dispositivi tra gli hub
Configurazione statica tramite l'elenco di registrazione: la specifica dell'hub IoT desiderato nell'elenco di registrazione ha la priorità rispetto ai criteri di allocazione a livello di servizio.
Personalizzato (usare la funzione di Azure): un criterio di allocazione personalizzato offre un maggiore controllo sulla modalità di assegnazione dei dispositivi a un hub IoT. I criteri di allocazione personalizzati usano una funzione di Azure per assegnare i dispositivi a un hub IoT. Il servizio Device Provisioning chiama il codice della funzione di Azure trasmettendo tutte le informazioni rilevanti sul dispositivo e la registrazione al codice. Viene eseguito il codice della funzione, che restituisce le informazioni dell'hub IoT usate per il provisioning del dispositivo. Per altre informazioni, vedere Informazioni sui criteri di allocazione personalizzati.
Per altre informazioni, vedere Come usare i criteri di allocazione.
Registrazione
Una registrazione è il record di dispositivi o gruppi di dispositivi che possono essere registrati tramite il provisioning automatico. Nel record di registrazione sono presenti informazioni sul dispositivo o sul gruppo di dispositivi, tra cui:
- Meccanismo di attestazione usato dal dispositivo
- L’eventuale configurazione iniziale desiderata
- Hub IoT desiderato
- L'ID dispositivo desiderato
Esistono due tipi di registrazioni supportate dal servizio Device Provisioning: gruppi di registrazione e registrazioni singole.
Gruppo di registrazione
Un gruppo di registrazione è un gruppo di dispositivi che condividono un meccanismo di attestazione specifico. I gruppi di registrazione supportano il certificato X.509 o l'attestazione con chiave simmetrica.
Il nome del gruppo di registrazione e gli ID di registrazione presentati dai dispositivi devono essere stringhe senza distinzione tra maiuscole e minuscole di caratteri alfanumerici e i caratteri speciali: - . _ :. L'ultimo carattere deve essere alfanumerico o trattino (-). Il nome del gruppo di registrazione può contenere fino a 128 caratteri. Nei gruppi di registrazione con chiave simmetrica, gli ID di registrazione presentati dai dispositivi possono contenere fino a 128 caratteri. Tuttavia, nei gruppi di registrazioni X.509, poiché la lunghezza massima del nome comune del soggetto in un certificato X.509 è di 64 caratteri, gli ID di registrazione sono limitati a 64 caratteri.
I dispositivi in un gruppo di registrazione X.509 presentano certificati X.509 firmati dalla stessa autorità di certificazione radice o intermedia. Il nome comune soggetto (CN) del certificato dell'entità finale (foglia) di ogni dispositivo diventa l'ID di registrazione per tale dispositivo. I dispositivi in un gruppo di registrazione con chiave simmetrica presentano token di firma di accesso condiviso derivati dalla chiave simmetrica del gruppo.
Per i dispositivi in un gruppo di registrazione, l'ID registrazione viene usato anche come ID dispositivo registrato per hub IoT.
Suggerimento
È consigliabile usare un gruppo di registrazione per un numero elevato di dispositivi che condividono una configurazione iniziale desiderata o per i dispositivi destinati allo stesso tenant.
Registrazione individuale
Una registrazione individuale è una voce per un singolo dispositivo che esegue la registrazione. Le registrazioni singole possono usare certificati foglia X.509 o token di firma di accesso condiviso (da un TPM fisico o virtuale) come meccanismi di attestazione.
L'ID registrazione in una registrazione singola è una stringa senza distinzione tra maiuscole e minuscole di caratteri alfanumerici più i caratteri speciali: - . _ :. L'ultimo carattere deve essere alfanumerico o trattino (-). DPS supporta ID di registrazione fino a 128 caratteri.
Per le registrazioni singole X.509, il nome comune del soggetto (CN) del certificato deve corrispondere all'ID di registrazione, pertanto il nome comune deve rispettare il formato della stringa id di registrazione. Il nome comune del soggetto ha una lunghezza massima di 64 caratteri, pertanto l'ID registrazione è limitato a 64 caratteri per le registrazioni X.509.
Le registrazioni singole possono avere l'ID dispositivo dell'hub IoT desiderato specificato nella voce di registrazione. Se non viene specificato, l'ID registrazione diventa l'ID dispositivo registrato per hub IoT.
Suggerimento
È consigliabile usare le registrazioni individuali per i dispositivi che richiedono configurazioni iniziali univoche oppure per i dispositivi che possono autenticare solo usando token di firma di accesso condiviso tramite l'attestazione TPM.
Meccanismo di attestazione
Un meccanismo di attestazione è il metodo usato per confermare l'identità di un dispositivo. Il meccanismo di attestazione viene configurato in una voce di registrazione e indica al servizio di provisioning quale metodo usare durante la verifica dell'identità di un dispositivo durante la registrazione.
Nota
L'hub IoT usa lo "schema di autenticazione" per un concetto simile in tale servizio.
Il servizio Device Provisioning supporta i seguenti tipi di attestazione:
- Certificati X.509 basati sul flusso di autenticazione del certificato X.509 standard. Per altre informazioni, vedere Attestazione X.509.
- Trusted Platform Module (TPM) basato su una richiesta di verifica nonce, che usa lo standard TPM relativo alle chiavi per presentare un token di firma di accesso condiviso (SAS). Questo non richiede un TPM fisico nel dispositivo, ma il servizio prevede l'attestazione usando la chiave di verifica dell'autenticità in base alla specifica TPM. Per altre informazioni, vedere Attestazione TPM.
- Chiave simmetrica basata su token di firma di accesso condiviso (SAS), che includono una firma hash e una scadenza incorporata. Per altre informazioni, vedere Attestazione con chiave simmetrica.
Modulo di protezione hardware
Un modulo di sicurezza hardware, o HSM, viene usato per l'archiviazione sicura e basata su hardware dei segreti del dispositivo ed è la forma più sicura di archiviazione dei segreti. I certificati X.509 e i token di firma di accesso condiviso possono essere archiviati in un modulo di protezione hardware.
Suggerimento
È consigliabile usare un modulo di protezione hardware con i dispositivi per archiviare in modo sicuro i segreti nei dispositivi.
I segreti del dispositivo possono anche essere archiviati nel software (memoria), ma è una forma di archiviazione meno sicura rispetto a un modulo di protezione hardware.
Ambito ID
L'ambito ID viene assegnato a un servizio Device Provisioning quando viene creato e viene usato per identificare in modo univoco il servizio di provisioning specifico. L'ambito ID viene generato dal servizio e non è modificabile, per garantire l'univocità. L'univocità dell'ambito ID è importante per le operazioni di distribuzione a esecuzione prolungata e gli scenari di fusione e acquisizione.
Record di registrazione
Un record di registrazione è il record di un dispositivo che esegue correttamente la registrazione/provisioning in un hub IoT tramite il servizio Device Provisioning. I record di registrazione vengono creati automaticamente; possono essere eliminati, ma non possono essere aggiornati.
ID registrazione
L'ID registrazione viene usato per identificare in modo univoco una registrazione del dispositivo con il servizio Device Provisioning. L'ID di registrazione deve essere univoco nell'ambito ID del servizio di provisioning. Ogni dispositivo deve avere un ID di registrazione. L'ID registrazione è una stringa senza distinzione tra maiuscole e minuscole di caratteri alfanumerici più i caratteri speciali: - . _ :. L'ultimo carattere deve essere alfanumerico o trattino (-). DPS supporta ID di registrazione fino a 128 caratteri.
- Con l'attestazione TPM, l'ID di registrazione viene fornito dal TPM stesso.
- Con l'attestazione basata su X.509, l'ID registrazione viene impostato sul nome comune soggetto (CN) del certificato del dispositivo. Per questo motivo, il nome comune deve rispettare il formato della stringa id di registrazione. Tuttavia, l'ID di registrazione è limitato a 64 caratteri perché si tratta della lunghezza massima del nome comune del soggetto in un certificato X.509.
ID dispositivo
L'ID dispositivo è l'ID visualizzato nell'hub IoT. L'ID dispositivo desiderato può essere impostato nella voce di registrazione, ma non è necessario impostare. L'impostazione dell'ID dispositivo desiderato è supportata solo nelle registrazioni singole. Se l'ID dispositivo desiderato non viene specificato nell'elenco di registrazione, l'ID di registrazione viene usato come ID dispositivo durante la registrazione del dispositivo. Vedere altre informazioni sugli ID dispositivo nell'hub IoT.
Operazioni
Le operazioni rappresentano l'unità di fatturazione del servizio Device Provisioning. Un'operazione si riferisce al corretto completamento di un'istruzione nel servizio. Le operazioni possono includere registrazioni e registrazioni dei dispositivi, nonché modifiche sul lato servizio, ad esempio l'aggiunta e l'aggiornamento delle voci dell'elenco di registrazioni.