Terminologia do DPS (Serviço de Provisionamento de Dispositivos) do Hub IoT

  • Artigo

O Serviço de Provisionamento de Dispositivo do Hub IoT é um serviço auxiliar para o Hub IoT que você usa para configurar o provisionamento de dispositivo zero-touch para um hub IoT especificado. Com o Serviço de Provisionamento de Dispositivos, você pode provisionar milhões de dispositivos de forma segura e escalável.

O provisionamento de dispositivos é um processo em duas partes. A primeira parte é estabelecer a conexão inicial entre o dispositivo e a solução IoT, registrando o dispositivo. A segunda parte é aplicar a configuração adequada ao dispositivo com base nos requisitos específicos da solução. Uma vez concluídas ambas as etapas, o dispositivo foi totalmente provisionado. O Serviço de Aprovisionamento de Dispositivos automatiza os dois passos para fornecer uma experiência totalmente integrada de aprovisionamento do dispositivo.

Este artigo fornece uma visão geral dos conceitos de provisionamento mais aplicáveis ao gerenciamento do serviço. Este artigo é mais relevante para as pessoas envolvidas na etapa de configuração da nuvem de preparar um dispositivo para implantação.

Ponto de extremidade de operações de serviço

O ponto de extremidade de operações de serviço é o ponto de extremidade para gerenciar as configurações de serviço e manter a lista de registro. Este ponto de extremidade é usado apenas pelo administrador do serviço; não é utilizado por dispositivos.

Ponto de extremidade de provisionamento de dispositivo

O ponto de extremidade de provisionamento de dispositivo é o ponto de extremidade único que todos os dispositivos usam para provisionamento automático. A URL é a mesma para todas as instâncias de serviço de provisionamento, para eliminar a necessidade de reflash dispositivos com novas informações de conexão em cenários de cadeia de suprimentos. O escopo ID garante o isolamento do locatário.

Hubs IoT ligados

O Serviço de Provisionamento de Dispositivos só pode provisionar dispositivos para hubs IoT que tenham sido vinculados a ele. Vincular um hub IoT a uma instância do Serviço de Provisionamento de Dispositivo dá ao serviço permissões de leitura/gravação para o registro de dispositivo do hub IoT; com o link, um Serviço de Provisionamento de Dispositivo pode registrar um ID de dispositivo e definir a configuração inicial no gêmeo do dispositivo. Os hubs IoT vinculados podem estar em qualquer região do Azure. Você pode vincular hubs em outras assinaturas ao seu serviço de provisionamento.

Política de afetação

A configuração de nível de serviço que determina como o Serviço de Provisionamento de Dispositivo atribui dispositivos a um hub IoT. Existem quatro políticas de atribuição apoiadas:

  • Distribuição ponderada uniformemente: hubs IoT vinculados têm a mesma probabilidade de ter dispositivos provisionados para eles. A definição pré-definida. Se estiver a aprovisionar dispositivos apenas para um hub IoT, poderá manter esta definição.

  • Menor latência: os dispositivos são provisionados para um hub IoT com a menor latência para o dispositivo. Se vários hubs IoT vinculados fornecerem a mesma latência mais baixa, o serviço de provisionamento hashará dispositivos nesses hubs

  • Configuração estática por meio da lista de registro: a especificação do hub IoT desejado na lista de inscrição tem prioridade sobre a política de alocação de nível de serviço.

  • Personalizado (Usar Função do Azure): uma política de alocação personalizada oferece mais controle sobre como os dispositivos são atribuídos a um hub IoT. Isso é feito usando código personalizado em uma Função do Azure para atribuir dispositivos a um hub IoT. O serviço de provisionamento de dispositivo chama seu código de Função do Azure fornecendo todas as informações relevantes sobre o dispositivo e o registro em seu código. Seu código de função é executado e retorna as informações do hub IoT usadas para provisionar o dispositivo.

Inscrição

Um registro é o registro de dispositivos ou grupos de dispositivos que podem se registrar por meio do provisionamento automático. O registro de inscrição contém informações sobre o dispositivo ou grupo de dispositivos, incluindo:

  • o mecanismo de certificação utilizado pelo dispositivo
  • a configuração inicial desejada opcional
  • hub IoT desejado
  • o ID do dispositivo desejado

Há dois tipos de inscrições suportados pelo Serviço de Provisionamento de Dispositivos:

Grupo de inscrição

Um grupo de inscrição é um grupo de dispositivos que compartilham um mecanismo de atestado específico. Os grupos de inscrição suportam certificado X.509 ou atestado de chave simétrica. Os dispositivos em um grupo de registro X.509 apresentam certificados X.509 que foram assinados pela mesma autoridade de certificação (CA) raiz ou intermediária. O nome comum da entidade (NC) do certificado de entidade final (folha) de cada dispositivo torna-se o ID de registo desse dispositivo. Os dispositivos em um grupo de registro de chave simétrica apresentam tokens SAS derivados da chave simétrica do grupo.

O nome do grupo de inscrição, bem como os IDs de registro apresentados pelos dispositivos, devem ser cadeias de caracteres alfanuméricos que não diferenciam maiúsculas de minúsculas mais os caracteres especiais: '-', , '.''_', ':'. O último caractere deve ser alfanumérico ou traço ('-'). O nome do grupo de inscrição pode ter até 128 caracteres. Em grupos de inscrição de chaves simétricas, os IDs de registro apresentados pelos dispositivos podem ter até 128 caracteres. No entanto, nos grupos de inscrição X.509, como o comprimento máximo do nome comum do assunto em um certificado X.509 é de 64 caracteres, as IDs de registro são limitadas a 64 caracteres.

Para dispositivos em um grupo de registro, a ID de registro também é usada como a ID de dispositivo registrada no Hub IoT.

Gorjeta

Recomendamos o uso de um grupo de registro para um grande número de dispositivos que compartilham uma configuração inicial desejada ou para dispositivos todos indo para o mesmo locatário.

Inscrição individual

Uma inscrição individual é uma entrada para um único dispositivo que pode se registrar. As inscrições individuais podem usar certificados de folha X.509 ou tokens SAS (de um TPM físico ou virtual) como mecanismos de atestado. O ID de registro em uma inscrição individual é uma cadeia de caracteres alfanuméricos que não diferencia maiúsculas de minúsculas mais os caracteres especiais: '-', , '.''_', ':'. O último caractere deve ser alfanumérico ou traço ('-'). O DPS suporta IDs de registro de até 128 caracteres.

Para inscrições individuais X.509, o nome comum (CN) do certificado torna-se o ID de registro, portanto, o nome comum deve aderir ao formato de cadeia de caracteres de ID de registro. O nome comum do assunto tem um comprimento máximo de 64 caracteres, portanto, o ID de registro é limitado a 64 caracteres para inscrições X.509.

As inscrições individuais podem ter o ID de dispositivo do hub IoT desejado especificado na entrada de inscrição. Se não for especificado, o ID de registro se tornará o ID do dispositivo registrado no Hub IoT.

Você pode permitir ou bloquear temporária ou permanentemente o provisionamento de um dispositivo específico por meio do Serviço de Provisionamento de Dispositivos controlando o status de provisionamento de um registro

Gorjeta

Recomendamos o uso de inscrições individuais para dispositivos que exigem configurações iniciais exclusivas ou para dispositivos que só podem se autenticar usando tokens SAS por meio do atestado TPM.

Mecanismo de certificação

Um mecanismo de certificação é o método utilizado para confirmar a identidade de um dispositivo. O mecanismo de atestado é configurado em uma entrada de registro e informa ao serviço de provisionamento qual método usar ao verificar a identidade de um dispositivo durante o registro.

Nota

O Hub IoT usa "esquema de autenticação" para um conceito semelhante nesse serviço.

O Serviço de Provisionamento de Dispositivos suporta as seguintes formas de atestado:

  • Certificados X.509 baseados no fluxo de autenticação de certificado X.509 padrão. Para obter mais informações, consulte Atestado X.509.
  • TPM (Trusted Platform Module) baseado em um desafio nonce, usando o padrão TPM para chaves para apresentar um token SAS (Shared Access Signature) assinado. Isso não requer um TPM físico no dispositivo, mas o serviço espera atestar o uso da chave de endosso de acordo com a especificação do TPM. Para obter mais informações, consulte Atestado TPM.
  • Chave simétrica baseada em tokens SAS de assinatura de acesso compartilhado (SAS), que incluem uma assinatura com hash e uma expiração incorporada. Para obter mais informações, consulte Atestado de chave simétrica.

Módulo de segurança de hardware

O módulo de segurança de hardware, ou HSM, é usado para armazenamento seguro baseado em hardware de segredos de dispositivos e é a forma mais segura de armazenamento secreto. Tanto os certificados X.509 quanto os tokens SAS podem ser armazenados no HSM. Os HSMs podem ser usados com ambos os mecanismos de atestado suportados pelo serviço de provisionamento.

Gorjeta

É altamente recomendável usar um HSM com dispositivos para armazenar segredos com segurança em seus dispositivos.

Os segredos do dispositivo também podem ser armazenados em software (memória), mas é uma forma menos segura de armazenamento do que um HSM.

Âmbito do ID

O escopo de ID é atribuído a um Serviço de Provisionamento de Dispositivo quando ele é criado pelo usuário e é usado para identificar exclusivamente o serviço de provisionamento específico pelo qual o dispositivo se registrará. O escopo do ID é gerado pelo serviço e é imutável, o que garante exclusividade.

Nota

A exclusividade é importante para operações de implantação de longa duração e cenários de fusão e aquisição.

Registo de Registo

Um registro de registro é o registro de um dispositivo registrando/provisionando com êxito um Hub IoT por meio do Serviço de Provisionamento de Dispositivo. Os registos são criados automaticamente; eles podem ser excluídos, mas não podem ser atualizados.

ID de Registo

A ID de registro é usada para identificar exclusivamente um registro de dispositivo com o Serviço de Provisionamento de Dispositivo. A ID de registro deve ser exclusiva no escopo da ID do serviço de provisionamento. Cada dispositivo deve ter um ID de registo. O ID de registo é uma cadeia de carateres alfanuméricos que não diferencia maiúsculas de minúsculas mais os carateres especiais: '-', , '.''_', ':'. O último caractere deve ser alfanumérico ou traço ('-'). O DPS suporta IDs de registro de até 128 caracteres.

  • No caso do TPM, o ID de registo é fornecido pelo próprio TPM.
  • No caso do atestado baseado em X.509, o ID de registro é definido como o nome comum do assunto (CN) do certificado do dispositivo. Por esse motivo, o nome comum deve aderir ao formato de cadeia de caracteres de ID de registro. No entanto, o ID de registro é limitado a 64 caracteres porque esse é o comprimento máximo do nome comum do assunto em um certificado X.509.

ID do Dispositivo

O ID do dispositivo é o ID tal como aparece no Hub IoT. O ID do dispositivo desejado pode ser definido na entrada de inscrição, mas não é necessário configurá-lo. A definição do ID do dispositivo desejado só é suportada em inscrições individuais. Se nenhum ID de dispositivo desejado for especificado na lista de registro, o ID de registro será usado como o ID do dispositivo ao registrar o dispositivo. Saiba mais sobre IDs de dispositivo no Hub IoT.

Operações

As operações são a unidade de faturamento do Serviço de Provisionamento de Dispositivos. Uma operação é a conclusão bem-sucedida de uma instrução para o serviço. As operações incluem o registo de dispositivos - e novos registos -, bem como alterações do lado do serviço, como adicionar e atualizar entradas de listas de inscrição.