您现在访问的是微软AZURE全睃版技术文档网站,若需覝访问由世纪互蝔违蝥的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

证明、身份验证和预配

IoT 中心
IoT 设备预配服务

将 IoT 设备连接到 IoT 平台涉及到三个 认证身份验证预配 过程。

  • 证明机制表示在连接到 IoT 平台服务(如 Azure IoT 集线器)时,为设备选择的用于确认其标识的方法。 IoT 中心支持 对称密钥、x.509 指纹和 X.509 CA 证明方法。

  • 身份验证 是设备自行标识的方式。 IoT 中心根据设备使用其独特的设备标识及其证明机制,授予对设备的访问权限。

  • 预配是将设备注册到 Azure IoT 集线器的操作。 预配使 IoT 中心能够识别设备和设备使用的证明机制。

Azure IoT 中心设备预配服务 (DPS)

可以通过Azure IoT 集线器设备预配服务 (DPS) 或直接通过IoT 中心注册表管理器 api进行设备设置。 使用 DPS 授予 后期绑定 的优点,这允许在无需更改设备软件的情况下将现场设备移到 IoT 中心。

下面的示例演示如何使用 DPS 实现测试到生产环境转换工作流。

演示如何使用 DPS 实现测试到生产环境转换工作流的关系图。 

  1. 解决方案开发人员将测试和生产 IoT 云链接到预配服务。
  2. 如果不再预配 IoT 中心,设备会实现 DPS 协议以查找 IoT 中心。 设备最初设置为测试环境。
  3. 由于设备是在测试环境中注册的,因此会连接到该设备并进行测试。
  4. 开发人员将设备重新设置为生产环境,并将其从测试中心删除。 测试中心会在下次重新连接时拒绝设备。
  5. 设备将连接并重新协商预配流。 DPS 现在会将设备定向到生产环境,并且设备会在该环境中进行连接和身份验证。

IoT 中心支持的协议

使用端到端 IoT 解决方案时,请考虑Azure IoT 集线器支持的身份验证协议的组合。 以下关系图中显示的红线的组合可能不兼容或已增加注意事项。

显示连接到 Azure IoT 集线器的各种拓扑的身份验证流的关系图。 

  • 始终将 SAS 令牌注册为 IoT 中心的对称密钥。
  • 通过 DPS 吊销证书不会阻止当前预配的设备继续使用 IoT 中心进行身份验证。 在 DPS 中吊销证书后,还可以通过门户仪表板手动删除 IoT 中心中的设备,或使用 注册表管理器 api以编程方式删除设备。
  • 尽管 IoT 中心支持 x.509 CA 身份验证,但通过 DPS 预配 x.509 CA 的设备将其预配到 IoT 中心作为 x.509 指纹。
  • IoT 中心的 x.509 CA 证书不支持 AMQP 和 MQTT 的 Web 套接字变体。

后续步骤

请参阅