將 IoT 裝置連線到 IoT 平台牽涉到三個證明、驗證和佈建的程序。
證明機制代表裝置連線到 Azure IoT 中樞等 IoT 平台服務時,所選擇來確認其身分識別的方法。 IoT 中樞支援對稱金鑰、x.509 指紋和 X.509 CA 證明方法。
驗證是裝置自行識別的方式。 IoT 中樞會根據裝置使用其獨特的裝置身分識別搭配證明機制來自我證明的能力來授與存取權。
佈建是將裝置註冊到 Azure IoT 中樞的動作。 佈建可讓 IoT 中樞知道裝置和裝置所使用的證明機制。
Azure IoT 中樞裝置佈建服務 (DPS)
裝置佈建可能會透過 Azure IoT 中樞裝置佈建服務 (DPS) 或直接透過 IoT 中樞登錄管理員 API 進行。 使用 DPS 賦予晚期繫結的優點,可在不變更裝置軟體的情況下,將現場裝置移除並重新佈建到 IoT 中樞。
下列範例顯示如何使用 DPS,來實作測試對實際執行環境轉換工作流程。
- 解決方案開發人員會將測試和生產 IoT 雲端連結至佈建服務。
- 該裝置會實作 DPS 通訊協定以找出不再佈建的 IoT 中樞。 裝置一開始就會佈建至測試環境。
- 由於裝置是在測試環境中註冊,因此會在該處連接並進行測試。
- 開發人員會將裝置重新佈建到實際執行環境,並將其從測試中樞中移除。 測試中樞會在下次重新連接時拒絕裝置。
- 裝置會連接並重新協調佈建流程。 DPS 現在會將裝置導向至實際執行環境,而裝置會在該處連接並驗證。
IoT 中樞支援的通訊協定
使用端對端 IoT 解決方案時,請考慮 Azure IoT 中樞支援的驗證通訊協定組合。 下圖中以紅色線顯示的組合可能不相容或已新增考慮。
- SAS 權杖一律會註冊為 IoT 中樞的對稱金鑰。
- 透過 DPS 撤銷憑證無法防止目前佈建的裝置繼續向 IoT 中樞進行驗證。 撤銷 DPS 中的憑證之後,另請從 IoT 中樞手動移除裝置,方法是使用入口網站儀表板或使用登錄管理員 API 以程式設計方式進行。
- 雖然 IoT 中樞支援 x.509 CA 驗證,但透過 DPS 佈建具有 x.509 CA 的裝置會以 x.509 指紋的形式將其佈建到 IoT 中樞。
- AMQP 和 MQTT 的 Web 通訊端變體不支援 IoT 中樞內的 x.509 CA 憑證。
參與者
本文由 Microsoft 維護。 它原本是由下列參與者所撰寫。
主體作者:
- Jason Wadsworth |主要軟體工程師