Terminologie du service de provisionnement d’appareils IoT Hub

IoT Hub Device Provisioning Service (DPS) est un service d’assistance pour IoT Hub qui permet le provisionnement d’appareils sans intervention sur les hubs IoT. Le service Device Provisioning vous permet d’approvisionner des millions d’appareils de manière sécurisée et évolutive.

Le provisionnement des appareils est un processus en deux parties.

  1. La première partie établit la connexion initiale entre l'appareil et la solution IoT en enregistrant l'appareil.
  2. La deuxième partie applique la configuration appropriée à l’appareil en fonction des exigences spécifiques de la solution.

Une fois que ces deux étapes sont terminées, l’appareil est complètement approvisionné. Le service Device Provisioning automatise les deux étapes pour fournir une expérience d’approvisionnement fluide pour l’appareil.

Cet article fournit une vue d’ensemble des concepts d’approvisionnement applicables à la gestion du service. Cet article concerne particulièrement les personnes impliquées dans l’étape de configuration du cloud qui permet de préparer un appareil pour le déploiement.

Point de terminaison des opérations de service

Le point de terminaison des opérations de service est le point de terminaison de gestion des paramètres de service et de maintenance de la liste d’inscription. Ce point de terminaison est utilisé uniquement par l’administrateur de service. Il n’est pas utilisé par les appareils.

Point de terminaison d'approvisionnement des appareils

Le point de terminaison d’approvisionnement d’appareils est le point de terminaison unique que tous les appareils utilisent pour l’approvisionnement. L’URL est la même pour toutes les instances de service d’approvisionnement, ce qui élimine la nécessité de barre obliquer les appareils avec de nouvelles informations de connexion dans les scénarios de chaîne d’approvisionnement. L’étendue de l’ID garantit l’isolation des locataires.

Hubs IoT liés

Le service Device Provisioning peut uniquement provisionner des appareils sur des hubs IoT auxquels il est lié. La liaison d’un hub IoT à une instance du service Device Provisioning donne au service des autorisations de lecture/écriture sur le registre des appareils du hub IoT. Grâce au lien, un service de provisionnement de périphériques peut enregistrer un ID de périphérique et définir la configuration initiale dans le jumeau de périphérique. Les hubs IoT liés peuvent se trouver dans n’importe quelle région Azure. Vous pouvez lier des hubs dans d’autres abonnements à votre service d’approvisionnement.

Pour plus d’informations, consultez Comment lier et gérer des hubs IoT

Stratégie d’affectation

La stratégie d’allocation est un paramètre au niveau du service qui détermine la façon dont le service de provisionnement des appareils attribue les appareils à un hub IoT. Quatre stratégies d’allocation sont prises en charge :

  • Distribution uniformément pondérée : Les hubs IoT liés sont susceptibles d’avoir des appareils approvisionnés en proportions égales. Paramètre par défaut. Si vous approvisionnez des appareils sur un seul hub IoT, vous pouvez conserver ce paramètre.

  • Latence la plus faible : Les appareils sont approvisionnés sur le hub IoT ayant la latence la plus faible sur l’appareil. Si plusieurs hubs IoT liés fournissent la même latence la plus faible, le service d’approvisionnement répartit les appareils sur ces hubs

  • Configuration statique par le biais de la liste d’inscriptions : La spécification du hub IoT souhaité dans la liste d’inscriptions est prioritaire sur la stratégie d’allocation au niveau du service.

  • Personnalisé (utiliser la fonction Azure) : une stratégie d'allocation personnalisée vous donne plus de contrôle sur la manière dont les appareils sont attribués à un hub IoT. Les stratégies d’allocation personnalisées utilisent une fonction Azure pour affecter des appareils à un hub IoT. Le service Device Provisioning appelle votre code de Fonction Azure en fournissant toutes les informations appropriées sur l’appareil et l’inscription à votre code. Votre code de fonction est exécuté et retourne les informations sur les hubs IoT utilisés pour le provisionnement de l’appareil. Pour plus d’informations, consultez Comprendre les stratégies d’allocation personnalisées.

Pour plus d’informations, consultez Comment utiliser des stratégies d’allocation.

Inscription

Une inscription est l’enregistrement d’appareils ou de groupes d’appareils qui peuvent s’inscrire via le provisionnement automatique. L’enregistrement d’inscription contient des informations sur l’appareil ou le groupe d’appareils, à savoir :

  • Le mécanisme d'attestation utilisé par l'appareil
  • La configuration initiale souhaitée en option
  • Hub IoT souhaité
  • L’ID d’appareil souhaité

Il existe deux types d’inscriptions pris en charge par Device Provisioning Service : les groupes d’inscription et les inscriptions individuelles.

Groupe d’inscription

Un groupe d’inscription désigne un groupe d’appareils qui partagent un mécanisme d’attestation spécifique. Les groupes d’inscription prennent en charge l’attestation par certificat X.509 ou par clé symétrique.

Le nom du groupe d'inscription et les IDs d'enregistrement présentés par les appareils doivent être des chaînes de caractères alphanumériques insensibles à la casse, plus les caractères spéciaux : - . _ :. Le dernier caractère doit être alphanumérique ou être un tiret (-). Le nom du groupe d’inscription peut comporter jusqu'à 128 caractères. Dans les groupes d’inscription de clés symétriques, les ID d’inscription présentés par les appareils peuvent avoir jusqu’à 128 caractères. Toutefois, dans les groupes d’inscription X.509, car la longueur maximale du nom commun de l’objet dans un certificat X.509 est de 64 caractères, les ID d’inscription sont limités à 64 caractères.

Les appareils d’un groupe d’inscription X.509 présentent des certificats X.509 signés par la même autorité de certification racine ou intermédiaire. Le nom commun (CN) de l’objet du certificat d’entité finale (feuille) de chaque appareil devient l’ID d’inscription de cet appareil. Les appareils d’un groupe d’inscription de clé symétrique présente des jetons SAP dérivés de la clé symétrique du groupe.

Pour les appareils d’un groupe d’inscription, l’ID d’inscription est également utilisé comme identité d’appareil inscrit auprès d’IoT Hub.

Conseil

Nous vous recommandons d’utiliser un groupe d’inscription pour un grand nombre d’appareils qui partagent une configuration initiale souhaitée ou pour des appareils destinés au même locataire.

Inscription individuelle

Une inscription individuelle désigne une entrée pour un seul appareil pouvant s’inscrire. Les inscriptions individuelles peuvent utiliser soit des certificats feuille X.509, soit des jetons SAS (provenant d'un TPM physique ou virtuel) comme mécanismes d'attestation.

L’ID d’inscription dans une inscription individuelle est une chaîne non sensible à la casse de caractères alphanumériques ainsi que les caractères spéciaux : - . _ :. Le dernier caractère doit être alphanumérique ou être un tiret (-). DPS prend en charge les ID d’inscription jusqu’à 128 caractères.

Pour les inscriptions individuelles X.509, le nom commun du sujet (CN) du certificat doit correspondre à l'ID d'enregistrement, de sorte que le nom commun doit respecter le format de chaîne de l'ID d'enregistrement. Le nom commun de l’objet a une longueur maximale de 64 caractères. L’ID d’inscription est donc limité à 64 caractères pour les inscriptions X.509.

Dans le cas d’inscriptions individuelles, vous pouvez spécifier l’identité d’appareil IoT Hub souhaité dans l’entrée d’inscription. S’il n’est pas spécifié, l’ID d’inscription devient l’identité d’appareil inscrit auprès d’IoT Hub.

Conseil

Nous vous recommandons d’utiliser des inscriptions individuelles pour les appareils qui nécessitent des configurations initiales uniques ou pour ceux qui peuvent uniquement s’authentifier avec des jetons SAP via l’attestation TPM.

Mécanisme d’attestation

Le mécanisme d’attestation est la méthode utilisée pour confirmer l’identité d’un appareil. Le mécanisme d’attestation est configuré sur une entrée d’inscription. Il indique au service d’approvisionnement la méthode à utiliser lors de la vérification de l’identité d’un appareil lors de l’inscription.

Remarque

IoT Hub utilise un « schéma d’authentification » pour un concept semblable dans ce service.

Le service Device Provisioning prend en charge les formes d’attestation suivantes :

  • Certificats X.509 basés sur le flux d’authentification de certificat X.509 standard. Pour plus d’informations, consultez Attestation X.509.
  • Module de plateforme sécurisée (TPM) basé sur un défi nonce, utilisant la norme de module de plateforme sécurisée (TPM) pour les clés afin de présenter un jeton de signature d’accès partagé (SAS) signé. Il n’est pas nécessaire d’avoir un TPM physique sur l’appareil, mais le service utilise pour l’attestation la paire de clés de type EK conformément à la spécification TPM. Pour plus d’informations, consultez Attestation TPM.
  • Clé symétrique basée sur des jetons SAS avec signature d’accès partagé, qui incluent une signature hachée et un délai d’expiration incorporé. Pour plus d’informations, consultez Attestation de clé symétrique.

Module de sécurité matériel

Un module de sécurité matériel, ou HSM, est utilisé pour le stockage sécurisé basé sur le matériel des secrets d’appareil et est la forme la plus sécurisée de stockage secret. Les certificats X.509 et les jetons SAS peuvent être stockés dans un HSM.

Conseil

Nous vous recommandons vivement d’utiliser un module HSM avec les appareils pour stocker en toute sécurité des secrets sur vos appareils.

Les secrets d’appareil peuvent également être stockés dans des logiciels (mémoire), mais il s’agit d’une forme de stockage moins sécurisée qu’un HSM.

Étendue de l’ID

La portée de l’ID est attribuée à un service de provisionnement d’appareils lors de sa création et est utilisée pour identifier de manière unique le service de provisionnement spécifique. L’étendue de l’ID est générée par le service et est immuable, ce qui garantit l’unicité. L’unicité de la portée de l’ID est importante pour les opérations de déploiement de longue durée et les scénarios de fusion et d’acquisition.

Enregistrement d’inscription

L’enregistrement d’inscription désigne l’enregistrement d’un appareil inscrit ou provisionné sur un hub IoT via le service Device Provisioning. Les enregistrements d’inscription sont créés automatiquement. Ils peuvent être supprimés, mais pas mis à jour.

ID d'inscription

L’ID d’inscription est utilisé pour identifier de manière unique l’inscription d’un appareil auprès du Service d’approvisionnement des appareils. L’ID d’inscription doit être unique dans l’étendue d’ID du service de provisionnement. Chaque appareil doit avoir un ID d’enregistrement. L’ID d’inscription est une chaîne non sensible à la casse de caractères alphanumériques ainsi que les caractères spéciaux : - . _ :. Le dernier caractère doit être alphanumérique ou être un tiret (-). DPS prend en charge les ID d’inscription jusqu’à 128 caractères.

  • Avec l’attestation TPM, l’ID d’inscription est fourni par le module TPM lui-même.
  • Avec l’attestation basée sur X.509, l’ID d’inscription est défini sur le nom commun sujet du certificat de l’appareil. Pour cette raison, le nom commun doit respecter le format de chaîne de l’ID d’inscription. Toutefois, l’ID d’inscription est limité à 64 caractères, car il s’agit de la longueur maximale du nom commun de l’objet dans un certificat X.509.

ID d’appareil

L’ID d’appareil est l’ID tel qu’il apparaît dans IoT Hub. L’ID d’appareil souhaité peut être défini dans l’entrée d’inscription, mais ce n’est pas obligatoire. Il n’est possible de définir l’ID d’appareil souhaité que dans les inscriptions individuelles. Si aucun ID d’appareil souhaité n’est spécifié dans la liste d’inscriptions, l’ID d’inscription est utilisé comme ID d’appareil durant l’enregistrement de l’appareil. Découvrez plus d’informations sur les ID d’appareil dans IoT Hub.

Opérations

Les opérations désignent l’unité de facturation du service Device Provisioning. Une opération est une instruction envoyée au service qui se déroule correctement. Les opérations peuvent inclure des inscriptions d’appareils et des réinscriptions, ainsi que des modifications côté service telles que l’ajout et la mise à jour des entrées de liste d’inscription.