Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
IoT Hub Device Provisioning Service (DPS) est un service d’assistance pour IoT Hub qui permet le provisionnement d’appareils sans intervention sur les hubs IoT. Avec le service Device Provisioning, vous pouvez approvisionner des millions d’appareils de manière sécurisée et scalable.
Le provisionnement des appareils est un processus en deux parties.
- La première partie établit la connexion initiale entre l'appareil et la solution IoT en enregistrant l'appareil.
- La deuxième partie applique la configuration appropriée à l’appareil en fonction des exigences spécifiques de la solution.
Une fois les deux étapes terminées, l’appareil est entièrement approvisionné. Le service Device Provisioning automatise les deux étapes pour fournir une expérience d’approvisionnement fluide pour l’appareil.
Cet article fournit une vue d’ensemble des concepts d’approvisionnement applicables à la gestion du service. Cet article concerne particulièrement les personnes impliquées dans l’étape de configuration du cloud qui permet de préparer un appareil pour le déploiement.
Point de terminaison des opérations de service
Le point de terminaison des opérations de service est le point de terminaison de gestion des paramètres de service et de maintenance de la liste d’inscription. Ce point de terminaison est utilisé uniquement par l’administrateur de service. Il n’est pas utilisé par les appareils.
Point de terminaison d'approvisionnement des appareils
Le point de terminaison de provisionnement des appareils est le point de terminaison utilisé pour le provisionnement par les appareils. Bien que toutes les instances DPS utilisent le même nom d’hôte du point de terminaison global (global.azure-devices-provisioning.net), chaque appareil doit également fournir l’étendue d’ID unique qui identifie l’instance DPS spécifique pendant le processus d’approvisionnement. Cela signifie que le provisionnement des appareils sur différentes instances DPS utilise diverses valeurs d’étendue d’ID, nécessitant des mises à jour de la configuration des appareils ou des microprogrammes lors du déplacement des appareils entre différentes instances DPS dans des scénarios impliquant plusieurs services de provisionnement (tels que des déploiements avec plus de 1 million d’appareils).
Hubs IoT liés
Le service Device Provisioning ne peut provisionner des appareils qu’aux hubs IoT qui sont liés à celui-ci. La liaison d’un hub IoT à une instance du service Device Provisioning donne au service des autorisations de lecture/écriture sur le registre des appareils du hub IoT. Grâce au lien, un service de provisionnement de périphériques peut enregistrer un ID de périphérique et définir la configuration initiale dans le jumeau de périphérique. Les hubs IoT liés peuvent se trouver dans n’importe quelle région Azure. Vous pouvez lier des hubs dans d’autres abonnements à votre service d’approvisionnement.
Pour plus d’informations, consultez Comment lier et gérer des hubs IoT
Stratégie d’allocation
La stratégie d’allocation est un paramètre au niveau du service qui détermine la façon dont le service de provisionnement des appareils affecte des appareils à un hub IoT. Quatre stratégies d’allocation sont prises en charge :
Distribution uniformément pondérée : Les hubs IoT liés sont susceptibles d’avoir des appareils approvisionnés en proportions égales. Paramètre par défaut. Si vous provisionnez des appareils sur un seul hub IoT, vous pouvez conserver ce paramètre.
Latence la plus faible : Les appareils sont approvisionnés sur le hub IoT ayant la latence la plus faible sur l’appareil. Si plusieurs hubs IoT liés fournissent la même latence la plus faible, le service d’approvisionnement répartit les appareils sur ces hubs
Configuration statique par le biais de la liste d’inscriptions : La spécification du hub IoT souhaité dans la liste d’inscriptions est prioritaire sur la stratégie d’allocation au niveau du service.
Personnalisé (utiliser la fonction Azure) : une stratégie d'allocation personnalisée vous donne plus de contrôle sur la manière dont les appareils sont attribués à un hub IoT. Les stratégies d’allocation personnalisées utilisent une fonction Azure pour affecter des appareils à un hub IoT. Le service Device Provisioning appelle votre code de Fonction Azure en fournissant toutes les informations appropriées sur l’appareil et l’inscription à votre code. Votre code de fonction est exécuté et retourne les informations sur les hubs IoT utilisés pour le provisionnement de l’appareil. Pour plus d’informations, consultez Tutoriel : Utiliser des stratégies d’allocation personnalisées avec device Provisioning Service (DPS) .
Pour plus d’informations, consultez Comment utiliser des stratégies d’allocation pour approvisionner des appareils sur des hubs IoT.
Inscription
Une inscription est l’enregistrement des appareils ou groupes d’appareils qui sont susceptibles de s’inscrire via l’approvisionnement automatique. L’enregistrement d’inscription contient des informations sur l’appareil ou le groupe d’appareils, à savoir :
- Le mécanisme d'attestation utilisé par l'appareil
- Configuration initiale facultative souhaitée
- Hub IoT souhaité
- ID d’appareil souhaité
Il existe deux types d’inscriptions pris en charge par Device Provisioning Service : les groupes d’inscription et les inscriptions individuelles.
Groupe d’inscription
Un groupe d’inscription désigne un groupe d’appareils qui partagent un mécanisme d’attestation spécifique. Les groupes d’inscription prennent en charge l’attestation par certificat X.509 ou par clé symétrique.
Le nom du groupe d’inscription et les ID d’inscription présentés par les appareils doivent être des chaînes ne respectant pas la casse composées de caractères alphanumériques et des caractères spéciaux suivants : - . _ :. Le dernier caractère doit être alphanumérique ou être un tiret (-). Le nom du groupe d’inscription peut comporter jusqu'à 128 caractères. Dans les groupes d’inscription de clés symétriques, les ID d’inscription présentés par les appareils peuvent avoir jusqu’à 128 caractères. Toutefois, dans les groupes d’inscription X.509, car la longueur maximale du nom commun de l’objet dans un certificat X.509 est de 64 caractères, les ID d’inscription sont limités à 64 caractères.
Les appareils d’un groupe d’inscription X.509 présentent des certificats X.509 signés par la même autorité de certification racine ou intermédiaire. Le nom commun (CN) de l’objet du certificat d’entité finale (feuille) de chaque appareil devient l’ID d’inscription de cet appareil. Les appareils d’un groupe d’inscription de clé symétrique présente des jetons SAP dérivés de la clé symétrique du groupe.
Pour les appareils d’un groupe d’inscription, l’ID d’inscription est également utilisé comme identité d’appareil inscrit auprès d’IoT Hub.
Conseil / Astuce
Nous vous recommandons d’utiliser un groupe d’inscription pour un grand nombre d’appareils qui partagent une configuration initiale souhaitée ou pour des appareils destinés au même locataire.
Inscription individuelle
Une inscription individuelle est une entrée pour un seul appareil qui pourrait s'enregistrer. Les inscriptions individuelles peuvent utiliser soit des certificats feuille X.509, soit des jetons SAS (provenant d’un TPM physique ou virtuel) comme mécanismes d’attestation.
L’ID d’inscription dans une inscription individuelle est une chaîne ne respectant pas la casse composée de caractères alphanumériques et des caractères spéciaux suivants : - . _ :. Le dernier caractère doit être alphanumérique ou être un tiret (-). DPS prend en charge les ID d’inscription jusqu’à 128 caractères.
Pour les inscriptions individuelles X.509, le nom commun du sujet (CN) du certificat doit correspondre à l'ID d'enregistrement, de sorte que le nom commun doit respecter le format de chaîne de l'ID d'enregistrement. Le nom commun de l’objet a une longueur maximale de 64 caractères. L’ID d’inscription est donc limité à 64 caractères pour les inscriptions X.509.
Les inscriptions individuelles peuvent avoir l’ID d’appareil IoT Hub souhaité spécifié dans l’entrée d’inscription. S’il n’est pas spécifié, l’ID d’inscription devient l’ID d’appareil inscrit auprès d’IoT Hub.
Conseil / Astuce
Nous vous recommandons d’utiliser des inscriptions individuelles pour les appareils qui nécessitent des configurations initiales uniques ou pour ceux qui peuvent uniquement s’authentifier avec des jetons SAP via l’attestation TPM.
Mécanisme d’attestation
Le mécanisme d’attestation est la méthode utilisée pour confirmer l’identité d’un appareil. Le mécanisme d’attestation est configuré sur une entrée d’inscription. Il indique au service d’approvisionnement la méthode à utiliser lors de la vérification de l’identité d’un appareil lors de l’inscription.
Note
IoT Hub utilise un « schéma d’authentification » pour un concept semblable dans ce service.
Le service Device Provisioning prend en charge les formes d’attestation suivantes :
- Certificats X.509 basés sur le flux d’authentification de certificat X.509 standard. Pour plus d’informations, consultez l’attestation de certificat X.509.
- Module de plateforme sécurisée (TPM) basé sur un défi nonce, utilisant la norme de module de plateforme sécurisée (TPM) pour les clés afin de présenter un jeton de signature d’accès partagé (SAS) signé. Il n’est pas nécessaire d’avoir un TPM physique sur l’appareil, mais le service utilise pour l’attestation la paire de clés de type EK conformément à la spécification TPM. Pour plus d’informations, consultez Attestation TPM.
- Clé symétrique basée sur des jetons SAS avec signature d’accès partagé, qui incluent une signature hachée et un délai d’expiration incorporé. Pour plus d’informations, consultez Attestation de clé symétrique.
Module de sécurité matériel
Un module de sécurité matériel, ou HSM, est utilisé pour le stockage sécurisé basé sur le matériel des secrets d’appareil et est la forme la plus sécurisée de stockage secret. Les certificats X.509 et les jetons SAS peuvent être stockés dans un HSM.
Conseil / Astuce
Nous vous recommandons vivement d’utiliser un module HSM avec les appareils pour stocker en toute sécurité des secrets sur vos appareils.
Les secrets d’appareil peuvent également être stockés dans des logiciels (mémoire), mais il s’agit d’une forme de stockage moins sécurisée qu’un HSM.
Étendue de l’ID
La portée de l’ID est attribuée à un service de provisionnement d’appareils lors de sa création et est utilisée pour identifier de manière unique le service de provisionnement spécifique. Le service génère le périmètre d’ID, qui est immuable et garantit l’unicité. L’unicité de la portée de l’ID est importante pour les opérations de déploiement de longue durée et les scénarios de fusion et d’acquisition.
Enregistrement d’inscription
L’enregistrement d’inscription désigne l’enregistrement d’un appareil correctement inscrit ou approvisionné sur un hub IoT via le service de provisionnement des appareils. Les enregistrements d’inscription sont créés automatiquement. Ils peuvent être supprimés, mais pas mis à jour.
ID d’enregistrement
L’ID d’inscription est utilisé pour identifier de manière unique l’inscription d’un appareil dans le service Device Provisioning. L’ID d’inscription doit être unique dans l’étendue d’ID du service de provisionnement. Chaque appareil doit avoir un ID d’enregistrement. L’ID d’inscription est une chaîne ne respectant pas la casse composée de caractères alphanumériques et des caractères spéciaux suivants : - . _ :. Le dernier caractère doit être alphanumérique ou être un tiret (-). DPS prend en charge les ID d’inscription jusqu’à 128 caractères.
- Avec l’attestation TPM, l’ID d’inscription est fourni par le module TPM lui-même.
- Avec l’attestation basée sur X.509, l’ID d’inscription est défini sur le nom commun (CN) de l’objet du certificat de l’appareil. Pour cette raison, le nom commun doit respecter le format de chaîne de l’ID d’inscription. Toutefois, l’ID d’inscription est limité à 64 caractères, car il s’agit de la longueur maximale du nom commun de l’objet dans un certificat X.509.
ID de périphérique
L’ID d’appareil est l’ID tel qu’il apparaît dans IoT Hub. L’ID de l’appareil souhaité peut être défini dans l'entrée d’inscription, mais cela n'est pas obligatoire. Il n’est possible de définir l’ID d’appareil souhaité que dans les inscriptions individuelles. Si aucun ID d’appareil souhaité n’est spécifié dans la liste d’inscriptions, l’ID d’inscription est utilisé comme ID d’appareil durant l’enregistrement de l’appareil. Pour plus d’informations sur les ID d’appareil dans IoT Hub, consultez Comprendre le registre des identités dans votre ioT Hub.
Operations
Les opérations désignent l’unité de facturation du service Device Provisioning. Une opération est une instruction envoyée au service qui se déroule correctement. Les opérations peuvent inclure des inscriptions d’appareils et des réinscriptions, ainsi que des modifications côté service telles que l’ajout et la mise à jour des entrées de liste d’inscription.