通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

角色和操作

开发 IoT 解决方案的阶段可以跨越数周或数月,因为生产现实,如制造时间、航运、海关流程等。此外,在涉及的各种实体的情况下,他们可以跨多个角色进行活动。 本文更深入地了解与每个阶段相关的各种角色和操作,然后在序列图中展示流程。

预配还对设备制造商施加启用证明机制方面的要求。 制造操作也可能独立于自动预配阶段的时机进行,尤其是在自动预配已建立后购买新设备的情况下。

左侧目录中提供了快速入门系列教程,旨在帮助通过实践解释自动预配。 为了方便/简化学习过程,软件用于模拟物理设备进行注册和注册。 某些快速入门要求完成多个角色的操作,包括不存在的角色的操作(因为快速入门中所述的设备是模拟性的)。

角色 操作 Description
制造者 对标识和注册 URL 进行编码 根据所使用的证明机制,制造商负责对设备标识信息和设备预配服务注册 URL 进行编码。

快速入门:由于设备是模拟的,因此没有制造商角色。 有关获取此信息的详细信息,请参阅开发人员角色,该信息用于编写示例注册应用程序编码。
提供设备标识 作为设备标识信息的发起方,制造商负责将其与操作员(或指定代理)通信,或通过 API 将其直接注册到设备预配服务。

快速入门:由于设备是模拟的,因此没有制造商角色。 有关如何获取设备标识的详细信息,请参阅操作员角色,该标识用于在设备预配服务实例中注册模拟设备。
Operator 配置自动预配 此作对应于自动预配的第一个阶段。

快速入门:执行操作员角色,在 Azure 订阅中配置设备预配服务和 IoT 中心实例。
注册设备标识 此作对应于自动预配的第二个阶段。

快速入门:执行操作员角色,在设备预配服务实例中注册模拟设备。 快速入门(TPM 或 X.509)中模拟的证明方法确定设备标识。 请查看开发人员角色以获取认证详细信息。
设备预配服务,
IoT 中心		 <所有操作> 对于使用物理设备的生产实现和使用模拟设备的快速入门,需要通过 Azure 订阅中配置的 IoT 服务履行这些角色。 角色/操作的功能完全相同,因为 IoT 服务对物理设备与模拟设备的配置没有区别。
开发人员 生成/部署注册软件 此作对应于自动预配的第三个阶段。 开发人员负责使用相应的 SDK 生成注册软件并将其部署到设备。

快速入门:您创建的示例注册应用程序会模拟真实设备,在您选择的平台/语言上运行于工作站上,而不是部署到物理设备上。 注册应用程序执行的操作与部署到物理设备上的一样。 指定证明方法(TPM 或 X.509 证书),以及设备预配服务实例的注册 URL 和“ID 范围”。 运行时的 SDK 证明逻辑根据指定的方法确定设备标识:
  • TPM 认证 - 开发工作站运行 TPM 模拟器应用程序。 运行后,将使用单独的应用程序提取 TPM 的“认可密钥”和“注册 ID”,以用于注册设备标识。 SDK 证明逻辑在注册期间还使用模拟器来提供用于身份验证和注册验证的已签名 SAS 令牌。
  • X509 证明 - 使用工具来 生成证书。 生成后,您可以创建用于注册的证书文件。 SDK 证明逻辑还在注册期间使用证书,用于进行身份验证和注册验证。
Device 启动和注册 此作对应于自动预配的第三阶段,由开发人员生成的设备注册软件完成。 有关详细信息,请参阅开发人员角色。 首次启动时:
  1. 应用程序根据开发期间指定的全局 URL 和服务“ID 范围”连接到设备预配服务实例。
  2. 连接后,设备将针对注册期间指定的证明方法和标识进行身份验证。
  3. 进行身份验证后,设备将注册到预配服务实例指定的 IoT 中心实例。
  4. 成功注册后,将唯一的设备 ID 和 IoT 中心终结点返回到注册应用程序,以便与 IoT 中心通信。
  5. 从那里,设备可以下载其初始 设备孪生 状态进行配置,并开始报告遥测数据。
快速入门:由于设备是模拟的,注册软件将在您的开发工作站上运行。

下图总结了设备自动预配期间操作的作用和顺序:

显示设备自动预配过程中操作顺序及相关角色的序列图。

注释

(可选)制造商还可以使用设备预配置服务 API(而不是通过操作员)执行“注册设备标识”操作。 有关此顺序和其他要素的详细讨论,请观看自动将设备注册到 Azure IoT 视频(从 41:00 标记处开始)

角色和 Azure 帐户

每个角色如何映射到 Azure 帐户依赖于场景,并且可能涉及多个场景。 以下常见模式应有助于大致了解角色如何映射到 Azure 帐户。

芯片制造商提供安全服务

在此方案中,制造商管理一级客户的安全性。 对于这些级别一级客户来说,此方案可能更可取,因为他们不必管理详细的安全性。

制造商在硬件安全模块(HSM)中引入了安全性。 此安全性可能包括制造商从已设置 DPS 实例和注册组的潜在客户获取密钥、证书等。 制造商还可以为其客户生成此安全信息。

在此方案中,可能涉及两个 Azure 帐户:

  • 帐户 #1:可能在某种程度上在操作员和开发人员角色之间共享。 此方可能会从制造商那里购买 HSM 芯片。 这些芯片指向与帐户 #1 关联的 DPS 实例。 借助 DPS 注册,此方可以通过在 DPS 中重新配置设备注册设置,将设备租给多个二级客户。 此方可能还会为最终用户后端系统分配 IoT 中心,以便与之交互,以便访问设备遥测等。在此后一种情况下,可能不需要第二个帐户。

  • 帐户 #2:最终用户,二级客户可能有自己的 IoT 中心。 与帐户 1 相关联的一方可以直接将租赁的设备指向此帐户中的正确中心。 此配置需要跨 Azure 帐户链接 DPS 和 IoT 中心,这可以通过 Azure 资源管理器模板完成。

多合一 OEM

制造商可能是“一体化 OEM”,只需一个制造商帐户。 制造商负责端到端的安全性和预配。

制造商可以为购买设备的客户提供基于云的应用程序。 此应用程序将与制造商分配的 IoT 中心进行交互。

自动售货机或自动咖啡机表示此方案的示例。

后续步骤

我们建议将本文加入书签,以便在学习相应自动预配快速入门的过程中参考。

首先完成最适合管理工具首选项的“设置自动预配”快速入门,引导你完成“服务配置”阶段:

然后继续学习最适合你的设备证明机制和设备预配服务 SDK/语言偏好的“预配设备”快速入门。 在本快速入门中,你将演练“设备注册”和“设备注册和配置”阶段:

设备证明机制 快速入门
对称密钥 预配模拟对称密钥设备
X.509 证书 预配模拟的 X.509 设备
模拟可信平台模块(TPM) 配置模拟的 TPM 设备
  • Last updated on