共用方式為

角色和操作

由於製造時間、運輸、海關流程等生產現實,開發物聯網解決方案的階段可能會持續數週或數月。此外,鑑於涉及的各種實體,它們可以跨多個角色進行活動。 本文將深入探討與每個階段相關的各種角色和作業,然後在序列圖中說明流程。

佈建也針對啟用證明機制方面,為裝置製造商設下需求。 製造作業的進行也可能不受自動佈建階段的時機影響,特別是在已經建立自動佈建之後才購得新裝置的情況下。

在左側的目錄中提供了一系列快速入門指南,以協助透過實際操作來說明自動佈署。 為了促進/簡化學習過程,使用軟件模擬物理設備進行註冊和註冊。 由於快速入門的模擬本質緣故,有些快速入門會要求您執行多個角色的作業,包括不存在之角色的作業。

Role 作業 Description
製造商 編碼身分和註冊網址 根據所使用的證明機制,製造商負責對裝置身分識別資訊和裝置布建服務註冊 URL 進行編碼。

快速入門:由於裝置是模擬的,因此沒有製造商角色。 如需如何取得此資訊的詳細資料,請參閱開發人員角色,這些資訊用於編寫範例註冊應用程式。
提供裝置身分識別 身為裝置身分識別資訊的來源者,製造商負責將資訊傳達給操作員 (或指定的代理程式),或透過 API 直接將其註冊至裝置佈建服務。

快速入門:由於裝置是模擬的,因此沒有製造商角色。 如需如何取得裝置身分識別的詳細資訊,請參閱操作員角色,該身分識別可用來在裝置佈建服務執行個體中註冊模擬裝置。
Operator 設定自動佈建 此作業對應於自動佈建的第一階段。

快速入門:您可以執行操作員角色,在 Azure 訂用帳戶中設定裝置布建服務和 IoT 中樞執行個體。
註冊裝置身分識別 此作業對應於自動佈建的第二階段。

快速入門:您可以執行操作員角色,在裝置佈建服務執行個體中註冊模擬裝置。 快速入門 (TPM 或 X.509) 中模擬的證明方法會決定裝置身分識別。 如需詳細的證明資訊,請參閱開發人員角色。
設備配置服務,
IoT 中心		 <所有操作> 不論是使用實體裝置進行的生產環境實作,還是使用模擬裝置進行的快速入門,都是透過您在 Azure 訂用帳戶中所設定的 IoT 服務來執行這些角色。 角色/操作的功能完全相同,因為物聯網服務對物理設備與模擬設備的配置無關。
開發人員 建置/部署註冊軟體 此作業對應於自動佈建的第三階段。 開發人員負責使用適當的 SDK 建置註冊軟體並將其部署到裝置。

快速入門:您建置的範例註冊應用程式會針對您選擇的平台/語言模擬真實裝置,以在您的工作站上執行 (而不是將它部署到實體裝置)。 註冊應用程式會執行與部署至實體裝置的應用程式相同的作業。 您可以指定證明方法 (TPM 或 X.509 憑證),以及 Device Provisioning Service 執行個體的註冊 URL 和「識別碼範圍」。 執行階段的 SDK 證明邏輯會根據您指定的方法來決定裝置身分識別:
  • TPM 證明 - 您的開發工作站會執行 TPM 模擬器應用程式。 執行之後,會使用個別的應用程式來擷取 TPM 的「背書金鑰」和「註冊標識碼」,以用於註冊裝置身分識別。 SDK 驗證邏輯在註冊期間也使用模擬器,來呈現已簽署的 SAS 權杖,以進行身份驗證和註冊驗證。
  • X509 證明 - 您可以使用工具 來產生憑證。 產生之後,您可以建立註冊所需的憑證檔案。 SDK 證明邏輯也會在註冊過程中使用憑證,以進行身份驗證和註冊確認。
Device 開機並註冊 此作業對應於自動佈建的第三階段,由開發人員所建置的裝置註冊軟體完成。 如需詳細資訊,請參閱開發人員角色。 首次啟動時:
  1. 應用程式會依據在開發期間指定的全域 URL 和服務「ID Scope」,與裝置佈建服務實例連接。
  2. 連線之後,裝置會根據註冊期間指定的證明方法和身分識別進行驗證。
  3. 驗證之後,就會向佈建服務執行個體所指定的「IoT 中樞」執行個體註冊裝置。
  4. 成功註冊時,唯一的裝置識別碼和 IoT 中樞端點會傳回至註冊應用程式,以與 IoT 中樞通訊。
  5. 裝置可以從該處下拉其初始裝置對應項狀態來進行設定,並開始回報遙測資料的程序。
快速入門:由於裝置是模擬的,因此註冊軟體會在您的開發工作站上執行。

下圖摘要說明裝置自動佈建期間的角色和作業順序:

顯示裝置自動佈建期間作業角色和順序的序列圖。

備註

或者,製造商也可以使用裝置佈建服務 API (而不是透過操作員) 執行「註冊裝置身分識別」作業。 如需此排序的詳細討論,以及更多內容,請參閱使用 Azure IoT 進行零接觸裝置註冊影片 (從標記 41:00 開始)

角色和 Azure 帳戶

每個角色如何對應至 Azure 帳戶取決於案例,而且可能涉及許多案例。 下列常見模式應該可以幫助您一般性地理解此類角色如何對應至 Azure 帳戶。

晶片廠商提供安全服務

在此情境中,製造商負責管理第一層級客戶的安全。 此案例可能更適合這些層級客戶,因為他們不需要管理詳細的安全性。

製造商將安全性引入硬體安全模組 (HSM)。 此安全性可能包括製造商從已設定 DPS 實例和註冊群組的潛在客戶取得金鑰、憑證等。 製造商還可以為其客戶生成此安全信息。

在此案例中,可能涉及兩個 Azure 帳戶:

  • 帳戶 #1:可能在某種程度上在操作員和開發人員角色之間共享。 該方可能會從製造商購買 HSM 晶片。 這些晶片指向與帳戶 #1 相關聯的 DPS 實例。 透過 DPS 註冊,此方可以重新設定 DPS 中的裝置註冊設定,將裝置租用給多個二級客戶。 此合作方可能也已配置 IoT 中樞給終端使用者的後端系統,以便進行介面連接,以存取裝置的遙測數據等。在後一種情況下,可能不需要第二個帳戶。

  • 帳戶 #2:終端使用者、第二級客戶可能會有自己的 IoT 中樞。 與帳戶 #1 相關聯的合作對象只是將租用裝置指向此帳戶中的正確中樞。 此設定需要跨 Azure 帳戶連結 DPS 和 IoT 中樞,這可以使用 Azure Resource Manager 範本來完成。

全方位 OEM

製造商可以是“一體化 OEM”,只需要一個製造商帳戶。 製造商端對端處理安全性和配置。

製造商可以為購買設備的客戶提供基於雲的應用程序。 此應用程式會與製造商所分配的 IoT 中樞互連。

自動販賣機或自動咖啡機是這種情況的範例。

後續步驟

隨著您逐步進行對應的自動佈建快速入門,您可能會發現將本文加入書籤以作為參考點相當有幫助。

首先,完成最適合您管理工具偏好設定的「設定自動佈建」快速入門,以逐步引導您完成「服務設定」階段:

接著,繼續進行適合您裝置證明機制和「裝置佈建服務」SDK/語言喜好設定的「佈建裝置」快速入門。 在本快速入門中,您將逐步解說「裝置註冊」和「裝置註冊和設定」階段:

裝置證明機制 快速入門
對稱金鑰 佈建模擬對稱金鑰裝置
X.509 憑證 佈建模擬 X.509 裝置
模擬信任平台模組 (TPM) 佈建模擬 TPM 裝置
  • Last updated on