Agent Management Service¶
构想¶
Agent Management Service 通常提供给应用开发人员或机器制造商 (OEM) 使用。它提供API用于上线、下线、更新和删除代理。使用连接功能实现与MindSphere的通信。
访问¶
要访问此服务,您需要具有Agent Management 角色和范围中列出的相应角色。
用户只能与在其租户内上线的代理进行交互。
基础知识¶
代理¶
代理是 MindSphere 环境中的主要角色。例如,代理可上传数据、检索事件、更改配置等。使用 MindSphere API 的第一步就是在MindSphere中创建代理。
创建代理时将生成初始访问令牌 (IAT)。此 IAT 是一个 JSON Web Token (JWT),它包含有关代理的各种信息并需要下载到代理。IAT有效期为一周(7天)。代理在MindSphere上线时需要此IAT。MindSphere检查IAT签名对代理进行验证。上线后会对代理进行授权和鉴定,以便与MindSphere通信。
代理使用以下任一安全配置文件提供其凭证:
- SHARED_SECRET
- RSA_3072。
SHARED_SECRET 安全配置文件¶
对于具有此安全配置文件的代理,MindSphere 为其生成一个密钥,并将其存储在永久存储中。该密钥在上线响应中返回给代理。
RSA_3072 安全配置文件¶
具有此安全配置文件的代理在上线时首先将其公钥发送给 MindSphere。MindSphere 将公钥存储在其永久存储中。
数据源配置¶
MindSphere需要使用数据源配置来解析从代理接收到的数据。如果缺少该配置,MindSphere便无法识别数据。数据源配置包含数据源和数据点。数据源代表逻辑组,例如一个传感器或一台机器,其中包含一个或多个可测量的数据点,例如温度或压力。
当首次创建代理时,其数据源配置为空,需要使用该服务对其进行更新。
上线¶
代理使用该服务的*Register*端点上线。上线流程遵循OAuth 2.0 Authorization协议(RFC 6749):
- 代理从上线配置中获取初始访问令牌(IAT)。
- 代理根据其安全配置文件发送携带IAT的上线请求。
- 如果上线成功,MindSphere返回注册访问令牌(RAT)作为响应,该令牌无限期有效。
无论代理配备的是哪种安全配置文件,需要每隔7天通过端点/register/{id}对代理凭证进行更新。在更新过程中,代理必须提供 RAT 而不是 IAT 来更新其凭证,以区别于初始注册过程。
代理通过端点/agents/{id}/boarding/offboard进行下线。当代理下线后,MindSphere会生成一个新的IAT,代理可使用它再次上线。
访问令牌¶
代理需要访问令牌来使用MindSphere的服务。这是一个具有时效性的Json Web Token (JWT),其中包含代理的范围(访问权限)等信息。代理需要先上线才能获得访问令牌,具体步骤如下:
- 代理创建一个自签名的JWT,其中包含代理ID,租户名称等信息,并根据其安全配置文件使用其共享密钥或私钥对其进行签名。
- 代理向MindSphere发送带有自签名JWT的请求获取访问令牌。
- MindSphere使用代理保存的凭证验证JWT签名。
- 如果自签名JWT是有效的,MindSphere返回一访问令牌作为响应。
说明
令牌生成和授予符合 Oauth2.0 授权框架规定的规则。
说明
访问令牌的有效期为一小时。过期后,代理需要获取新的访问令牌以继续使用MindSphere的服务。
功能¶
- 创建、编辑、删除代理
- 上线和下线代理
- 定义代理的数据源
- 获取访问令牌以使用MindSphere服务
示例场景¶
啤酒厂的应用开发人员希望通过编程上线和下线连接到生产线上的 MindConnect 设备。
开发人员使用 Agent Management Service 注册和下线所需设备。