So gelingt die Provisionierung in der Praxis

Zero-Touch Provisionierung

Die Zero-Touch Provisionierung ist der heilige Gral unter den Provisionierungsverfahren: Gerät einstecken und alles passiert automatisch. Um das zu ermöglichen, wird das Gerät so weit wie möglich vorkonfiguriert. Eine Zero-Touch Provisionierung ist jedoch nur möglich, wenn bestimmte Bedingungen erfüllt sind:

1. Automatische Netzwerkkonfiguration

Damit das Gerät direkt nach der Installation eine Upstreamverbindung aufbauen kann, ist eine automatische Netzwerkkonfiguration notwendig. Wird ein Gerät direkt über LAN angeschlossen, ist dies z.B. mit DHCP problemlos möglich. Werden Funkprotokolle verwendet, ist aus Sicherheitsgründen in der Regel eine Benutzerinteraktion erforderlich, damit das Gerät dem Netzwerk beitreten kann. Dies stellt insbesondere dann eine Herausforderung dar, wenn das Gerät keine direkten Anzeige- und Eingabemöglichkeiten besitzt. Eine Zero-Touch Provisionierung ist hier deshalb oft nicht möglich. Eine Ausnahme bieten Szenarien, in denen die Zielumgebung klar definiert ist und eine Vorprovisionierung der Netzwerkschlüssel durchgeführt werden kann.

2. Vorprovisionierte Geräteidentität

Um sich beim Upstream zu registrieren, muss das Gerät seine Identität nachweisen. Für eine Zero-Touch Provisionierung muss die Gerätidentität deshalb vom Hersteller oder Lösungsanbieter vorprovisioniert werden. Um Supply-Chain Angriffe wie das Klonen des Gerätes zu verhindern, sollte dieser Identitätsnachweis idealerweise mithilfe eines Hardwaresicherheitsmoduls durchgeführt werden.
Das Fehlen einer vorprovisionierten Geräteidentität ist insbesondere bei Legacyhardware ein häufiges Problem, weshalb keine Zero-Touch Provisionierung durchgeführt werden kann.

3. Vorhandensein der notwendigen Kontextinformationen

Nicht alle Kontextinformationen sind für die Provisionierung relevant, viele können auch nach der Registrierung des Gerätes noch ergänzt werden. Dennoch scheitert die Umsetzung einer Zero-Touch Provisionierung nicht selten an einigen wenigen fehlenden Informationen. 
Bei Cloudsystemen als Upstream ist ein typisches Problem, dass keine sicheren Informationen über den Endverbleib der Geräte vorliegen. Welcher Kunde hat das Gerät gekauft? Welchem Mandanten bzw. Nutzeraccount soll es zugeordnet werden? Sind diese Fragen nicht geklärt, ist eine Zero-Touch Provisionierung nicht möglich. 
Bei Edgesystemen als Upstream scheitert es dagegen oft schon daran, dass der Upstreamendpunkt nicht bekannt ist und vom Nutzer erst ausgewählt werden muss.

Ist eine der oben genannten Bedingungen nicht erfüllt oder eine Zero-Touch Provisionierung aus anderen Gründen nicht möglich, bedeutet dies jedoch nicht, dass auf eine nutzerfreundliche Gerätekonfiguration verzichtet werden muss.

Provisionierung per Mobile App

Eine nutzerfreundliche Alternative ist meist die Provisionierung mittels Mobile App. Eine App ist in der Regel besonders nutzerfreundlich, da viele Informationen über die Identität und Intention des Nutzers bereits implizit vorhanden sind. Bei Mandantensystemen ist durch die Anmeldung des Nutzers in der App zum Beispiel bereits klar, welchem Mandanten das zu provisionierende Gerät zuzuordnen ist und welches der geeignete Kommunikationsendpunkt für diesen ist. Ein weiterer Vorteil ist, dass Smartphones meist eine Reihe von Kommunikationsprotokollen wie WLAN, Bluetooth oder NFC unterstützen, über die bereits vor einer erfolgreichen Provisionierung eine lokale Kommunikation mit dem Gerät möglich ist. Praktisch ist dabei auch die Möglichkeit, Daten mittels QR-Codes auf das Smartphone zu übertragen.

Ein typischer Ablauf bei der Provisionierung eines Gerätes via Mobile App kann wie folgt aussehen:

1. Der Nutzer versetzt das Gerät per Knopfdruck in den Provisionierungsmodus. In diesem Modus bietet das Gerät einen Provisionierungsdienst via Bluetooth an.
2. Der Nutzer scannt in seiner App nach Geräten, findet so das zu provisionierende Gerät und kann den Provisionierungsprozess starten.
3. Das Gerät erstellt automatisch eine neue Geräteidentität mit entsprechenden Anmeldedaten.
4. Das Gerät übermittelt die neu erstellte Geräteidentität an die App.
5. Die App registriert diese Geräteidentität in der Cloud. Hier wird das Gerät dem Account des Nutzers hinzugefügt und dem Gerät Zugriff auf den Kommunikationsendpunkt gewährt.
6. Die App sendet dem Gerät die Verbindungsdetails für den Kommunikationsendpunkt per Bluetooth und überträgt die WLAN Anmeldedaten via Wi-Fi Easy Connect.
7. Das Gerät kann sich nun automatisch im WLAN anmelden und die Kommunikation zur Cloud aufbauen. Die Provisionierung ist erfolgreich abgeschlossen.

Die meisten Schritte geschehen im Hintergrund. Der Nutzer führt lediglich drei einfache Aktionen aus: Er versetzt das Gerät in den Provisionierungsmodus, scannt es danach und führt die Provisionierung mit einem einzigen Klick durch.

Provisionierung durch Engineering-Tools

Gerade im industriellen Kontext ist der Einsatz von Mobile Apps noch nicht so verbreitet wie im Consumer Bereich. Statt einer Provisionierung per Mobile App ist es hier je nach Szenario sinnvoller, den Provisionierungsprozess in ein Engineering-Tool oder eine gesonderte Projektierungsoftware zu integrieren. Auch hier ist es möglich, das Netzwerk nach zu provisionierenden Geräten zu scannen und dem Anwender eine entsprechende Liste zur Auswahl anzubieten.

Wir helfen Ihnen bei der Auswahl eines geeigneten Provisionierungsverfahrens und unterstützen Sie auch bei der Durchführung. Kontaktieren Sie uns ganz einfach.