تكوين المصادقة

يستخدم Azure Remote Rendering نفس آلية المصادقة مثل Azure Spatial Anchors (ASA). للوصول إلى حساب Azure Remote Rendering معين، يحتاج العملاء إلى الحصول على رمز وصول من Azure Mixed Reality Security Token Service (STS). الرموز المميزة التي تم الحصول عليها من STS لها عمر 24 ساعة. يحتاج العملاء إلى تعيين أحد الإجراءات التالية لاستدعاء واجهات برمجة تطبيقات REST بنجاح:

  • AccountKey: يمكن الحصول عليه في علامة التبويب "Keys" لحساب Remote Rendering على مدخل Microsoft Azure. يوصى باستخدام مفاتيح الحساب فقط للتطوير/النماذج الأولية. Account ID

  • AccountDomain: يمكن الحصول عليه في علامة التبويب "Overview" لحساب Remote Rendering على مدخل Microsoft Azure. Account Domain

  • AuthenticationToken: هو رمز مميز ل Azure AD، والذي يمكن الحصول عليه باستخدام مكتبة MSAL. هناك تدفقات مختلفة متعددة متاحة لقبول بيانات اعتماد المستخدم واستخدام بيانات الاعتماد هذه للحصول على رمز مميز للوصول.

  • MRAccessToken: هو رمز MR المميز، والذي يمكن الحصول عليه من Azure Mixed Reality Security Token Service (STS). تم استرداده من https://sts.<accountDomain> نقطة النهاية باستخدام مكالمة REST مشابهة للسداد أدناه:

    GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1
    Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ
    Host: sts.southcentralus.mixedreality.azure.com
    Connection: Keep-Alive
    
    HTTP/1.1 200 OK
    Date: Tue, 24 Mar 2020 09:09:00 GMT
    Content-Type: application/json; charset=utf-8
    Content-Length: 1153
    Accept: application/json
    MS-CV: 05JLqWeKFkWpbdY944yl7A.0
    {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}
    

    حيث يتم تنسيق عنوان التخويل كما يلي: Bearer <Azure_AD_token> أو Bearer <accoundId>:<accountKey>. الأول هو الأفضل للأمن. الرمز المميز الذي تم إرجاعه من استدعاء REST هذا هو رمز وصول MR.

المصادقة للتطبيقات المنشورة

يوصى باستخدام مفاتيح الحساب للنماذج الأولية السريعة، أثناء التطوير فقط. يوصى بعدم شحن التطبيق الخاص بك إلى الإنتاج باستخدام مفتاح حساب مضمن فيه. النهج الموصى به هو استخدام نهج مصادقة Azure AD المستند إلى المستخدم أو المستند إلى الخدمة.

مصادقة مستخدم Azure AD

يتم وصف مصادقة Azure AD في وثائق Azure Spatial Anchors.

اتبع الخطوات لتكوين مصادقة مستخدم Azure Active Directory في مدخل Microsoft Azure.

  1. تسجيل التطبيق الخاص بك في Azure Active Directory. كجزء من التسجيل، ستحتاج إلى تحديد ما إذا كان يجب أن يكون تطبيقك متعدد المستأجرين. ستحتاج أيضا إلى توفير عناوين URL لإعادة التوجيه المسموح بها لتطبيقك في شفرة المصادقة. Authentication setup

  2. في علامة التبويب أذونات واجهة برمجة التطبيقات، اطلب أذونات مفوضة لنطاق mixedreality.signin ضمن mixedreality. Api permissions

  3. منح موافقة المسؤول في علامة التبويب الأمان -> الأذونات. Admin consent

  4. ثم انتقل إلى مورد Azure Remote Rendering. في لوحة التحكم بالوصول، امنح الأدوار المطلوبة للتطبيقات والمستخدم، والتي تريد نيابة عنها استخدام أذونات الوصول المفوضة إلى مورد Azure Remote Rendering. Add permissionsRole assignments

للحصول على معلومات حول استخدام مصادقة مستخدم Azure AD في التعليمات البرمجية للتطبيق الخاص بك، راجع البرنامج التعليمي: تأمين Azure Remote Rendering وتخزين النموذج - مصادقة Azure Active Directory

التحكم في الوصول المستند إلى الدور من Azure

للمساعدة في التحكم في مستوى الوصول الممنوح للخدمة، استخدم الأدوار التالية عند منح الوصول المستند إلى الدور:

  • مسؤول العرض عن بعد: يوفر للمستخدم إمكانية التحويل وإدارة الجلسة والعرض والتشخيص ل Azure Remote Rendering.
  • عميل العرض عن بعد: يوفر للمستخدم إمكانية إدارة الجلسة والعرض والتشخيص ل Azure Remote Rendering.

الخطوات التالية