تكوين المصادقة

يستخدم Azure Remote Rendering نفس آلية المصادقة مثل Azure Spatial Anchors (ASA). للوصول إلى حساب Azure Remote Rendering معين، يحتاج العملاء إلى الحصول على رمز مميز للوصول من Azure Mixed Reality Security Token Service (STS). الرموز المميزة التي تم الحصول عليها من STS لها عمر 24 ساعة. يحتاج العملاء إلى تعيين أحد الإجراءات التالية لاستدعاء واجهات برمجة تطبيقات REST بنجاح:

  • AccountKey: يمكن الحصول عليه في علامة التبويب "Keys" لحساب Remote Rendering على مدخل Microsoft Azure. يوصى باستخدام مفاتيح الحساب فقط للتطوير/النماذج الأولية. Account ID

  • AccountDomain: يمكن الحصول عليه في علامة التبويب "Overview" لحساب Remote Rendering على مدخل Microsoft Azure. Account Domain

  • AuthenticationToken: هو رمز مميز ل Microsoft Entra، والذي يمكن الحصول عليه باستخدام مكتبة MSAL. هناك تدفقات مختلفة متعددة متاحة لقبول بيانات اعتماد المستخدم واستخدام بيانات الاعتماد هذه للحصول على رمز مميز للوصول.

  • MRAccessToken: هو رمز MR المميز، والذي يمكن الحصول عليه من خدمة الرمز المميز لأمان Azure Mixed Reality (STS). تم استرداده من https://sts.<accountDomain> نقطة النهاية باستخدام استدعاء REST مشابه للسداد أدناه:

    GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1
    Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ
    Host: sts.southcentralus.mixedreality.azure.com
    Connection: Keep-Alive
    
    HTTP/1.1 200 OK
    Date: Tue, 24 Mar 2020 09:09:00 GMT
    Content-Type: application/json; charset=utf-8
    Content-Length: 1153
    Accept: application/json
    MS-CV: 05JLqWeKFkWpbdY944yl7A.0
    {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}
    

    حيث يتم تنسيق عنوان التخويل كما يلي: Bearer <Azure_AD_token> أو Bearer <accoundId>:<accountKey>. الأول هو الأفضل للأمن. الرمز المميز الذي تم إرجاعه من استدعاء REST هذا هو رمز وصول MR.

المصادقة للتطبيقات المنشورة

يوصى باستخدام مفاتيح الحساب للنماذج الأولية السريعة، أثناء التطوير فقط. يوصى بعدم شحن التطبيق الخاص بك إلى الإنتاج باستخدام مفتاح حساب مضمن فيه. النهج الموصى به هو استخدام نهج مصادقة Microsoft Entra المستندة إلى المستخدم أو المستندة إلى الخدمة.

مصادقة مستخدم Microsoft Entra

يتم وصف مصادقة Microsoft Entra في وثائق Azure Spatial Anchors.

اتبع الخطوات لتكوين مصادقة مستخدم Microsoft Entra في مدخل Microsoft Azure.

  1. تسجيل التطبيق الخاص بك في معرف Microsoft Entra. كجزء من التسجيل، ستحتاج إلى تحديد ما إذا كان يجب أن يكون تطبيقك متعدد المستأجرين. ستحتاج أيضا إلى توفير عناوين URL لإعادة التوجيه المسموح بها للتطبيق الخاص بك في شفرة المصادقة. Authentication setup

  2. في علامة التبويب أذونات واجهة برمجة التطبيقات، اطلب الأذونات المفوضة لنطاق mixedreality.signin ضمن mixedreality. Api permissions

  3. امنح موافقة المسؤول في علامة التبويب الأمان -> الأذونات. Admin consent

  4. ثم انتقل إلى مورد Azure Remote Rendering. في لوحة التحكم بالوصول، امنح الأدوار المطلوبة للتطبيقات والمستخدم، والتي تريد استخدامها نيابة عن أذونات الوصول المفوضة إلى مورد Azure Remote Rendering. Add permissionsRole assignments

للحصول على معلومات حول استخدام مصادقة مستخدم Microsoft Entra في التعليمات البرمجية للتطبيق الخاص بك، راجع البرنامج التعليمي: تأمين Azure Remote Rendering وتخزين النموذج - مصادقة Microsoft Entra

عنصر تحكم الوصول المستند إلى دور Azure

للمساعدة في التحكم في مستوى الوصول الممنوح للخدمة، استخدم الأدوار التالية عند منح الوصول المستند إلى الدور:

  • Remote Rendering مسؤول istrator: يوفر للمستخدم إمكانية التحويل وإدارة الجلسة والعرض والتشخيص ل Azure Remote Rendering.
  • Remote Rendering Client: يوفر للمستخدم إمكانية إدارة الجلسة والعرض والتشخيص ل Azure Remote Rendering.

الخطوات التالية