Konfigurace ověřování
Azure Remote Rendering používá stejný mechanismus ověřování jako Azure Spatial Anchors (ASA). Pokud chcete získat přístup k danému účtu Azure Remote Rendering, musí klienti získat přístupový token ze služby tokenů zabezpečení Azure Mixed Reality (STS). Tokeny získané ze služby STS mají životnost 24 hodin. Klienti musí pro úspěšné volání rozhraní REST API nastavit jednu z následujících možností:
AccountKey: Můžete ho získat na kartě Klíče pro účet vzdáleného vykreslování na webu Azure Portal. Klíče účtu se doporučují jenom pro vývoj a vytváření prototypů.
AccountDomain: Můžete získat na kartě Přehled účtu vzdáleného vykreslování na webu Azure Portal.
AuthenticationToken: je token Microsoft Entra, který lze získat pomocí knihovny MSAL. K dispozici je několik různých toků pro příjem přihlašovacích údajů uživatele a jejich použití k získání přístupového tokenu.
MRAccessToken: je token MR, který lze získat ze služby tokenů zabezpečení Hybridní reality (STS). Načteno z koncového
https://sts.<accountDomain>bodu pomocí volání REST podobného následujícímu:GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1 Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ Host: sts.southcentralus.mixedreality.azure.com Connection: Keep-Alive HTTP/1.1 200 OK Date: Tue, 24 Mar 2020 09:09:00 GMT Content-Type: application/json; charset=utf-8 Content-Length: 1153 Accept: application/json MS-CV: 05JLqWeKFkWpbdY944yl7A.0 {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}Kde je autorizační hlavička formátována takto:
Bearer <Azure_AD_token>neboBearer <accoundId>:<accountKey>. První je vhodnější pro zabezpečení. Token vrácený z tohoto volání REST je přístupový token MR.
Ověřování pro nasazené aplikace
Klíče účtu se doporučují pouze pro rychlé vytváření prototypů během vývoje. Nedoporučuje se odesílat aplikaci do produkčního prostředí pomocí vloženého klíče účtu. Doporučeným přístupem je použití přístupu microsoft Entra založeného na uživatelích nebo službě.
Ověřování uživatelů Microsoft Entra
Ověřování Microsoft Entra je popsáno v dokumentaci k Azure Spatial Anchors.
Postupujte podle pokynů ke konfiguraci ověřování uživatelů Microsoft Entra na webu Azure Portal.
Zaregistrujte aplikaci v Microsoft Entra ID. V rámci registrace budete muset určit, jestli má být vaše aplikace víceklientských. V okně Ověřování budete také muset zadat adresy URL pro přesměrování povolené pro vaši aplikaci.
Na kartě Oprávnění rozhraní API požádejte delegovaná oprávnění pro obor mixedreality.signin v rámci mixedreality.
Udělení souhlasu správce na kartě Zabezpečení –> Oprávnění
Pak přejděte k prostředku Azure Remote Rendering. V Ovládacích panelech přístupu udělte požadovaným rolím pro vaše aplikace a uživatele, za které chcete používat delegovaná přístupová oprávnění k vašemu prostředku Azure Remote Rendering.
Informace o používání ověřování uživatelů Microsoft Entra v kódu aplikace naleznete v kurzu: Zabezpečení služby Azure Remote Rendering a úložiště modelů – Ověřování Microsoft Entra
Řízení přístupu na základě rolí Azure
Pokud chcete řídit úroveň přístupu uděleného vaší službě, při udělování přístupu na základě role použijte následující role:
- Remote Rendering Správa istrator: Poskytuje uživatelům možnost převodu, správy relací, vykreslování a diagnostiky pro Azure Remote Rendering.
- Klient vzdáleného vykreslování: Poskytuje uživatelům možnosti správy relací, vykreslování a diagnostiky pro Azure Remote Rendering.