Konfigurasikan autentikasi
Azure Remote Rendering menggunakan mekanisme autentikasi yang sama seperti Azure Spatial Anchors (ASA). Untuk mengakses akun Azure Remote Rendering tertentu, klien perlu mendapatkan token akses dari Azure Mixed Reality Security Token Service (STS). Token yang diperoleh dari STS memiliki masa pakai 24 jam. Klien harus menyiapkan salah satu berikut ini untuk memanggil REST API dengan berhasil:
AccountKey: dapat diperoleh di tab "Kunci" untuk akun Remote Rendering di portal Azure. Kunci Akun hanya direkomendasikan untuk pengembangan/pembuatan prototipe.
AccountDomain: dapat diperoleh di tab "Ringkasan" untuk akun Remote Rendering di portal Azure.
AuthenticationToken: adalah token Azure AD, yang dapat diperoleh dengan menggunakan pustaka MSAL. Ada beberapa aliran berbeda yang tersedia untuk menerima kredensial pengguna dan menggunakan kredensial tersebut untuk mendapatkan token akses.
MRAccessToken: adalah token MR, yang dapat diperoleh dari Layanan token keamanan (STS) Azure Mixed Reality. Diambil dari
https://sts.<accountDomain>titik akhir menggunakan panggilan REST yang mirip dengan di bawah ini:GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1 Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ Host: sts.southcentralus.mixedreality.azure.com Connection: Keep-Alive HTTP/1.1 200 OK Date: Tue, 24 Mar 2020 09:09:00 GMT Content-Type: application/json; charset=utf-8 Content-Length: 1153 Accept: application/json MS-CV: 05JLqWeKFkWpbdY944yl7A.0 {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}Ketika header Autorisasi diformat sebagai berikut:
Bearer <Azure_AD_token>atauBearer <accoundId>:<accountKey>. Pilihan pertama lebih disukai untuk keamanan. Token yang dikembalikan dari panggilan REST ini adalah token akses MR.
Autentikasi untuk aplikasi yang disebarkan
Kunci akun direkomendasikan untuk pembuatan prototipe cepat, khusus selama pengembangan. Disarankan untuk tidak mengirimkan aplikasi Anda ke produksi menggunakan kunci akun yang disematkan di dalamnya. Pendekatan yang disarankan adalah menggunakan pendekatan autentikasi Azure AD berbasis pengguna atau layanan.
Autentikasi pengguna Azure Active Directory
Autentikasi Azure Active Directory dijelaskan dalam dokumentasi Azure Spatial Anchors.
Ikuti langkah-langkah untuk mengonfigurasi autentikasi pengguna Azure Active Directory di portal Microsoft Azure.
Mendaftarkan aplikasi Anda di Azure Active Directory. Sebagai bagian dari pendaftaran, Anda harus menentukan apakah aplikasi harus berupa multitenant. Anda juga perlu memberikan URL pengalihan yang diizinkan untuk aplikasi Anda di bilah Autentikasi.
Di tab izin API, minta Delegated Permissions untuk cakupan mixedreality.signin di bawah mixedreality.
Berikan persetujuan admin di tab Keamanan -> Izin.
Kemudian, navigasikan ke Azure Remote Rendering Resource Anda. Di panel Access Control memberikan peran yang diinginkan untuk aplikasi dan pengguna Anda, atas nama mana Anda ingin menggunakan izin akses yang didelegasikan ke sumber daya Azure Remote Rendering Anda.
Untuk informasi tentang menggunakan autentikasi pengguna Azure AD dalam kode aplikasi Anda, lihat Tutorial: Mengamankan Azure Remote Rendering dan penyimpanan model - autentikasi Azure Active Directory
Kontrol akses berbasis peran Azure
Untuk membantu mengontrol tingkat akses yang diberikan layanan Anda, gunakan peran berikut saat memberikan akses berbasis peran:
- Administrator Remote Rendering: Menyediakan pengguna kemampuan konversi, manajemen sesi, rendering, dan diagnostik untuk Azure Remote Rendering.
- Klien Remote Rendering: Menyediakan pengguna kemampuan mengelola sesi, rendering, dan diagnostik untuk Azure Remote Rendering.