Konfiguruj uwierzytelnianie
Usługa Azure Remote Rendering używa tego samego mechanizmu uwierzytelniania co usługa Azure Spatial Anchors (ASA). Aby uzyskać dostęp do danego konta usługi Azure Remote Rendering, klienci muszą uzyskać token dostępu z usługi Azure Mixed Reality Security Token Service (STS). Tokeny uzyskane z usługi STS mają okres istnienia 24 godzin. Klienci muszą ustawić jeden z następujących elementów, aby pomyślnie wywołać interfejsy API REST:
AccountKey: można uzyskać na karcie "Klucze" dla konta usługi Remote Rendering w witrynie Azure Portal. Klucze konta są zalecane tylko w przypadku tworzenia i tworzenia prototypów.
AccountDomain: można uzyskać na karcie "Przegląd" dla konta usługi Remote Rendering w witrynie Azure Portal.
AuthenticationToken: to token entra firmy Microsoft, który można uzyskać przy użyciu biblioteki MSAL. Istnieje wiele różnych przepływów, które umożliwiają akceptowanie poświadczeń użytkownika i używanie tych poświadczeń w celu uzyskania tokenu dostępu.
MRAccessToken: jest tokenem MR, który można uzyskać z usługi azure Mixed Reality Security Token Service (STS). Pobrano z punktu końcowego
https://sts.<accountDomain>przy użyciu wywołania REST podobnego do poniższego:GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1 Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ Host: sts.southcentralus.mixedreality.azure.com Connection: Keep-Alive HTTP/1.1 200 OK Date: Tue, 24 Mar 2020 09:09:00 GMT Content-Type: application/json; charset=utf-8 Content-Length: 1153 Accept: application/json MS-CV: 05JLqWeKFkWpbdY944yl7A.0 {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}Gdzie nagłówek autoryzacji jest sformatowany w następujący sposób:
Bearer <Azure_AD_token>lubBearer <accoundId>:<accountKey>. Pierwszy jest preferowany dla bezpieczeństwa. Token zwrócony z tego wywołania REST jest tokenem dostępu mr.
Uwierzytelnianie dla wdrożonych aplikacji
Klucze konta są zalecane do szybkiego tworzenia prototypów tylko podczas opracowywania. Zaleca się, aby nie wysyłać aplikacji do środowiska produkcyjnego przy użyciu osadzonego klucza konta. Zalecaną metodą jest użycie podejścia opartego na użytkowniku lub opartego na usłudze uwierzytelniania firmy Microsoft Entra.
Uwierzytelnianie użytkowników firmy Microsoft Entra
Uwierzytelnianie w usłudze Microsoft Entra zostało opisane w dokumentacji usługi Azure Spatial Anchors.
Wykonaj kroki, aby skonfigurować uwierzytelnianie użytkownika microsoft Entra w witrynie Azure Portal.
Zarejestruj aplikację w usłudze Microsoft Entra ID. W ramach rejestracji należy określić, czy aplikacja powinna być wielodostępna. Należy również podać adresy URL przekierowania dozwolone dla aplikacji w bloku Uwierzytelnianie.
Na karcie Uprawnienia interfejsu API zażądaj uprawnień delegowanych dla zakresu mixedreality.signin w obszarze mieszanereality.
Udziel zgody administratora na karcie Zabezpieczenia —> uprawnienia.
Następnie przejdź do zasobu usługi Azure Remote Rendering. W panelu Kontrola dostępu przyznaj żądane role dla aplikacji i użytkownika, w imieniu których chcesz użyć delegowanych uprawnień dostępu do zasobu usługi Azure Remote Rendering.
Aby uzyskać informacje na temat korzystania z uwierzytelniania użytkownika Microsoft Entra w kodzie aplikacji, zobacz Samouczek: zabezpieczanie usługi Azure Remote Rendering i magazynu modelu — uwierzytelnianie firmy Microsoft Entra
Kontrola dostępu na podstawie ról na platformie Azure
Aby ułatwić kontrolę poziomu dostępu przyznanego usłudze, użyj następujących ról podczas udzielania dostępu opartego na rolach:
- Remote Rendering Administracja istrator: zapewnia użytkownikowi konwersję, zarządzanie sesjami, renderowaniem i diagnostyką na potrzeby usługi Azure Remote Rendering.
- Klient renderowania zdalnego: zapewnia użytkownikowi możliwość zarządzania sesją, renderowaniem i diagnostyką na potrzeby usługi Azure Remote Rendering.