Konfigurera autentisering

Azure Remote Rendering använder samma autentiseringsmekanism som Azure Spatial Anchors (ASA). För att få åtkomst till ett visst Azure Remote Rendering-konto måste klienter hämta en åtkomsttoken från Azure Mixed Reality Security Token Service (STS). Token som hämtas från STS har en livslängd på 24 timmar. Klienterna måste ange något av följande för att anropa REST-API:erna:

  • AccountKey: kan hämtas på fliken Nycklar för fjärråtergivningskontot på Azure-portalen. Kontonycklar rekommenderas endast för utveckling/prototyper. Account ID

  • AccountDomain: kan hämtas på fliken "Översikt" för remote rendering-kontot på Azure-portalen. Account Domain

  • AuthenticationToken: är en Azure AD-token som kan hämtas med hjälp av MSAL-biblioteket. Det finns flera olika flöden för att acceptera användarautentiseringsuppgifter och använda dessa autentiseringsuppgifter för att hämta en åtkomsttoken.

  • MRAccessToken: är en MR-token som kan hämtas från Azure Mixed Reality Security Token Service (STS). Hämtas från https://sts.<accountDomain> slutpunkten med hjälp av ett REST-anrop som liknar nedanstående:

    GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1
    Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ
    Host: sts.southcentralus.mixedreality.azure.com
    Connection: Keep-Alive
    
    HTTP/1.1 200 OK
    Date: Tue, 24 Mar 2020 09:09:00 GMT
    Content-Type: application/json; charset=utf-8
    Content-Length: 1153
    Accept: application/json
    MS-CV: 05JLqWeKFkWpbdY944yl7A.0
    {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}
    

    Där auktoriseringsrubriken är formaterad på följande sätt: Bearer <Azure_AD_token> eller Bearer <accoundId>:<accountKey>. Den förra är att föredra för säkerhet. Token som returneras från det här REST-anropet är MR-åtkomsttoken.

Autentisering för distribuerade program

Kontonycklar rekommenderas för snabba prototyper, endast under utveckling. Vi rekommenderar att du inte skickar ditt program till produktion med hjälp av en inbäddad kontonyckel i den. Den rekommenderade metoden är att använda en användarbaserad eller tjänstbaserad Azure AD-autentiseringsmetod.

Användarautentisering i Azure AD

Azure AD-autentisering beskrivs i Azure Spatial Anchors-dokumentationen.

Följ stegen för att konfigurera Azure Active Directory-användarautentisering i Azure-portalen.

  1. Registrera ditt program i Azure Active Directory. Som en del av registreringen måste du bestämma om programmet ska vara multitenant. Du måste också ange de omdirigerings-URL:er som tillåts för ditt program på bladet Autentisering. Authentication setup

  2. På fliken API-behörigheter begär du Delegerade behörigheter för omfånget mixedreality.signin under mixedreality. Api permissions

  3. Bevilja administratörsmedgivande på fliken Säkerhet –> behörigheter. Admin consent

  4. Navigera sedan till din Azure Remote Rendering-resurs. I åtkomstkontrollpanelen beviljar du önskade roller för dina program och användare, för vilka du vill använda delegerade åtkomstbehörigheter till din Azure Remote Rendering-resurs. Add permissionsRole assignments

Information om hur du använder Azure AD-användarautentisering i programkoden finns i Självstudie: Skydda Azure Remote Rendering och modelllagring – Azure Active Directory-autentisering

Rollbaserad Azure-åtkomstkontroll

Använd följande roller när du beviljar rollbaserad åtkomst för att styra åtkomstnivån för din tjänst:

  • Fjärrrenderingsadministratör: Ger användaren funktioner för konvertering, hantering av sessioner, återgivning och diagnostik för Azure Remote Rendering.
  • Fjärrrenderingsklient: Ger användaren funktioner för att hantera sessioner, återgivning och diagnostik för Azure Remote Rendering.

Nästa steg