Konfigurace ověřování

  • Článek
  • 2 min ke čtení

Azure Remote Rendering používá stejný mechanismus ověřování jako Azure Spatial Anchors (ASA). Aby klienti úspěšně volali rozhraní REST API, musí nastavit jednu z následujících možností:

  • AccountKey: Můžete získat na kartě Klíče pro Remote Rendering účtu na Azure Portal. Klíče účtu se doporučují jenom pro vývoj/vytváření prototypů. Account ID

  • AccountDomain: Tento účet můžete získat na kartě Přehled Remote Rendering účtu na Azure Portal. Doména účtu

  • AuthenticationToken: je token Azure AD, který lze získat pomocí knihovny MSAL. K dispozici je několik různých toků, které přijímají přihlašovací údaje uživatelů a používají je k získání přístupového tokenu.

  • MRAccessToken: je token MR, který je možné získat Azure Mixed Reality tokenů zabezpečení (STS). Načteno z https://sts.<accountDomain> koncového bodu pomocí volání REST podobného následujícímu:

    GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ
Host: sts.southcentralus.mixedreality.azure.com
Connection: Keep-Alive

HTTP/1.1 200 OK
Date: Tue, 24 Mar 2020 09:09:00 GMT
Content-Type: application/json; charset=utf-8
Content-Length: 1153
Accept: application/json
MS-CV: 05JLqWeKFkWpbdY944yl7A.0
{"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}

    Autorizační hlavička má následující formát: Bearer <Azure_AD_token> nebo Bearer <accoundId>:<accountKey> . První je vhodnější pro zabezpečení. Token vrácený z tohoto volání REST je přístupový token MR.

Ověřování pro nasazené aplikace

Klíče účtu se doporučují pro rychlé vytváření prototypů pouze během vývoje. Nedoporučuje se do produkčního prostředí doručovat aplikaci pomocí vloženého klíče účtu. Doporučeným přístupem je použití přístupu ověřování Azure AD založeného na uživateli nebo službě.

Ověřování uživatelů Azure AD

Ověřování Azure AD je popsané v dokumentaci Spatial Anchors Azure.

Postupujte podle pokynů ke konfiguraci Azure Active Directory uživatele v Azure Portal.

  1. Zaregistrujte aplikaci v Azure Active Directory. V rámci registrace budete muset určit, jestli má být vaše aplikace vícetenantní. V okně Ověřování budete také muset zadat adresy URL pro přesměrování povolené pro vaši aplikaci. Nastavení ověřování

  2. Na kartě Oprávnění rozhraní API si vyžádejte delegovaná oprávnění pro obor mixedreality.signin v rámci mixedreality. Oprávnění rozhraní API

  3. Udělení souhlasu správce na kartě Oprávnění > zabezpečení. Souhlas správce

  4. Pak přejděte ke svému Azure Remote Rendering prostředků. Na panelu Access Control aplikacím a uživateli udělte požadované role, za které chcete použít delegovaná přístupová oprávnění k vašemu Azure Remote Rendering prostředku. Přidání oprávnění Přiřazení rolí

Informace o použití ověřování uživatelů Azure AD v kódu aplikace najdete v tématu Kurz: Zabezpečení Azure Remote Rendering a úložiště modelů – Azure Active Directory ověřování

Řízení přístupu na základě role v Azure

K řízení úrovně přístupu udělené vaší službě použijte při udělování přístupu na základě role následující role:

  • Remote Rendering správce: Poskytuje uživatelům možnosti převodu, správy relací, vykreslování a diagnostiky pro Azure Remote Rendering.
  • Remote Rendering Klient: Poskytuje uživatelům možnosti správy relací, vykreslování a diagnostiky pro Azure Remote Rendering.

Další kroky