Konfigurieren der Authentifizierung

Azure Remote Rendering verwendet denselben Authentifizierungsmechanismus wie Azure Spatial Anchors (ASA). Clients müssen eins der folgenden Elemente festlegen, um die REST-APIs erfolgreich aufzurufen:

  • AccountKey kann auf der Registerkarte „Schlüssel“ für das Remote Rendering-Konto im Azure-Portal abgerufen werden. Kontoschlüssel werden nur für Entwicklung/Prototypen empfohlen. Account ID

  • AccountDomain kann auf der Registerkarte „Übersicht“ für das Remote Rendering-Konto im Azure-Portal abgerufen werden. Kontodomäne

  • AuthenticationToken ist ein Azure AD-Token, das mithilfe der MSAL-Bibliothek abgerufen werden kann. Es sind mehrere verschiedene Abläufe zum Akzeptieren von Benutzeranmeldeinformationen und zum Verwenden dieser Anmeldeinformationen zum Abrufen eines Zugriffstokens verfügbar.

  • MRAccessToken ist ein MR-Token, das beim Sicherheitstokendienst (Security Token Service, STS) von Azure Mixed Reality abgerufen werden kann. Wird beim https://sts.<accountDomain>-Endpunkt mithilfe eines ähnlichen wie dem unten dargestellten REST-Aufruf abgerufen:

    GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1
    Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ
    Host: sts.southcentralus.mixedreality.azure.com
    Connection: Keep-Alive
    
    HTTP/1.1 200 OK
    Date: Tue, 24 Mar 2020 09:09:00 GMT
    Content-Type: application/json; charset=utf-8
    Content-Length: 1153
    Accept: application/json
    MS-CV: 05JLqWeKFkWpbdY944yl7A.0
    {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}
    

    Dabei weist der Autorisierungsheader das folgende Format auf : Bearer <Azure_AD_token> oder Bearer <accoundId>:<accountKey>. Aus Sicherheitsgründen ist das erste Format vorzuziehen. Das durch diesen REST-Aufruf zurückgegebene Token ist das MR-Zugriffstoken.

Authentifizierung für bereitgestellte Anwendungen

Kontoschlüssel werden nur während der Entwicklung für die schnelle Prototyperstellung empfohlen. Es wird empfohlen, Anwendungen, die einen eingebetteten Kontoschlüssel enthalten, nicht an die Produktion auszuliefern. Stattdessen wird empfohlen, eine benutzerbasierte oder dienstbasierte Azure AD-Authentifizierung zu verwenden.

Azure AD-Benutzerauthentifizierung

Die Azure AD-Authentifizierung wird in der Dokumentation zu Azure Spatial Anchors beschrieben.

Führen Sie die Schritte zum Konfigurieren der Azure Active Directory-Benutzerauthentifizierung im Azure-Portal aus.

  1. Registrieren Sie Ihre Anwendung in Azure Active Directory. Im Rahmen der Registrierung muss festgelegt werden, ob Ihre Anwendung mehrinstanzenfähig sein soll. Außerdem müssen auf dem Blatt „Authentifizierung“ die Umleitungs-URLs angegeben werden, die für Ihre Anwendung zulässig sind. Einrichtung der Authentifizierung

  2. Fordern Sie auf der Registerkarte API-Berechtigungen unter mixedreality delegierte Berechtigungen für den Bereich mixedreality.signin an. API-Berechtigungen

  3. Erteilen Sie unter „Sicherheit“ auf der Registerkarte „Berechtigungen“ die Administratoreinwilligung. Administratoreinwilligung

  4. Navigieren Sie anschließend zu Ihrer Azure Remote Rendering-Ressource. Erteilen Sie im Bereich für die Zugriffssteuerung die gewünschten Rollen für Ihre Anwendungen und Benutzer, in deren Namen Sie delegierte Zugriffsberechtigungen für Ihre Azure Remote Rendering-Ressource verwenden möchten. Hinzufügen von Berechtigungen Rollenzuweisungen

Informationen zur Verwendung der Azure AD-Benutzerauthentifizierung in Ihrem Anwendungscode finden Sie im Tutorial „Schützen von Azure Remote Rendering und Modellspeicher“ unter Azure Active Directory-Authentifizierung (Azure AD).

Rollenbasierte Zugriffssteuerung in Azure

Zum Steuern der Zugriffsebene, die Ihrem Dienst erteilt wird, verwenden Sie beim Erteilen von rollenbasiertem Zugriff die folgenden Rollen:

  • Remote Rendering-Administrator: Bietet dem Benutzer Konvertierungs-, Sitzungsverwaltungs-, Rendering- und Diagnosefunktionen für Azure Remote Rendering.
  • Remote Rendering-Client: Bietet dem Benutzer Sitzungsverwaltungs-, Rendering- und Diagnosefunktionen für Azure Remote Rendering.

Nächste Schritte