Configurar la autenticaciónConfigure authentication

Azure Remote Rendering usa el mismo mecanismo de autenticación que Azure Spatial Anchors (ASA).Azure Remote Rendering uses the same authentication mechanism as Azure Spatial Anchors (ASA). Los clientes deben establecer una de las siguientes para llamar a las API de REST correctamente:Clients need to set one of the following to call the REST APIs successfully:

  • AccountKey: se puede obtener en la pestaña "Claves" de la cuenta de Remote Rendering de Azure Portal.AccountKey: can be obtained in the "Keys" tab for the Remote Rendering account on the Azure portal. Las claves de cuenta solo se recomiendan para el desarrollo o la creación de prototipos.Account Keys are only recommend for development/prototyping. Id. de cuentaAccount ID

  • AccountDomain: se puede obtener en la pestaña "Información general" de la cuenta de Remote Rendering de Azure Portal.AccountDomain: can be obtained in the "Overview" tab for the Remote Rendering account on the Azure portal. Dominio de cuentaAccount Domain

  • AuthenticationToken es un token de Azure AD, que se puede obtener mediante la biblioteca MSAL.AuthenticationToken: is an Azure AD token, which can be obtained by using the MSAL library. Hay varios flujos diferentes disponibles para aceptar las credenciales de usuario y usar esas credenciales para obtener un token de acceso.There are multiple different flows available to accept user credentials and use those credentials to obtain an access token.

  • MRAccessToken es un token de MR, que se puede obtener del servicio de token de seguridad (STS) de Azure Mixed Reality.MRAccessToken: is an MR token, which can be obtained from Azure Mixed Reality Security Token Service (STS). Recuperado del punto de conexión https://sts.<accountDomain> mediante una llamada REST similar a lo siguiente:Retrieved from the https://sts.<accountDomain> endpoint using a REST call similar to the below:

    GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1
    Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ
    Host: sts.southcentralus.mixedreality.azure.com
    Connection: Keep-Alive
    
    HTTP/1.1 200 OK
    Date: Tue, 24 Mar 2020 09:09:00 GMT
    Content-Type: application/json; charset=utf-8
    Content-Length: 1153
    Accept: application/json
    MS-CV: 05JLqWeKFkWpbdY944yl7A.0
    {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}
    

    El encabezado de autorización tiene el formato siguiente: Bearer <Azure_AD_token> o Bearer <accoundId>:<accountKey>.Where the Authorization header is formatted as follows: Bearer <Azure_AD_token> or Bearer <accoundId>:<accountKey>. Es preferible el primero por seguridad.The former is preferable for security. El token que devuelve esta llamada REST es el token de acceso de MR.The token returned from this REST call is the MR access token.

Autenticación para aplicaciones implementadasAuthentication for deployed applications

Se recomiendan las claves de cuenta para la creación rápida de prototipos solo durante la fase de desarrollo.Account keys are recommended for quick prototyping, during development only. Se recomienda no enviar su aplicación a producción con una clave de cuenta insertada en ella.It's recommended not to ship your application to production using an embedded account key in it. El enfoque recomendado es usar un enfoque de autenticación de Azure AD basado en el usuario o en el servicio.The recommended approach is to use a user-based or service-based Azure AD authentication approach.

La autenticación de Azure AD se describe en la sección Autenticación de usuario de Azure AD del servicio Azure Spatial Anchors (ASA).Azure AD authentication is described in the Azure AD user authentication section of the Azure Spatial Anchors (ASA) service.

Para más información, consulte Tutorial: Protección de Azure Remote Rendering y el almacenamiento de modelos: Autenticación con Azure Active DirectoryFor more information, see the Tutorial: Securing Azure Remote Rendering and model storage - Azure Active Directory authentication

Control de acceso basado en roles de AzureAzure role-based access control

Para ayudar a controlar el nivel de acceso concedido al servicio, use los siguientes roles al conceder el acceso basado en roles:To help control the level of access granted your service, use the following roles when granting role-based access:

  • Administrador de Remote Rendering: proporciona al usuario funcionalidades de conversión, administración de sesiones, representación y diagnóstico para Azure Remote Rendering.Remote Rendering Administrator: Provides user with conversion, manage session, rendering, and diagnostics capabilities for Azure Remote Rendering.
  • Cliente de Remote Rendering: proporciona al usuario funcionalidades de administración de sesiones, representación y diagnóstico para Azure Remote Rendering.Remote Rendering Client: Provides user with manage session, rendering, and diagnostics capabilities for Azure Remote Rendering.

Pasos siguientesNext steps