Mengonfigurasi autentikasi
Azure Remote Rendering menggunakan mekanisme autentikasi yang sama seperti Azure Spatial Anchors (ASA). Untuk mengakses akun Azure Remote Rendering tertentu, klien perlu mendapatkan token akses dari Azure Mixed Reality Security Token Service (STS). Token yang diperoleh dari STS memiliki masa pakai 24 jam. Klien harus menyiapkan salah satu berikut ini untuk memanggil REST API dengan berhasil:
AccountKey: dapat diperoleh di tab "Kunci" untuk akun Remote Rendering di portal Azure. Kunci Akun hanya direkomendasikan untuk pengembangan/prototipe.
AccountDomain: dapat diperoleh di tab "Ringkasan" untuk akun Remote Rendering di portal Azure.
AuthenticationToken: adalah token Microsoft Entra, yang dapat diperoleh dengan menggunakan pustaka MSAL. Ada beberapa aliran berbeda yang tersedia untuk menerima kredensial pengguna dan menggunakan kredensial tersebut untuk mendapatkan token akses.
MRAccessToken: adalah token MR, yang dapat diperoleh dari Layanan token keamanan (STS) Azure Mixed Reality. Diambil dari
https://sts.<accountDomain>
titik akhir menggunakan panggilan REST yang mirip dengan di bawah ini:GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1 Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ Host: sts.southcentralus.mixedreality.azure.com Connection: Keep-Alive HTTP/1.1 200 OK Date: Tue, 24 Mar 2020 09:09:00 GMT Content-Type: application/json; charset=utf-8 Content-Length: 1153 Accept: application/json MS-CV: 05JLqWeKFkWpbdY944yl7A.0 {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}
Ketika header Autorisasi diformat sebagai berikut:
Bearer <Azure_AD_token>
atauBearer <accoundId>:<accountKey>
. Pilihan pertama lebih disukai untuk keamanan. Token yang dikembalikan dari panggilan REST ini adalah token akses MR.
Autentikasi untuk aplikasi yang disebarkan
Kunci akun direkomendasikan untuk pembuatan prototipe cepat, khusus selama pengembangan. Disarankan untuk tidak mengirimkan aplikasi Anda ke produksi menggunakan kunci akun yang disematkan di dalamnya. Pendekatan yang disarankan adalah menggunakan pendekatan autentikasi Microsoft Entra berbasis pengguna atau berbasis layanan.
Autentikasi pengguna Microsoft Entra
Autentikasi Microsoft Entra dijelaskan dalam dokumentasi Azure Spatial Anchors.
Ikuti langkah-langkah untuk mengonfigurasi autentikasi pengguna Microsoft Entra di portal Azure.
Daftarkan aplikasi Anda di ID Microsoft Entra. Sebagai bagian dari pendaftaran, Anda harus menentukan apakah aplikasi harus berupa multitenant. Anda juga perlu memberikan URL pengalihan yang diizinkan untuk aplikasi Anda di bilah Autentikasi.
Di tab izin API, minta Delegated Permissions untuk cakupan mixedreality.signin di bawah mixedreality.
Berikan persetujuan admin di tab Keamanan -> Izin.
Kemudian, navigasikan ke Azure Remote Rendering Resource Anda. Di panel Access Control memberikan peran yang diinginkan untuk aplikasi dan pengguna Anda, atas nama mana Anda ingin menggunakan izin akses yang didelegasikan ke sumber daya Azure Remote Rendering Anda.
Untuk informasi tentang menggunakan autentikasi pengguna Microsoft Entra dalam kode aplikasi Anda, lihat Tutorial: Mengamankan Azure Remote Rendering dan penyimpanan model - Autentikasi Microsoft Entra
Kontrol akses berbasis peran Azure
Untuk membantu mengontrol tingkat akses yang diberikan layanan Anda, gunakan peran berikut saat memberikan akses berbasis peran:
- Administrator Remote Rendering: Menyediakan pengguna kemampuan konversi, manajemen sesi, rendering, dan diagnostik untuk Azure Remote Rendering.
- Klien Remote Rendering: Menyediakan pengguna kemampuan mengelola sesi, rendering, dan diagnostik untuk Azure Remote Rendering.