Verificatie configureren
Azure Remote Rendering gebruikt hetzelfde verificatiemechanisme als Azure Spatial Anchors (ASA). Clients moeten een van de volgende opties instellen om de REST API's aan te roepen:
AccountKey: kan worden verkregen op het tabblad Sleutels voor het Remote Rendering account op de Azure Portal. Accountsleutels worden alleen aanbevolen voor ontwikkeling/prototypen.
AccountDomain: kan worden verkregen op het tabblad Overzicht voor het Remote Rendering account op Azure Portal.
AuthenticationToken: is een Azure AD-token dat kan worden verkregen met behulp van de MSAL-bibliotheek. Er zijn meerdere verschillende stromen beschikbaar om gebruikersreferenties te accepteren en deze referenties te gebruiken om een toegangs token te verkrijgen.
MRAccessToken: is een MR-token dat kan worden verkregen via Azure Mixed Reality Security Token Service (STS). Opgehaald uit het eindpunt
https://sts.<accountDomain>met behulp van een REST-aanroep die vergelijkbaar is met de onderstaande:GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1 Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ Host: sts.southcentralus.mixedreality.azure.com Connection: Keep-Alive HTTP/1.1 200 OK Date: Tue, 24 Mar 2020 09:09:00 GMT Content-Type: application/json; charset=utf-8 Content-Length: 1153 Accept: application/json MS-CV: 05JLqWeKFkWpbdY944yl7A.0 {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}Waarbij de autorisatie-header als volgt is opgemaakt:
Bearer <Azure_AD_token>ofBearer <accoundId>:<accountKey>. De eerste optie heeft de voorkeur voor beveiliging. Het token dat door deze REST-aanroep wordt geretourneerd, is het MR-toegangs token.
Verificatie voor geïmplementeerde toepassingen
Accountsleutels worden aanbevolen voor snelle ontwikkeling van prototypen, alleen tijdens de ontwikkeling. Het is raadzaam om uw toepassing niet naar productie te verzenden met behulp van een ingesloten accountsleutel. De aanbevolen aanpak is het gebruik van een azure AD-verificatiemethode op basis van gebruikers of op basis van een service.
Azure AD-gebruikersverificatie
Azure AD-verificatie wordt beschreven in de documentatie Spatial Anchors Azure-verificatie.
Volg de stappen voor het configureren Azure Active Directory gebruikersverificatie in de Azure Portal.
Registreer uw toepassing in Azure Active Directory. Als onderdeel van de registratie moet u bepalen of uw toepassing multitenant moet zijn. U moet ook de omleidings-URL's die zijn toegestaan voor uw toepassing, op de blade Verificatie verstrekken.
Vraag op het tabblad API-machtigingen gedelegeerde machtigingen aan voor het bereik mixedreality.signin onder mixedreality.
Verleen beheerders toestemming op het tabblad Beveiliging -> machtigingen.
Navigeer vervolgens naar Azure Remote Rendering resource. Wijs in Access Control gewenste rollen toe voor uw toepassingen en gebruiker, namens welke u gedelegeerde toegangsmachtigingen voor uw Azure Remote Rendering gebruiken.
Zie voor meer informatie over het gebruik van Azure AD-gebruikersverificatie in uw toepassingscode de Zelfstudie: Beveiliging van Azure Remote Rendering en modelopslag - Azure Active Directory verificatie
Op rollen gebaseerd toegangsbeheer voor Azure
Gebruik de volgende rollen bij het verlenen van toegang op basis van rollen om het toegangsniveau te bepalen dat aan uw service wordt verleend:
- Remote Rendering Administrator: biedt de gebruiker conversie-, sessie-, rendering- en diagnostische mogelijkheden voor Azure Remote Rendering.
- Remote Rendering Client: biedt gebruikers mogelijkheden voor het beheren van sessies, rendering en diagnostische Azure Remote Rendering.