Konfigurowanie uwierzytelniania

Azure Remote Rendering korzysta z tego samego mechanizmu uwierzytelniania co usługa Azure Spatial Anchors (ASA). Klienci muszą ustawić jedną z następujących czynności, aby pomyślnie wywołać interfejsy API REST:

  • AccountKey: można uzyskać na karcie "Klucze" Remote Rendering konta w Azure Portal. Klucze kont są zalecane tylko do tworzenia/tworzenia prototypów. Identyfikator konta

  • AccountDomain: można uzyskać na karcie "Przegląd" dla konta Remote Rendering na Azure Portal. Domena konta

  • AuthenticationToken: to token usługi Azure AD, który można uzyskać przy użyciu biblioteki MSAL. Dostępnych jest wiele różnych przepływów do akceptowania poświadczeń użytkownika i używania tych poświadczeń w celu uzyskania tokenu dostępu.

  • MRAccessToken: jest tokenem mr, który można uzyskać z Azure Mixed Reality tokenu zabezpieczającego (STS). Pobrane z punktu https://sts.<accountDomain> końcowego przy użyciu wywołania REST podobnego do poniższego:

    GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1
    Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ
    Host: sts.southcentralus.mixedreality.azure.com
    Connection: Keep-Alive
    
    HTTP/1.1 200 OK
    Date: Tue, 24 Mar 2020 09:09:00 GMT
    Content-Type: application/json; charset=utf-8
    Content-Length: 1153
    Accept: application/json
    MS-CV: 05JLqWeKFkWpbdY944yl7A.0
    {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}
    

    Gdzie nagłówek Autoryzacja jest sformatowany w następujący Bearer <Azure_AD_token> sposób: lub Bearer <accoundId>:<accountKey> . Pierwsza z tych zasad jest preferowana ze względów bezpieczeństwa. Token zwrócony z tego wywołania REST to token dostępu mr.

Uwierzytelnianie wdrożonych aplikacji

Klucze kont są zalecane do szybkiego tworzenia prototypów tylko podczas opracowywania. Zaleca się, aby nie wysyłać aplikacji do produkcji przy użyciu osadzonego klucza konta. Zalecanym podejściem jest użycie podejścia do uwierzytelniania usługi Azure AD opartego na użytkownikach lub usługach.

Uwierzytelnianie użytkowników w usłudze Azure AD

Uwierzytelnianie usługi Azure AD jest opisane w dokumentacji usługi Azure Spatial Anchors .

Wykonaj kroki konfigurowania uwierzytelniania Azure Active Directory użytkownika w Azure Portal.

  1. Zarejestruj aplikację w Azure Active Directory. W ramach rejestracji należy określić, czy aplikacja powinna być wielowątkowa. W bloku Uwierzytelnianie należy również podać adresy URL przekierowania dozwolone dla aplikacji. Konfiguracja uwierzytelniania

  2. Na karcie Uprawnienia interfejsu API zażądaj uprawnień delegowanych dla zakresu mixedreality.signin w obszarze mixedreality. Uprawnienia interfejsu API

  3. Przyznaj zgodę administratora na karcie Security -> Permissions (Zabezpieczenia — uprawnienia). Zgoda administratora

  4. Następnie przejdź do swojego Azure Remote Rendering Zasobu. Na panelu Access Control przyznaj żądane role dla aplikacji i użytkownika, w imieniu których chcesz używać delegowanych uprawnień dostępu do Azure Remote Rendering zasobów. Dodawanie uprawnień Przypisania ról

Aby uzyskać informacje na temat używania uwierzytelniania użytkowników usługi Azure AD w kodzie aplikacji, zobacz Samouczek: zabezpieczanie magazynu Azure Remote Rendering i magazynu modeli — Azure Active Directory uwierzytelniania

Kontrola dostępu na podstawie ról na platformie Azure

Aby ułatwić kontrolowanie poziomu dostępu przyznanego usłudze, użyj następujących ról podczas udzielania dostępu opartego na rolach:

  • Remote Rendering administrator: zapewnia użytkownikowi funkcje konwersji, zarządzania sesją, renderowaniem i diagnostyką dla Azure Remote Rendering.
  • Remote Rendering Client: zapewnia użytkownikowi możliwości zarządzania sesją, renderowaniem i diagnostyką dla Azure Remote Rendering.

Następne kroki