Sdílet prostřednictvím

Konfigurace ověřování

  • Článek

Pokud chcete získat přístup k danému účtu Azure Remote Rendering, musí klienti získat přístupový token ze služby tokenů zabezpečení Azure Mixed Reality (STS). Tokeny získané ze služby STS mají životnost 24 hodin. Klienti musí pro úspěšné volání rozhraní REST API nastavit jednu z následujících možností:

  • AccountKey: Můžete ho získat na kartě Klíče pro účet vzdáleného vykreslování na webu Azure Portal. Klíče účtu se doporučují jenom pro vývoj a vytváření prototypů. ID účtu

  • AccountDomain: Můžete získat na kartě Přehled účtu vzdáleného vykreslování na webu Azure Portal. Doména účtu

  • AuthenticationToken: je token Microsoft Entra, který lze získat pomocí knihovny MSAL. K dispozici je několik různých toků pro příjem přihlašovacích údajů uživatele a jejich použití k získání přístupového tokenu.

  • MRAccessToken: je token MR, který lze získat ze služby tokenů zabezpečení Hybridní reality (STS). Načteno z koncového https://sts.<accountDomain> bodu pomocí volání REST podobného následujícímu:

    GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ
Host: sts.southcentralus.mixedreality.azure.com
Connection: Keep-Alive

HTTP/1.1 200 OK
Date: Tue, 24 Mar 2020 09:09:00 GMT
Content-Type: application/json; charset=utf-8
Content-Length: 1153
Accept: application/json
MS-CV: 05JLqWeKFkWpbdY944yl7A.0
{"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}

    Kde je autorizační hlavička formátována takto: Bearer <Azure_AD_token> nebo Bearer <accountId>:<accountKey>. První je vhodnější pro zabezpečení. Token vrácený z tohoto volání REST je přístupový token MR.

Ověřování pro nasazené aplikace

Klíče účtu se doporučují pouze pro rychlé vytváření prototypů během vývoje. Nedoporučuje se odesílat aplikaci do produkčního prostředí pomocí vloženého klíče účtu. Doporučeným přístupem je použití přístupu microsoft Entra založeného na uživatelích nebo službě.

Ověřování uživatelů Microsoft Entra

Postupujte podle pokynů ke konfiguraci ověřování uživatelů Microsoft Entra na webu Azure Portal.

  1. Zaregistrujte aplikaci v Microsoft Entra ID. V rámci registrace budete muset určit, jestli má být vaše aplikace víceklientských. V okně Ověřování budete také muset zadat adresy URL pro přesměrování povolené pro vaši aplikaci. Nastavení ověřování

  2. Na kartě Oprávnění rozhraní API požádejte delegovaná oprávnění pro obor mixedreality.signin v rámci mixedreality. Oprávnění rozhraní API

  3. Udělení souhlasu správce na kartě Zabezpečení –> Oprávnění Souhlas správce

  4. Pak přejděte k prostředku Azure Remote Rendering. V Ovládacích panelech přístupu udělte požadovaným rolím pro vaše aplikace a uživatele, za které chcete používat delegovaná přístupová oprávnění k vašemu prostředku Azure Remote Rendering. Přidání oprávněníPřiřazení rolí

Informace o používání ověřování uživatelů Microsoft Entra v kódu aplikace naleznete v kurzu: Zabezpečení služby Azure Remote Rendering a úložiště modelů – Ověřování Microsoft Entra

Řízení přístupu na základě rolí Azure

Pokud chcete řídit úroveň přístupu uděleného vaší službě, při udělování přístupu na základě role použijte následující role:

  • Správce vzdáleného vykreslování: Poskytuje uživatelům možnost převodu, správy relací, vykreslování a diagnostiky pro Azure Remote Rendering.
  • Klient vzdáleného vykreslování: Poskytuje uživatelům možnosti správy relací, vykreslování a diagnostiky pro Azure Remote Rendering.

Další kroky