Verificatie configureren
Voor toegang tot een bepaald Azure Remote Rendering-account moeten clients een toegangstoken verkrijgen van Azure Mixed Reality Security Token Service (STS). Tokens die zijn verkregen bij STS, hebben een levensduur van 24 uur. Clients moeten een van de volgende instellingen instellen om de REST API's aan te roepen:
AccountKey: kan worden verkregen op het tabblad Sleutels voor het Remote Rendering-account in Azure Portal. Accountsleutels worden alleen aanbevolen voor ontwikkeling/prototypen.
AccountDomain: kan worden verkregen op het tabblad Overzicht voor het Remote Rendering-account in Azure Portal.
AuthenticationToken: is een Microsoft Entra-token dat kan worden verkregen met behulp van de MSAL-bibliotheek. Er zijn meerdere verschillende stromen beschikbaar om gebruikersreferenties te accepteren en deze referenties te gebruiken om een toegangstoken te verkrijgen.
MRAccessToken: is een MR-token dat kan worden verkregen via Azure Mixed Reality Security Token Service (STS). Opgehaald uit het
https://sts.<accountDomain>
eindpunt met behulp van een REST-aanroep die vergelijkbaar is met de onderstaande:GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1 Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ Host: sts.southcentralus.mixedreality.azure.com Connection: Keep-Alive HTTP/1.1 200 OK Date: Tue, 24 Mar 2020 09:09:00 GMT Content-Type: application/json; charset=utf-8 Content-Length: 1153 Accept: application/json MS-CV: 05JLqWeKFkWpbdY944yl7A.0 {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}
Waar de autorisatieheader als volgt is opgemaakt:
Bearer <Azure_AD_token>
ofBearer <accountId>:<accountKey>
. De eerste heeft de voorkeur voor beveiliging. Het token dat door deze REST-aanroep wordt geretourneerd, is het MR-toegangstoken.
Verificatie voor geïmplementeerde toepassingen
Accountsleutels worden alleen aanbevolen voor snelle prototypen, alleen tijdens de ontwikkeling. Het is raadzaam om uw toepassing niet naar productie te verzenden met behulp van een ingesloten accountsleutel erin. De aanbevolen benadering is het gebruik van een microsoft Entra-verificatiemethode op basis van een gebruiker of service.
Microsoft Entra-gebruikersverificatie
Volg de stappen voor het configureren van Microsoft Entra-gebruikersverificatie in Azure Portal.
Registreer uw toepassing in Microsoft Entra ID. Als onderdeel van het registreren moet u bepalen of uw toepassing multitenant moet zijn. U moet ook de omleidings-URL's opgeven die zijn toegestaan voor uw toepassing op de blade Verificatie.
Vraag op het tabblad API-machtigingen gedelegeerde machtigingen aan voor het bereik mixedreality.signin onder mixedreality.
Beheerderstoestemming verlenen op het tabblad Beveiliging -> Machtigingen.
Navigeer vervolgens naar uw Azure Remote Rendering-resource. In het toegangsbeheervenster verleent u de gewenste rollen voor uw toepassingen en gebruikers, namens wie u gedelegeerde toegangsmachtigingen wilt gebruiken voor uw Azure Remote Rendering-resource.
Zie de zelfstudie: Azure Remote Rendering en modelopslag beveiligen - Microsoft Entra-verificatie voor meer informatie over het gebruik van Microsoft Entra-gebruikersverificatie in uw toepassingscode
Op rollen gebaseerd toegangsbeheer van Azure
Gebruik de volgende rollen bij het verlenen van op rollen gebaseerde toegang om het toegangsniveau te beheren dat aan uw service is verleend:
- Remote Rendering-beheerder: biedt gebruikers conversiemogelijkheden, sessiebeheer, rendering en diagnostische gegevens voor Azure Remote Rendering.
- Remote Rendering-client: biedt gebruikers de mogelijkheden voor het beheren van sessies, rendering en diagnostische gegevens voor Azure Remote Rendering.