Udostępnij za pośrednictwem

Konfiguruj uwierzytelnianie

  • Artykuł

Aby uzyskać dostęp do danego konta usługi Azure Remote Rendering, klienci muszą uzyskać token dostępu z usługi Azure Mixed Reality Security Token Service (STS). Tokeny uzyskane z usługi STS mają okres istnienia 24 godzin. Klienci muszą ustawić jeden z następujących elementów, aby pomyślnie wywołać interfejsy API REST:

  • AccountKey: można uzyskać na karcie "Klucze" dla konta usługi Remote Rendering w witrynie Azure Portal. Klucze konta są zalecane tylko w przypadku tworzenia i tworzenia prototypów. Identyfikator konta

  • AccountDomain: można uzyskać na karcie "Przegląd" dla konta usługi Remote Rendering w witrynie Azure Portal. Domena konta

  • AuthenticationToken: to token entra firmy Microsoft, który można uzyskać przy użyciu biblioteki MSAL. Istnieje wiele różnych przepływów, które umożliwiają akceptowanie poświadczeń użytkownika i używanie tych poświadczeń w celu uzyskania tokenu dostępu.

  • MRAccessToken: jest tokenem MR, który można uzyskać z usługi azure Mixed Reality Security Token Service (STS). Pobrano z punktu końcowego https://sts.<accountDomain> przy użyciu wywołania REST podobnego do poniższego:

    GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ
Host: sts.southcentralus.mixedreality.azure.com
Connection: Keep-Alive

HTTP/1.1 200 OK
Date: Tue, 24 Mar 2020 09:09:00 GMT
Content-Type: application/json; charset=utf-8
Content-Length: 1153
Accept: application/json
MS-CV: 05JLqWeKFkWpbdY944yl7A.0
{"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}

    Gdzie nagłówek autoryzacji jest sformatowany w następujący sposób: Bearer <Azure_AD_token> lub Bearer <accountId>:<accountKey>. Pierwszy jest preferowany dla bezpieczeństwa. Token zwrócony z tego wywołania REST jest tokenem dostępu mr.

Uwierzytelnianie dla wdrożonych aplikacji

Klucze konta są zalecane do szybkiego tworzenia prototypów tylko podczas opracowywania. Zaleca się, aby nie wysyłać aplikacji do środowiska produkcyjnego przy użyciu osadzonego klucza konta. Zalecaną metodą jest użycie podejścia opartego na użytkowniku lub opartego na usłudze uwierzytelniania firmy Microsoft Entra.

Uwierzytelnianie użytkowników firmy Microsoft Entra

Wykonaj kroki, aby skonfigurować uwierzytelnianie użytkownika microsoft Entra w witrynie Azure Portal.

  1. Zarejestruj aplikację w usłudze Microsoft Entra ID. W ramach rejestracji należy określić, czy aplikacja powinna być wielodostępna. Należy również podać adresy URL przekierowania dozwolone dla aplikacji w bloku Uwierzytelnianie. Ustawienia uwierzytelniania

  2. Na karcie Uprawnienia interfejsu API zażądaj uprawnień delegowanych dla zakresu mixedreality.signin w obszarze mieszanereality. Uprawnienia interfejsu API

  3. Udziel zgody administratora na karcie Zabezpieczenia —> uprawnienia. zgoda administratora

  4. Następnie przejdź do zasobu usługi Azure Remote Rendering. W panelu Kontrola dostępu przyznaj żądane role dla aplikacji i użytkownika, w imieniu których chcesz użyć delegowanych uprawnień dostępu do zasobu usługi Azure Remote Rendering. Dodawanie uprawnieńPrzypisania ról

Aby uzyskać informacje na temat korzystania z uwierzytelniania użytkownika Microsoft Entra w kodzie aplikacji, zobacz Samouczek: zabezpieczanie usługi Azure Remote Rendering i magazynu modelu — uwierzytelnianie firmy Microsoft Entra

Kontrola dostępu na podstawie ról na platformie Azure

Aby ułatwić kontrolę poziomu dostępu przyznanego usłudze, użyj następujących ról podczas udzielania dostępu opartego na rolach:

  • Administrator renderowania zdalnego: umożliwia użytkownikowi konwersję, zarządzanie sesją, renderowaniem i diagnostyką na potrzeby usługi Azure Remote Rendering.
  • Klient renderowania zdalnego: zapewnia użytkownikowi możliwość zarządzania sesją, renderowaniem i diagnostyką na potrzeby usługi Azure Remote Rendering.

Następne kroki