Kimlik doğrulamasını yapılandırma
Belirli bir Azure Uzaktan İşleme hesabına erişmek için istemcilerin Azure Karma Gerçeklik Güvenlik Belirteci Hizmeti'nden (STS) erişim belirteci alması gerekir. STS'den alınan belirteçlerin ömrü 24 saattir. İstemcilerin REST API'lerini başarıyla çağırmak için aşağıdakilerden birini ayarlaması gerekir:
AccountKey: Azure portalındaki Uzaktan İşleme hesabının "Anahtarlar" sekmesinden alınabilir. Hesap Anahtarları yalnızca geliştirme/prototip oluşturma için önerilir.
AccountDomain: Azure portalındaki Uzaktan İşleme hesabının "Genel Bakış" sekmesinden edinilebilir.
AuthenticationToken: MSAL kitaplığı kullanılarak elde edilebilen bir Microsoft Entra belirtecidir. Kullanıcı kimlik bilgilerini kabul etmek ve erişim belirteci almak için bu kimlik bilgilerini kullanmak için kullanılabilecek birden çok farklı akış vardır.
MRAccessToken: Azure Karma Gerçeklik Güvenlik Belirteci Hizmeti'nden (STS) elde edilebilen bir MR belirtecidir. Aşağıdakine
https://sts.<accountDomain>benzer bir REST çağrısı kullanılarak uç noktadan alınır:GET https://sts.southcentralus.mixedreality.azure.com/Accounts/35d830cb-f062-4062-9792-d6316039df56/token HTTP/1.1 Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni<truncated>FL8Hq5aaOqZQnJr1koaQ Host: sts.southcentralus.mixedreality.azure.com Connection: Keep-Alive HTTP/1.1 200 OK Date: Tue, 24 Mar 2020 09:09:00 GMT Content-Type: application/json; charset=utf-8 Content-Length: 1153 Accept: application/json MS-CV: 05JLqWeKFkWpbdY944yl7A.0 {"AccessToken":"eyJhbGciOiJSUzI1<truncated>uLkO2FvA"}Burada Yetkilendirme üst bilgisi şu şekilde biçimlendirilir:
Bearer <Azure_AD_token>veyaBearer <accountId>:<accountKey>. İlki güvenlik için tercih edilir. Bu REST çağrısından döndürülen belirteç MR erişim belirtecidir.
Dağıtılan uygulamalar için kimlik doğrulaması
Yalnızca geliştirme sırasında hızlı prototip oluşturma için hesap anahtarları önerilir. Uygulamanızın içinde eklenmiş bir hesap anahtarı kullanılarak üretime sevk edilmemesi önerilir. Önerilen yaklaşım, kullanıcı tabanlı veya hizmet tabanlı bir Microsoft Entra kimlik doğrulama yaklaşımı kullanmaktır.
Microsoft Entra kullanıcı kimlik doğrulaması
Azure portalında Microsoft Entra kullanıcı kimlik doğrulamasını yapılandırma adımlarını izleyin.
Uygulamanızı Microsoft Entra Id'ye kaydedin. Kayıt işleminin bir parçası olarak uygulamanızın çok kiracılı olup olmadığını belirlemeniz gerekir. Ayrıca, Kimlik Doğrulaması dikey penceresinde uygulamanız için izin verilen yeniden yönlendirme URL'lerini de sağlamanız gerekir.
API izinleri sekmesinde karmareality.signin kapsamı için karmareality altında Temsilci İzinleri isteyin.
Güvenlik -> İzinler sekmesinde yönetici onayı verin.
Ardından Azure Uzaktan İşleme Kaynağınıza gidin. Erişim Denetimi panelinde, Azure Uzaktan İşleme kaynağınız için temsilci erişim izinlerini kullanmak istediğiniz uygulamalarınız ve kullanıcılarınız için istediğiniz rolleri verin.
Uygulama kodunuzda Microsoft Entra kullanıcı kimlik doğrulamasını kullanma hakkında bilgi için bkz . Öğretici: Azure Uzaktan İşleme ve model depolama güvenliğini sağlama - Microsoft Entra kimlik doğrulaması
Azure rol tabanlı erişim denetimi
Hizmetinize verilen erişim düzeyini denetlemeye yardımcı olmak için rol tabanlı erişim sağlarken aşağıdaki rolleri kullanın:
- Uzaktan İşleme Yöneticisi: Kullanıcıya Azure Uzaktan İşleme için dönüştürme, yönetme, oturum, işleme ve tanılama özellikleri sağlar.
- Uzaktan İşleme İstemcisi: Kullanıcıya Azure Uzaktan İşleme için oturum, işleme ve tanılama özelliklerini yönetme olanağı sağlar.