Azure 媒體服務從 6 月開始已支持 AAD 身份驗證。REST API 和. NET 客戶端庫的客戶現在可以使用 AAD 身份驗證來對請求授權。此外,Azure 門戶中也已發佈新的管理選項卡,藉此可簡化通過 AAD 進行用戶和服務主體認證的過程。 ...
不知道有多少人已經把家裡的門鎖換成了數字化的指紋鎖?沿用了幾百上千年的傳統門鎖,在技術的幫助下無疑變得更方便,不用帶鑰匙,還能遠程式控制制和操作,最重要的是,終於不用擔心「衣果(luǒ)著」出門扔垃圾,風吹門關人尷尬的局面。
吶,這裡大家註意了,與時俱進的 Azure 媒體服務也已經「換鎖」了,開始採用基於 AAD (Azure Active Directory)的全新身份驗證機制,這是一種更強大、基於角色的訪問控制功能,與該服務原本使用的 ACS 令牌驗證模型(“帳戶密鑰”)相比,可對帳戶中的資源進行更精細的訪問。 ACS 驗證方式將在 2018 年 6 月22 日停用,為了讓大家平穩升級,小編特地提前近 12 個月前就來通知您,下麵咱們就來說說具體情況,都有哪些註意事項?
Azure 媒體服務從 6 月開始已支持 AAD 身份驗證。REST API 和. NET 客戶端庫的客戶現在可以使用 AAD身份驗證來對請求授權。此外,Azure 門戶中也已發佈新的管理選項卡,藉此可簡化通過 AAD 進行用戶和服務主體認證的過程。
隨著本次 RESTAPI 更新的發佈,媒體服務現在可以提供與 Azure 資源管理(ARM)服務相同的,基於角色的訪問管理(RBAC)。通過轉到 AAD 身份驗證,用戶還可以跟蹤並審核連接到媒體服務帳戶的特定用戶或應用程式所做的所有更改。
現有媒體服務用戶,需要在 2018 年 6 月 22 日前採取以下措施,確保應用程式持續如期運轉:
-
為媒體服務授權的應用程式更新代碼
-
對基於 ACS 的身份驗證進行遷移
-
開始使用基於 AAD 的身份驗證
Azure 媒體服務 REST API 支持互動式用戶和 Web API,中間層或守護進程的身份驗證。下文將介紹如何直接使用 REST API 或通過. NET 客戶端庫,使用 AAD 身份驗證的詳細方法和相關信息。
在媒體服務中使用 AAD 進行用戶驗證
如果為 Azure 媒體服務帳戶構建管理應用程式,例如 Azure 服務媒體 Explorer 工具,可以通過管理門戶訪問控制(IAM)選項卡,憑藉授權訪問媒體服務資源的用戶憑據登錄。該方法適合用於執行下列任務:
-
為編碼作業監控儀錶板
-
為現場直播監控儀錶板
-
為桌面或移動用戶管理應用程式,用於管理媒體服務帳戶中的資源
本機應用程式首先從 AAD 獲取訪問令牌,然後使用該訪問令牌進行所有 REST API 調用。下圖顯示了典型的互動式應用程式身份驗證流程。要使 REST API 請求成功完成,調用用戶必須是試圖訪問的目標 Azure 媒體服務帳戶的“貢獻者”或“所有者”。
未經授權的請求將失敗,狀態代碼 401。如果看到此錯誤,請仔細檢查是否將用戶配置為媒體服務帳戶中的“貢獻者”或“所有者”。您可以在 Azure 門戶中搜索媒體帳戶並點擊“訪問控制”選項卡檢查。
媒體服務中的 AAD 服務主體認證
對於不需要通過守護進程服務、Web API、消費者(移動或桌面)和 Web 應用程式進行非人際互動的互動式登錄,或媒體服務帳戶中的直接用戶管理/資源監控,需要先在自己的租戶中創建一個 Azure Active Directory(活動目錄)應用程式。
創建後,必須為訪問控制(IAM)選項卡中的媒體服務帳戶授予此應用程式“貢獻者”或“所有者”級別的許可權。這兩個步驟都可通過 Azure 管理門戶、Azure CLI,或 PowerShell 腳本輕鬆完成。
輕鬆開始使用新的 API 訪問選項卡
對於不熟悉 AAD 的用戶,Azure Active Directory(活動目錄)身份驗證可能很複雜。為了幫助用戶順利上手,我們正在門戶中為媒體服務帳戶引入新的“API 訪問”選項卡,來替代以前的 ACS“帳戶密鑰”選項卡。我們還禁用了旋轉 ACS 密鑰的功能,以促使用戶更新代碼並轉移到 AAD。
新的 API 訪問選項卡使得 Azure 媒體服務與 AAD 的連接過程更簡單。首次打開 API 訪問選項卡時,將看到選擇使用用戶身份驗證進行人際互動式管理應用程式,也可以創建一個服務主體和 AAD 應用程式,用於與媒體服務 API 進行非人際交互。
媒體服務客戶的後續步驟和操作
所有 Azure 媒體服務客戶應立即開始遷移,下載最新.NET SDK,或更新現有基於 REST 的 API 調用來使用新的基於 AAD 的身份驗證模型。
此外,我們正在開發新版本的 REST API,並支持使用 AAD 認證的更多客戶端 SDK 語言。有關該更新的 API 的更多詳細信息,參見後續的博客文章。
目前應該採取的行動:
1、如果使用.NET,請更新到最新版 SDK 並遷移到 AAD 認證。
2、提前規劃媒體服務 API 中的 ACS 身份驗證支持的棄用。舊的 ACS 認證支持將於 2018 年 6 月 22 日正式關閉。
關於 Java SDK 和開源和社區驅動客戶端 SDK 的註意事項
如果正在為媒體服務使用 Java SDK 或社區/開源客戶端 SDK,您目前有幾個選項:
現有的,用於媒體服務的 Java SDK 將在未來幾個月內更新,以支持 AAD 身份驗證,以便客戶立即開始遷移。
對於開源庫,由於無法得到媒體服務團隊的支持,您需要與社區 SDK 開發人員合作來優先更新 SDK,以便讓您的方案支持 AAD。
此外,我們正在努力在今年夏/秋季推出新版 REST API(v3),以支持 AutoRest 生成的跨PHP、Java、Python 等客戶端 SDK,從而支持 AAD 認證。
推薦閱讀
資源和更多文檔
想瞭解更多 Azure 媒體服務,以及 Azure Active Directory 請參閱以下文章:
《Azure Active Directory 服務介紹頁》
有關詳細信息,示例代碼和具體情景文檔,請參閱以下文章:
《使用 AAD 認證來訪問 API》
《使用 Azure CLI 2.0 創建和配置 AAD 應用程式》
《使用 PowerShell 創建和配置 AAD 應用程式》
