我在 Azure 中有一个服务主体,它是在我为我的一项 Azure 资产打开托管服务标识时创建的。我想使用门户中的 App Registrations 区域向此 SP 授予权限(我知道我可以使用New-AzureADServiceAppRoleAssignment来做到这一点,但我想在这种情况下创建一个应用程序)。
服务主体有一个关联的应用程序,其 guid 在 AAD 刀片的企业应用程序部分中可见,但该应用程序 ID 在应用程序注册部分中不可见,Get-AzureRmADApplication也看不到它。
我可以使用 powershell 或 REST API 以某种方式更改与 MSI 服务主体关联的应用程序显示在该区域吗?
如果启用 MSI,它将自动创建服务主体。
服务主体有一个关联的应用程序,其 guid 在 AAD 刀片的企业应用程序部分中可见
您在 中看到的Enterprise Applications也称为service principal. 您可以理解企业应用程序等于服务主体。
但是该应用程序 ID 在应用程序注册部分中不可见,并且 Get-AzureRmADApplication 也看不到它。
如果您创建应用注册,它还将在企业应用程序中创建一个服务主体。但是如果启用 MSI,将不会有 AD 应用(应用注册)。您无法使Enterprise Application(服务主体)出现在App registration. 此外,当您向 AD 应用授予权限时,它实质上是向服务主体授予权限。
有关应用注册和服务主体的更多详细信息,请参阅此链接。