我们需要将“用户管理员”角色分配给已经存在的服务主体,以允许更新 b2c 租户用户的密码。
使用 B2C Graph API 中描述的 MSOnline 模块 -即使启用 Directory.ReadWrite.All 权限不足 似乎已过时并且对我们不起作用(在 powershell 核心/云 powershell 中,我们只会收到有关丢失文件或程序集的错误)
有什么新方法可以做到这一点吗?
我们尝试做的是使用正确的订阅和 b2c 租户集连接到 azure(它抱怨 b2c 租户没有订阅,但可以使用 cmdline 开关覆盖它:az login --tenant B2C-TENANT- ID --allow-no-subscriptions)。
我们可以看到 b2c 租户中的服务主体,并且我们可以获得角色列表(az role definition list --subscription SUBSCRIPTION-ID)。但是您可以在 Active Directory 刀片的“角色和管理员”面板中看到的“用户管理员”角色不属于这些角色。打印出来的角色只是订阅本身中定义的角色。
尝试分配“用户管理员”角色(az role assignment create)会产生该角色不存在的错误。