0

我有一个场景,我需要将应用程序从 DevOps 管道添加到安全组。我有以下情况可以正常工作:

  1. 在管道中,我有以下 powershel 脚本:
if (!((Get-AzADGroupMember -ObjectId ((Get-AzADGroup -DisplayName $groupName).id)).DisplayName -eq $appName)) {Add-AzADGroupMember -MemberObjectId (Get-AzADServicePrincipal -DisplayName $appName).id -TargetGroupObjectId (Get-AzADGroup -DisplayName $groupName).id} else {"member is already part of the group"}
  1. 服务主体具有 Azure Active Directory Graph 的 API 权限和 Directory.Read.All 权限:

在此处输入图像描述

  1. 服务主体是安全组的所有者:

在此处输入图像描述

问题是 Azure Active Directory Graph 处于弃用路径上,因此我将权限更改为推荐的 Microsoft Graph 权限:

在此处输入图像描述

但现在我收到“权限不足,无法完成操作”。错误

在此处输入图像描述

请有人建议我还需要配置什么才能使其工作吗?

谢谢你。

4

1 回答 1

0

虽然 AAD Graph 处于弃用路径,但 MS Graph 和 AAD Graph 的权限不能混淆,它们并不相同。

可以使用 fiddler4 捕获 Powershell Az cmdlet 的请求,发现它实际上是在调用 AAD Graph 而不是底部的 MS Graph。

当我们使用访问令牌调用官方API时,API需要验证访问令牌是否有效。

有一个名为的声明aud,表示您正在调用的资源。当您在 Azure AD 应用程序中分配 MS Graph 权限(例如https://graph.microsoft.com/user.read:),但您调用的资源是 AAD Graphhttps://graph.windows.net/时,MS Graph 权限肯定不会包含在访问令牌中。而此时所需的权限应该是https://graph.windows.net/user.read. 这就是您收到错误Insufficient permissions to complete the operation 的原因。

因此,在这种情况下,您应该继续使用 AAD Graph 权限。

不用担心 AAD Graph 的退役。在此之前,MS 应该能够提供从 AAD Graph 到 MS Graph 的迁移或其他方式,使其仍然可以工作,而无需用户做太多事情。

于 2021-01-29T05:59:55.177 回答