问题标签 [azure-managed-identity]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
146 浏览

azure-managed-identity - 重置应用服务上的 MSI?

有没有办法在应用服务上重做 MSI 配置?

我删除了 AD 中的服务主体,没有意识到它是针对 MSI 的,所以当我尝试使用 MSI 时,它当然找不到它。如果我禁用/重新启用 MSI,它会说它正在 AD 中注册,但什么也不做。我什至尝试在禁用/重新启用之前删除 MSI 环境变量 - 重新生成环境变量(使用新的 SECRET 值),但它仍会查找原始服务主体。

0 投票
1 回答
1787 浏览

azure-managed-identity - 跨租户使用 Azure 托管服务标识的异常

我正在为客户构建一个 Azure Web 应用程序,该应用程序将为其客户配置到许多其他目录中。这个应用程序将调用我客户目录中的 Web API,然后它会回调客户目录中的另一个 Web API。像这样的东西:

我们已经能够接到第一个上班的电话。这需要在 AAD1 中为 Web API 2 进行相应的应用注册。我们认为我们可以按照相同的模式让回调工作,在 AAD2 中注册 Web API1。但是,这可能是我客户的 AAD 中的大量此类“代理”注册,因此我们正在寻找替代方案。

我们正在探索使用托管服务身份,我们认为这将使我们能够获得对其他租户中的资源有效的令牌。如果有更好的方法,我当然有兴趣了解它。

我已经使用 Microsoft.Azure.Services.AppAuthentication 库从这里遵循了代码示例:https ://docs.microsoft.com/en-us/azure/app-service/app-service-managed-service-identity#获取 azure 资源的令牌

Web API2 配置为具有托管服务标识。

我目前正在我的本地计算机上运行它,并且我已经安装了 Azure CLI 并已登录。我尝试了“az account get-access-token”,并获得了一个有效的令牌。

当 Web API2 尝试获取能够调用 Web API1 的令牌时,出现异常:

参数:连接字符串:[未指定连接字符串],资源:,权限:。异常消息:尝试了以下 2 种方法来获取访问令牌,但都没有奏效。

参数:连接字符串:[未指定连接字符串],资源:,权限:。异常消息:尝试使用托管服务标识获取令牌。无法连接到托管服务标识 (MSI) 端点。请检查您是否在具有 MSI 设置的 Azure 资源上运行。

参数:连接字符串:[未指定连接字符串],资源:,权限:。异常消息:尝试使用 Azure CLI 获取令牌。无法获取访问令牌。错误:获取令牌请求返回 http 错误:400 和服务器响应:{"error":"invalid_grant","error_description":"AADSTS65001: 用户或管理员未同意使用 ID 为 '04b07795-8ddb-461a- 的应用程序bbee-02f9e1bf7b46' 名为 'Web API 1'。为此用户和资源发送交互式授权请求。\r\n跟踪 ID: f5bb0d4d-6f92-4fdd-81b7-e82a78720a00\r\n相关 ID: 04f92114-8d9d-40c6-b292 -965168d6a919\r\n时间戳:2017-10-19 16:39:22Z","error_codes":[65001],"timestamp":"2017-10-19 16:39:22Z","trace_id":"

有趣的是,在 AAD1 或 AAD2 中都没有 ID 为“04b07795-8ddb-461a-bbee-02f9e1bf7b46”的应用程序。这是一个已知的 Azure 应用程序吗?我认为它可能是服务管理 API,但我不确定。

无论如何,我不确定授予许可的正确方法。我已经尝试在我的浏览器中构建像这样的不同内容 URL,但它们似乎都没有成功:

(最后一个告诉我回复 URL 不正确;因为它不是我的应用程序之一,所以我找不到回复 URL)

请注意,租户是 AAD1。

我错过了什么,还是我没有正确使用此功能?

提前致谢。

0 投票
1 回答
1475 浏览

azure-service-fabric - Service Fabric 群集的 MSI/托管服务标识)

查看称为MSI(托管服务标识)的新功能

是否可以在 VM 规模集中使用 MSI,或者在 Azure Service Fabric 群集中使用更好?我想使用资源管理器可能是可能的,但只是想听到一个确认的答案。

因为我想访问密钥库,所以能够从 Service Fabric 集群内运行的微服务内部使用 MSI 会非常好。

0 投票
2 回答
2044 浏览

azure - Azure Keyvault add Function MSI via ARM

I think Managed Service Identity is a great concept and I love keyvault. However:

When I use the script using an incremental resource group deployment:

Sample is modified for brevity

It deploys successfully and adds the MSI to keyvault, but --

It blows away the already assigned access policies. Is it possible for arm to preserve accessPolicies and only add/update policies that match?

Without this it's impossible to fully script a deployment with a MSI and also assign the principal to keyvault..

Am I missing something?

0 投票
4 回答
5850 浏览

azure - 如何在 Visual Studio 中使用 MSI 进行开发?

我需要在开发和调试期间访问我的 Key Vault。是否可以通过使用托管服务身份?我看到当应用程序部署在 VM 上时,我的代码可以获得此凭据,但是如果我在本地工作站上的开发过程中需要它们怎么办?

0 投票
1 回答
84 浏览

azure-keyvault - 对 VM 的 Azure MSI 支持(经典)

是否有计划在“经典”类型的 VM 上支持 MSI?我似乎找不到本指南屏幕截图中显示的“配置”选项卡?

https://docs.microsoft.com/en-us/azure/active-directory/msi-qs-configure-portal-windows-vm

0 投票
1 回答
610 浏览

azure-managed-identity - $resourceURI 应该是什么?

我们有一个配置了托管服务标识的 azure webapp。我们还有一个我们配置了一些秘密的密钥库。托管服务标识帐户被授予访问密钥库的权限。我基本上是在尝试验证 webapp 可以连接到 keyvault 并读取机密。我找到了下面的 powershell 示例,但我没有遵循$resourceURI应该是什么。那是网络应用程序吗?

0 投票
1 回答
1403 浏览

azure - 如何让启用 MSI 的功能应用程序访问 Key Vault?

我有一个启用了托管服务标识(MSI) 的函数应用程序。

我正在尝试使用此函数应用程序从我的 Key Vault 访问机密。

我已将代码添加到我的函数应用程序中以检索密钥。

我收到以下错误:

我认为这是因为我需要(如上面的链接中所述)。

您可能需要配置目标资源以允许从您的应用程序进行访问。例如,如果您向 Key Vault 请求令牌,则需要确保已添加包含应用程序身份的访问策略。

我不知道该怎么做。我去了我的 Key Vault 并尝试添加访问策略 - 我找不到选择原则选项的应用程序。


Azure 函数的设置。

在此处输入图像描述

当我尝试添加主体时会发生什么。

在此处输入图像描述

0 投票
1 回答
495 浏览

powershell - 如何使用 PowerShell 将服务主体分配给托管 VSTS 发布管道中的 AAD 组?

我有一个 VSTS 发布管道,它使用 Managed Service Identity 配置一个新的函数应用程序。我的解决方案包括我的应用程序机密的共享密钥库实例。Key Vault最多允许 16 个访问控制条目,因此我采取了为应用程序创建 Azure AD 组的方法,我将向其中添加应用程序服务主体。所有这些都可以在本地的 PowerShell 中直接使用,但我无法找到一种方法来使用 VSTS 发布管道中的托管构建服务器和在 Azure发布任务中运行 Powershell。

Azure CLI 在托管构建服务器上的版本为 1.X,在托管的 2017 构建服务器上为 2.x * 1.x 似乎不提供 AD 组操作或图形 API 访问 * 2.x 提供az ad group member add但托管2017 版本的New-AzureStorageTable 有问题,它在我的管道中的其他地方使用,所以我不能使用它

同样,托管构建服务器上的 Azure RM powershell 模块非常旧,似乎不支持组成员身份操作。Hosted 2017 服务器上的版本(我无法使用)具有类似Get-AzureRmADGroup但没有将用户添加到该组的命令。

AAD powershell 中提供的 cmdlet Add-AzureADGroupMember将是一个不错的解决方案,但它在HostedHosted 2017构建服务器上均不可用。

我已经考虑使用发布管道中可用的 OAuth 令牌将自动化运行手册和直接 HTTPS 发布到图形 API,但希望继续使用 PowerShell 以使我的发布管道中的技术数量尽可能少。我还希望避免以安全的方式存储凭据以在 PowerShell 命令中使用,例如Login-AzureRmAccount并依赖我为发布管道定义的服务端点的身份。

建议表示赞赏。

0 投票
2 回答
3391 浏览

azure-active-directory - 图形 API 的 MSI 权限

我的问题是,我们是否有任何记录在案的方法来授予 Graph API 的管理服务标识权限,就像我们在门户中使用 Azure 应用程序注册一样?我在 Azure 门户或文档中找不到任何 Powershell 选项或管理 MSI 服务主体权限的能力。我在 MSDN 论坛上发现了一个类似的问题,但想确保没有任何人知道的任何进一步的更新或解决方法?

MSDN 论坛帖子:https ://social.msdn.microsoft.com/Forums/azure/en-US/dae34534-f193-4444-b52e-ba9cfa4a1fda/does-azure-msi-support-accessing-graph-api?forum= WindowsAzureAD