问题标签 [azure-managed-identity]

是否可以从命令行或 Visual Studio Code 使用托管服务标识？
我已经看到Visual Studio 有一个扩展。VS Code 或 Azure 外部可访问的 MSI 端点是否有类似的东西？

如果不是，模拟/绕过 MSI 身份验证的正确方法是什么？

比你提前！

编辑：我正在使用 nodejs 并尝试让 Keyvault 与 MSI 一起使用，遵循此示例。

我正在尝试查找有关如何在函数应用绑定中设置连接字符串的信息，以便应用使用托管标识访问事件中心和其他资源。通过获取文档中描述的访问令牌，我可以在其他应用程序中使用托管标识。

这在为资源绑定上的连接设置采用配置变量名称的函数应用程序中如何工作？

这是在某处记录的吗？

当我们将服务主体证书/appKey 存储在 VM 中（以访问密钥库）时，我们可以将对该文件的访问限制为仅运行该程序的用户帐户。其他用户或帐户将无权访问 keyvault 中的机密。

当我们使用 Azure 托管服务标识从 IaaS VM 访问 keyvault 时，我的理解是任何登录到 VM 的用户或机器上运行的任何程序都可以访问 keyvault 机密 - 这是真的吗？

如果是这样，如果其中一个用户帐户遭到破坏，这是否会降低安全性？

我正在尝试让 Azure App Service 应用程序利用托管服务标识 (MSI) 并连接到 Azure SQL 数据库，但 .NET Framework 4.7 应用程序在启动时失败并出现以下错误：

我添加了 Microsoft.Azure.Services.AppAuthentication 和 Microsoft.IdentityModel.Clients.ActiveDirectory nuget 包。

我在门户中为应用服务启用了系统分配的身份。

我将一个 Active Directory 用户组设置为 Azure SQL 服务器的 Active Directory 管理员。

我在数据库上执行了 CREATE USER "[user here]" FROM EXTERNAL PROVIDER 命令。我可能忘记添加/修改数据库用户 (MSI) 的角色。但是，如果是这种情况，我不会期望出现这种错误。

应用程序的 DbContext 有两个构造函数，其中之一如下：

请注意，有两个 Database.SetInitializer() 调用，一个带有 null 参数，另一个带有 MigrateDatabaseToLatestVersion 参数并被注释掉。应用程序在使用前一个选项时运行。如果我注释掉前者并取消注释后者，则会在应用程序启动时引发异常。

为什么异常描述包含一个空 ('') 用户？我怀疑实体框架 (EF) 迁移与数据库上 MSI 的身份验证冲突。我遇到了与我的问题相关的少数搜索引擎结果之一，但答案不充分：

https://github.com/MicrosoftDocs/azure-docs/issues/13801 我想继续使用我的团队过去一直使用的数据库迁移。即使数据库已经存在，问题似乎也会发生。

任何帮助将不胜感激。谢谢！

我有一个具有系统分配的托管服务标识的 VM。我允许它从 Azure 容器注册表中提取图像。我跟着这个教程。

我昨天工作得很好。但是当要拉新图像时，它说要重新验证。这就是失败的地方。当我执行以下任一操作时，我收到错误，指出令牌获取失败。

难道我做错了什么？

az 登录 -- 身份

az acr login --name MYREGISTRY

我试图通过 run.ps1 脚本设置 MSI_ENDPOINT 和 MSI_SECRET 来弄清楚我们可以在 v1 中做什么。函数将使用服务分配的身份访问许多其他服务。有没有办法设置它，以便我的本地开发环境也可以运行相同的脚本？

当我尝试在本地调试时，函数失败并出现以下错误

执行'Functions.stat-based-monitor'（失败，Id = 5611b477-976a-47e0-bb87-db06571eb3b7）System.Private.CoreLib：执行功能时出现异常：Functions.stat-based-monitor。System.Private.CoreLib: 结果: 失败异常: ConnectionError: HTTPConnectionPool(host='...', port=80): Max retries exceeded with url: /metadata/identity/oauth2/token?resource=https%3A%2F %2Fmanagement.core.windows.net%2F&api-version=2018-02-01（由NewConnectionError引起（'：无法建立新连接：[WinError 10051]尝试对无法访问的网络进行套接字操作'，））

有趣的是，如果我在 azure vm 而不是我的本地开发盒上运行这些行，它会按预期运行。msiauth 是否需要 Azure VM？

我正在尝试获取特定用户定义身份的 msi 令牌。我们的应用服务有 2 个用户定义的身份，我想要一个代表用户分配身份的令牌。

这是代码：

它部署在 azure app 服务中。当我点击此部分时，我看到此错误：尝试以访问权限禁止的方式访问套接字

我尝试连接到http://169.254.169.254以使用 kudu 控制台获取令牌。但是这个端点似乎在那里无法访问。

我确实尝试使用 Microsoft.Azure.Services.AppAuthentication 中的 AzureServiceTokenProvider 来生成 msi 令牌，但找不到任何有关如何将其用于多个用户分配的身份的文档。

编辑：

更新1：

我尝试使用 MSI_ENDPOINT 环境变量中的端点而不是 169.254.169.254。但是当我运行应用服务时，似乎没有设置 MSI_ENDPOINT 值。这是我尝试过的代码：

是否有一个如何使用 c# 使用用户管理身份验证天蓝色资源的示例？我正在使用以下代码使用系统管理的身份进行身份验证，它工作正常。但不确定如何在以下示例中传递用户管理的身份资源。

我正在使用以下代码在我的 Web 应用程序上测试系统托管标识，当我在 Azure 中部署时它工作正常，但是有没有办法在本地进行测试（不授予我的 Azure 帐户对资源的权限？）？

我在一个规模集中有一个 VM，它附加了一个用户分配的 MSI。此 MSI 具有对特定密钥保管库的读取访问权限，在其访问策略选项卡中设置。

我需要从 VM 中访问密钥保管库。azCLI 安装在 VM 上。尝试登录时出现以下错误：

当我以交互方式登录并在https://microsoft.com/deviceloginaz login输入显示的代码时，它工作得很好......

然而，使用 MSI 的目的是让它在没有交互的情况下工作......

其他人有这个问题吗？