问题标签 [azure-rbac]

我正在尝试为单个资源中的用户/组创建多个 RBAC 角色。我能够将单个组或用户添加到资源，但无法提供多个用户（一个具有所有者权限，另一个组/用户具有贡献者权限）在同一资源上。我开始知道“名称”应该不同，但是当我提供不同的名称时，它会显示“无法找到资源。

我已将 principalid 和 rolegroup 声明为数组。我正在尝试创建 Azure 分析服务。下面是代码。我通过运行以下代码得到的错误是“部署模板验证失败：'资源 Microsoft.AnalysisServices/servers/aascmigqa/providers/Microsoft.Authorization/roleAssignments/40ba7757-1e75-5eb7-b6ca-ea5a9ca77ce3' 在第 1 行' 并且列 '2237' 在模板中定义了多次。有关使用详细信息，请参阅https://aka.ms/arm-template/#resources。'。

这是语法错误还是不可能的事情。
提前致谢！

我有一个 Gen2 存储帐户并创建了一个容器。

文件夹结构看起来像这样

我只想给read only access用户normal-data和NOT sensitive-data

这可以通过在文件夹级别设置 ACL并授予对安全服务原则的访问权限来实现。

但是这种方法的局限性是用户只能访问在设置 ACL 后加载到目录中的文件，因此无法访问目录中已经存在的文件。

因为这个限制，不能给新用户完全读取权限（除非新用户使用相同的服务原则，这在我的用例中不是理想的场景）

请建议 ADLS Gen2 中的只读访问方法，其中

1. 如果文件夹下已经存在文件并且新用户已加入，他应该能够读取文件夹下的所有文件
2. 新用户应该只能访问normal-data文件夹而不是sensitive-data

PS：有一个用于递归分配 ACL 的脚本。但是由于我每天都会在normal-data文件夹下获得近百万条记录，因此使用递归 ACL 脚本对我来说是不可行的

我有以下情况。
我的应用程序注册定义了一组应用程序角色
我通过 ARM 模板动态部署具有系统分配托管标识的规模集
在部署期间，我想将该标识分配给上面定义的特定应用程序角色之一

我使用以下资源更新我的部署模板

但是部署失败，出现以下异常

我的假设是应用程序角色定义 ID 的格式不正确，但我在 ARM 模板中找不到任何此类应用程序分配的示例。

这甚至可能吗？

有这个 Azure 函数需要调用Azure REST API。

并且该函数应该具有尽可能少的权限。我有一个自定义角色（从订阅级别的贡献者克隆），分配给订阅级别的功能。JSON如下：

它似乎工作的唯一一点是如果actions设置为*. 否则它会抛出403 (Forbidden)。我努力了：

确定自定义角色允许哪些操作以使 REST 操作正常工作的方法是什么？

我有一个自定义角色，据我所知没有分配。但我无法删除它。检查下面的屏幕截图。

错误说There are existing role assignments referencing role. The role assingments must be deleted before the role can be deleted.

这是订阅级别的 IAM 控件。它显示底部有 0 个作业。

有谁知道为什么我不能删除它？有没有办法查看该角色是否真的有一些受让人？

欢迎任何帮助。

我正在尝试通过 Azure Active Directory 对我的 .Net 核心应用程序执行身份验证和授权。到目前为止，我已经成功地做到了，

• 使用 OIDC 进行身份验证
• 通过 Graph API 进行身份验证
• 应用组和角色策略

上面的实现满足了我一半的期望。分配角色后，我想在每个角色下拥有自定义权限，但我坚持使用该设置。我了解使用自定义声明，我可以为用户设置我的应用程序实体权限。即类别声明，它存储该特定用户的可访问类别。

问题：

• 我在正确的方向吗？
• 如果是，我相信我们不能通过 Graph API 动态设置其他用户声明。另一种解决方案是什么？
• 如果不是，有什么替代方案？

摘要 - 我不想在我的数据库中存储任何身份验证或授权信息。因此，我想利用 Azure AD 来做同样的事情。

我正在尝试从安全角度缩小监控数据的最佳角色。我的需求略有不同，所以我不想使用安全读者角色（主要是因为安全读者只能访问安全中心项目和基本资源和资源组查询）。因此，在阅读更多内容后，我偶然发现了监控读者角色和只是读者角色。我通过了 JSON 中提到的权限。但是我不确定 JSON 中是否涵盖了所有差异。

例如，当我们谈论“监控阅读器”时

权限基本相同，希望我可以查询日志。与 Reader 角色相比

现在从逻辑的角度来看，如果两个用户都能够执行*/readReader 角色是否自动有资格查询日志？如果不是，它有什么不同？还有哪个角色在访问可读数据方面更胜一筹？

参考：https ://docs.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#reader

PS：我确实知道自定义角色，但想更好地了解内置角色。

下面的 ARM 模板应该创建以下资源：

目前，部署因错误而失败，"error": { "code": "ResourceGroupNotFound", "message": "Resource group 'rg-myproject-deploy' could not be found." }显然是因为角色分配步骤似乎没有遵守dependsOn应该强制它只应在创建资源组后发生的语句。有没有办法在一个 ARM 模板中部署所有这些资源？

我们希望强制所有 Azure 访问分配通过我们的管理组而不是订阅级别。基本上，我们不希望能够为每个订阅分配访问权限，并且希望阻止该功能。这样，我们被迫改为在管理组级别授予访问权限。

有没有办法做到这一点，也许通过某种方式的政策？

感谢您的帮助！

背景

我通过 Azure Web Apps for Containers 在 Docker 中部署了一个 .NET Core 3.1 网站。

该应用程序仅在我的组织的 Azure AD 中注册，并且必须添加用户才能获得访问权限。

该网站现在可以正常运行一段时间了，可以进行基于个人的访问。该应用程序使用默认访问。如果有人完全可以访问该站点，那么他们就可以访问该站点内的所有内容。

我们的 Azure AD 租户是高级 P2 租户。

目标

我想使用安全组访问应用程序，而不是向 Azure AD 中的应用程序添加个人。

问题

• 我前往我组织的 Azure AD 中的应用注册
• 我选择Users and Groups菜单
• 我添加了包含我希望授权的个人的组，以及Default Access角色（唯一可用的角色）
• 我删除了个人（都是组的成员，这是我们首选的访问管理）

预期行为

用户仍然可以访问该站点，因为该组已获得授权并且他们是该组的成员。

实际行为

除非我也将他们添加为个人，否则用户将被拒绝访问。

在日志中，我看到以下内容：

消息包含错误：“access_denied”，error_description：“AADSTS50105：登录用户“{EmailHidden}”未分配给应用程序“ {Redacted GUID}”( Redacted App Name) 的角色。

但是，在这种情况下，所有个人都是已注册组的一部分，并且该组具有与Default Access个人被授予相同的角色。

我尝试过的事情：

• 我已经更新了应用程序的清单，groupMembershipClaims以SecurityGroup根据K. Scott Allen (RIP) 的这篇文章进行设置

问题

如何从 Azure AD 企业应用程序中的个人用户访问转移到基于组的访问？

更新：验证码

根据请求，提供我用来设置身份验证的代码。

IIRC，这只是 Azure 的开箱即用 .NET Core 设置。在Startup.cs

配置AzureAd部分如下所示：