问题标签 [azure-service-principal]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 从 Azure 管道任务访问 Microsoft.Azure.WebSites 资源提供程序(Microsoft Azure 应用服务)的服务主体
我想创建一个存储 TLS 证书的密钥库。此密钥保管库需要可从 Azure 管道任务访问,这将检索所述证书并将其绑定到他们的应用程序。微软提到:
默认情况下,“Microsoft.Azure.WebSites”资源提供程序 (RP) 无权访问模板中指定的 Key Vault,因此您需要在部署模板之前通过执行以下 PowerShell 命令对其进行授权:
当我手动执行此操作时,这适用于我的密钥保管库。但是,我想将此作为我的主管道的一部分自动化。我试过定义这个任务:
但它失败了:
我还注意到“Microsoft Azure App Service”的这个服务主体甚至不适用于我的任务;以下打印一个空白:
有没有办法让我的管道可以访问这个服务主体?
azure - 服务原则分配给谁?ACR 还是 App 服务?
我有一个 azure 应用程序服务,它从 azure ACR 中提取图像并启动图像以运行应用程序。
我想要应用服务通过服务原则从 ACR 中提取图像的操作。我的问题是我应该将服务主体分配给哪个资源?ACR 还是 Web 服务?
azure-active-directory - 多租户 API - 管理员同意错误 https://login.microsoftonline.com/organizations/v2.0/adminconsent AADSTS90009
使用以下端点作为租户 B 上的管理员,我想注册另一个租户 A 中定义的多租户 API 应用程序:
我收到此错误:
AADSTS90009 应用程序正在为自己请求令牌。仅当使用基于 GUID 的应用标识符指定资源时才支持此方案
我正在使用来自 TenantA 的基于 GUID 的应用程序标识符。我得到登录页面,登录后,我立即被重定向到 redirect_uri 并出现上述错误。
发布 OAuth 2.0 和 Azure Active Directory - 错误 AADSTS90009 使用不同的端点并提到使用我已经在使用的 GUID
azure-active-directory - 将 claimMappingPolicy 分配给 servicePrincipal 给出错误?
我已经按照下面的 stackoverflow 链接(Allen Wu 提供的答案) 当范围不是 Azure AD 中的 Graph API 时,如何添加自定义声明并检索其作为 access_token 的一部分?
在访问令牌中添加自定义声明。但是当我尝试时遇到错误
将 claimMappingPolicy 分配给 servicePrincipal。
我已经打开了 microsoft graph 并像这样执行了一个 POST 调用-
与请求正文
但我得到一个带有以下响应预览的 409 响应代码:
azure-active-directory - 如何通过 Azure Identity Java SDK 刷新 TokenCredential / ClientSecretCredential 提供的访问令牌?
我正在尝试使用Azure Identity Java SDK获取访问令牌,然后使用刷新令牌刷新它。
我使用以下 SDK:
Java代码片段:
在代码片段中,令牌的有效期为 1 小时,如预期的那样,请参阅Link。
ClientSecretCredential实现了TokenCredential接口,该接口描述了刷新访问令牌必须单独实现。
我在 Microsoft 文档(或其他资源)上找不到任何描述如何使用 Java SDK 刷新令牌的示例。
刷新访问令牌的正确方法是什么?
azure - Azure ML 服务主体密码
我们想使用 Azure ML 中的服务主体来访问此处描述的工作区,并且想知道如何保存 SP 密码。它正确地说不要将它存储在 juypter 源中,而是使用它os.environ['AML_PRINCIPAL_PASS']。但是我如何以一种在重启计算实例等后仍然存在的方式将它放入环境中呢?
工作区中有一个 Keyvault,但我需要先对 SP 进行身份验证,然后才能访问工作区和 keyvault。
kubernetes - az aks update-credentials - 如何忽略未找到资源错误
当尝试AKS使用命令使用新的服务主体凭据更新集群时az aks update-credentials,它被阻止并出现有关未找到资源(Microsoft.OperationalInsights资源)的错误。
有没有办法在忽略此类资源未找到错误的情况下运行此命令?
谢谢
azure-service-principal - 在 Azure 中我们可以创建一个可以访问多个订阅的服务主体连接吗
所以我有一个身份(azure AD 电子邮件 ID),可以访问 azure 门户中的多个订阅。当我使用该身份创建服务主体时,它仅将其绑定到 1 个订阅,并且我无法使用该服务主体访问其他订阅中的资源。我是否必须为每个订阅创建一个服务主体?我在 devops 管道中使用此服务主体。我想跨多个订阅访问资源。但是因为这个服务主体只与 1 个订阅相关联,所以我不能这样做。我应该为每个订阅创建一个服务主体吗?我不想那样做。这个问题还有其他解决方案吗?
azure - Azure DevOps - 服务原则不起作用
我有一个 Azure DevOps 并尝试使用服务原则连接到 Azure Key Vault。
我在 Azure KeyVault 的访问策略中添加了服务原则,其 Secret 权限为“获取 & 列出”
但是当我为变量组添加一个库时,我收到了这个我已经完成的错误消息。
不确定我是否缺少任何设置。
azure - 在 Azure DevOps 管道中,如何使用 addSpnToEnvironment 参数返回的服务原则详细信息登录 AZ CLI?
我基本上必须运行一个 Python 脚本,该脚本将 AZ CLI 命令烘焙到脚本中,并从subprocess模块中作为进程生成。为了运行这些命令,我需要登录到 AZ CLI。
我的管道中有一个 AZ CLI 任务,它的设置addSpnToEnvironment = true 为我提供了$env:servicePrincipalId,$env:servicePrincipalKey和$env:tenantId. 我的问题是,我现在如何使用这些详细信息登录到 AZ CLI,以便在任务中维护上下文,并且我的 Python 脚本中的 AZ CLI 命令可以识别并执行?