问题标签 [azure-service-principal]

我有一个应用服务需要连接到 Azure Key Vault 以获取存储和 Cosmos DB 连接字符串。同一个应用程序还需要使用服务主体名称（带有客户端 ID 和机密）来直接连接到 SQL PaaS 实例（而不是通过 Azure Key Vault）。我可以为两者使用一个服务主体吗？

我想使用 Azure python SDK 查询服务原则过期数据时间。我已经有了“GlobalReader”权限的服务原则。我可以使用以下代码进行身份验证。

如何获取其他服务原则到期详细信息？喜欢az ad sp credential list --id "[ID]" --query "[].endDate" -o tsv。

更新 1

我想我需要研究azure-graphrbac模块。我从这个问题中看到，调试az ad sp crendential list，有方法graph_client.applications.list_password_credentials(app_object_id)，但不知道如何使用它

我正在尝试为我的 Azure 租户获取 appRoleAssignedTo，现在假设如果我在该租户下有 10 个应用程序，我将不得不通过为所有 10 个应用程序传递 servicePrincipal Id 来进行 10 次不同的调用。

GET /servicePrincipals/{id}/appRoleAssignedTo

有没有一种方法可以让我只使用一个 API 调用就可以在各自的 servicePrincipal 下获取所有 appRoleAssignedTo 。

或者，微软为 servicePrincipal 提供了一个增量调用，当 appRoleAssignedTo 发生变化时，有没有一种方法可以让我返回 servicePrincipal（基本上将 appRolesAssignedTo 连接到 servicePrincipal） PS 我尝试过使用 $select 和 $expand 进行此操作，但它不起作用.

https://docs.microsoft.com/en-us/graph/api/serviceprincipal-list-approleassignments?view=graph-rest-1.0&tabs=http

https://docs.microsoft.com/en-us/graph/api/serviceprincipal-delta?view=graph-rest-1.0&tabs=http

Microsoft Azure 中的角色分配和 appRoleAssignments 有什么区别？

https://docs.microsoft.com/en-us/azure/role-based-access-control/role-assignments-list-rest

https://docs.microsoft.com/en-us/graph/api/serviceprincipal-list-approleassignments?view=graph-rest-1.0&tabs=http

我们已经使用应用注册在 Azure 上注册了我们的应用程序。我知道应用程序注册不过是分配了一组权限的服务主体。

在 Azure 中，服务主体设置为一年后过期（最多 2 年或从不）。是否意味着我需要在服务主体到期之前手动续订 App 注册？

我有以下情况。

1. 拥有我工作场所的帐户和 Visual Studio Professional 订阅。
2. 我无法在我的组织租户中创建服务主体。这是被禁止的，我不会被授予这样做的特权。
3. 我自己创建了一个新租户，说“myowntenant”。创建了一个新应用程序，因此，我得到了一个名为“example-app”的服务主体
4. 然后，我转到 Visual Studio 订阅并授予服务主体（示例应用程序）贡献者对订阅的访问权限。

当我尝试使用“example-app”的 VS 订阅 ID、我自己的租户 ID、客户端 ID 和机密来使用我的 terraform 环境时，我收到未经授权的错误，说明访问令牌来自错误的颁发者。

看起来我对 Azure 订阅、租户和服务主体的理解不正确。有人可以告诉我为什么即使服务主体在订阅中具有贡献者访问权限，这也不起作用？

地形代码：

我使用 az login --service-principal 登录到 azure 并创建了一个资源组。如何找出表明资源组是由服务主体创建的审计跟踪？当我选择“审计日志”时，它提到我自己的用户 ID 已经创建了它。这怎么可能？为什么它报告我创建了它，而事实是我使用客户端 ID 和密码登录并创建了资源组？

我是 Azure 服务的新手，并寻求有关托管标识的帮助。我的任务是在我的逻辑应用程序和我的 Log Analytics 工作区之间创建托管连接。我创建了一个系统分配的身份并拥有相应的对象 ID。当我在我的逻辑应用中使用 Azure Logs Monitor 操作时，它会询问我是否应该通过登录或服务主体进行连接。 选择服务主体选项时 Azure Log Analytics 操作字段的图像。

下一步应该是什么，我应该在日志分析工作区中添加我的逻辑应用程序的对象 ID，然后上面的图像链接中的字段呢。

我正在尝试更新我的 AKS 群集的凭据，因为我已将其移至其他租户。我的 github 工作流自动推送到集群，但是因为我将它移到了新租户，所以我的 github 工作流给了我一个“ExpiredServicePrincipal”错误，现在工作时间更长了。

在做了一些研究之后，我发现了以下链接https://docs.microsoft.com/en-us/azure/aks/update-credentials#update-aks-cluster-with-new-service-principal-credentials它告诉我如何更新我的凭据，然后使用这些凭据更新 AKS 群集。

az aks update-credentials
--resource-group myResourceGroup
--name myAKSCluster
--reset-service-principal
--service-principal $SP_ID
--client-secret $SP_SECRET

遵循指南的这一步后，我收到一个错误，我似乎无法理解或在网上找到任何信息......

ValidationError：部署失败。相关 ID：###########。Code="OperationNotAllowed" Message="操作无法完成，因为它导致超出批准的标准DSv3Family Cores 配额。其他详细信息 - 部署模型：资源管理器，位置：CanadaCentral，当前限制：10，当前使用情况：8，额外需要：8 , （最低）要求的新限制：16. 在https://aka.ms/ProdportalCRP/?#create/Microsoft.Support/Parameters/%!B(MISSING)%!s(MISSING)ubId提交配额增加请求%!:(MISSING)%!c(MISSING)############%!,(MISSING)%!p(MISSING)esId%!:(MISSING)%!b(MISSING)# ###########%!,(MISSING)%!s(MISSING)upportTopicId%!:(MISSING)%!e(MISSING)############%7D通过指定“详细信息”部分中列出的参数以使部署成功。https://docs.microsoft.com/en-us/azure/azure-supportability/per-vm-quota-requests。”

https://docs.microsoft.com/en-us/azure/aks/kubernetes-action 我非常感谢任何帮助！非常感谢！

我为 Azure 自动化帐户创建了运行方式帐户。通过创建具有相同服务主体的新自动化连接，是否可以在不同的自动化帐户中使用相同的运行方式帐户？

我尝试在具有相同服务主体的不同自动化帐户中创建新的 自动化连接，但在运行手册中，我得到了

No certificate was found in the certificate store with thumbprint xxxxxxxxxxxxxxxxxxxx

错误。

任何想法？