问题标签 [azure-service-principal]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
spring-boot - 在 application.properties 中使用 AD 服务主体设置 Spring Data JPA
因此,根据 Azure 中的文档:
我们可以使用它来创建一个可以通过 AD 服务主体连接到 SQL Server 的数据源,并将其作为 bean 插入,我相信它是:
但我正在寻找的是 - 我们可以通过 YAML/application.properties 配置整个事情,以便使用 Data JPA 自动配置吗?如果没有,上述过程可以工作吗?
azure - 问:Azure 服务主体、api 到 api?
我对 azure 身份世界完全陌生,我才刚刚开始使用它们,我一直在阅读一些关于azure service principals的内容,看起来很酷,但现在我想知道是否有可能注册 3 个应用程序并使用服务主体与其他应用程序进行通信?所以有3个api(App1,App2,App3)
App1 可以使用服务主体进行身份验证,并使用它可以与 App2 和 App3 通信,因为 App1 对应用程序(App2 和 App3)都有“访问权限”,而 App2 和 App3 刚刚注册。
但是,如果以后有一个 App4,我可以轻松地分配访问权限以与 App2 进行通信
如果我误解了服务主体的真正用法或者我的方法不正确,请告诉我,欢迎任何反馈
对于上述场景,我不需要/不希望用户登录和授权任何应用程序。这种方法完全基于 API
azure - 如何查看服务主体具有贡献者访问权限的 azure 订阅列表?
我有一个 SPN/AppRegistration,它可以访问订阅 1、2。
外部服务将使用此 SPN 来访问订阅 1、2 以部署资源。
此外部服务如何列出 SPN 具有贡献者访问权限的所有订阅?
azure - Azure AD - 应用程序注册 - clientId/secret 与多租户应用程序?
说我有一个App1
in Tenant1
。这具有对同一租户1 中App1
订阅的贡献者访问权限。SUB_1
有一个App1_ClientId
和App1_ClientSecret
App1 相关联。
现在,我可以使用这个 id 和 secret 登录到该租户并SUB_1
使用 URL 进行操作:
现在,如果此应用程序是单租户应用程序或多租户应用程序,它有什么区别?使用此 ID/Secret,我可以从任何地方的任何服务访问此应用程序的登录名。
另外,“将用户添加到此应用程序”是什么意思?假设我将用户添加到此应用程序,是否意味着该用户也可以访问 Tenant1 中的订阅?
azure - 如何使用 MSI 从另一个租户中的服务访问资源?
我有一个在租户 A 中运行的天蓝色资源。我在租户 B 中有一项服务,需要访问租户 A 中的资源。
除了使用原始用户名/密码或 accesskey 之外,我还有什么选择来实现这一点?在tenantA 中注册多租户应用程序是一种选择吗?如何设置?
azure - AKS 的 Velero 安装问题 - “获取备份存储时出错”
我在 AKS 中安装 Velero。
脚步-
Velero(版本 1.6.1)下载并解压缩,然后将其移动到 /usr/local/bin/
我创建了具有贡献者角色的服务原则。
我的凭证-velero 文件-
我用来安装 velero 的命令 -
注意 - 我的 RG 对于 AKS 群集和备份存储帐户是相同的。
错误-
备份位置的阶段显示“未知”-
部署日志 -
time="2021-07-15T15:59:56Z" level=error msg="获取此位置的备份存储时出错"backupLocation=default controller=backup-sync error="rpc error: code = Unknown desc = azure.BearerAuthorizer# WithAuthorization:未能刷新令牌以请求 https://management.azure.com/subscriptions/xxxx-xxxxxx-xxxxx-xxxxx%5D/resourceGroups/myRG/providers/Microso ft.Storage/storageAccounts/storagename%5B/ listKeys?%24expand=kerb&api-version=2019-06-01: StatusCode=401 -- 原始错误:adal:刷新请求失败。状态代码 = '401'。响应正文:{"error":"invalid_client"," error_description":"AADSTS1080615: 提供了无效的客户端密码。\r\n跟踪 ID: xxxx-xxxx-xxxxx-xxxxx\r\n相关 ID: xxxx-xxxx-xxxxxx-xxxx\r
\n时间戳:2021-07-15 15:59:56Z","error_codes":[7000215],"timestamp":"2021-07-15 15:59:56Z","trace_id":"xxxx-xxxx-xxxxx -xxxx ","correlation_id":"xxx-xxxx-xxxx-xxxx-xxx","error_uri":"https://login.microsoftonline.com/error?code=7000215"}" error.file="/ go/src/velero-plugin-for-microsoft-azure/velero-plugin-for-microsoft-azure/object_store.go:217" error.funct ion=main.getStorageAccountKey logSource="pkg/controller/backup_sync_controller.go:175 "
任何人都可以帮助我了解我在设置中缺少什么。
azure-active-directory - aad 应用程序密码和服务主体密码之间的区别
创建 AAD 应用程序时,我们能够为应用程序创建客户端密码。因此,我了解客户端机密是针对应用程序的。作为对比,我们还可以为同一个应用程序创建许多服务主体。并且每个服务主体都可以使用自己的密码az ad sp create-for-rbac --name ServicePrincipalName
。但我没有找到在 Azure 门户上创建此类服务主体密码的方法。所以我想知道这两种凭证是否指的是同一件事。
azure - Azure 服务主体在 Terraform 中使用时获得“Authorization_RequestDenied”
我有一个服务主体,它在运行我的 Terraform 脚本时使用,它适用于我需要做的 99% 的事情。但是,然后我需要使用 terraform 运行以下脚本来更新应用程序注册上的属性 - 因为这是可以完成的唯一方法(此处供参考 - https://github.com/hashicorp/terraform-provider-azuread /问题/188)。
Az 登录部分似乎运行成功,但随后 PATCH 调用总是会导致以下错误 -
我想有一个权限可以添加到服务主体的关联应用程序注册中,但我找不到合适的权限。这是我目前拥有的(有些是需要的,有些是在黑暗中刺伤)
谁能想到解决这个问题的方法?