问题标签 [azure-service-principal]

因此，根据 Azure 中的文档：

我们可以使用它来创建一个可以通过 AD 服务主体连接到 SQL Server 的数据源，并将其作为 bean 插入，我相信它是：

但我正在寻找的是 - 我们可以通过 YAML/application.properties 配置整个事情，以便使用 Data JPA 自动配置吗？如果没有，上述过程可以工作吗？

我对 azure 身份世界完全陌生，我才刚刚开始使用它们，我一直在阅读一些关于azure service principals的内容，看起来很酷，但现在我想知道是否有可能注册 3 个应用程序并使用服务主体与其他应用程序进行通信？所以有3个api（App1，App2，App3）

App1 可以使用服务主体进行身份验证，并使用它可以与 App2 和 App3 通信，因为 App1 对应用程序（App2 和 App3）都有“访问权限”，而 App2 和 App3 刚刚注册。

但是，如果以后有一个 App4，我可以轻松地分配访问权限以与 App2 进行通信

如果我误解了服务主体的真正用法或者我的方法不正确，请告诉我，欢迎任何反馈

对于上述场景，我不需要/不希望用户登录和授权任何应用程序。这种方法完全基于 API

通常，当我在 Azure 中创建一个 Kubernetes 集群时，它会生成一个(new) default service principle.

目前，当我尝试创建集群时，我被要求输入一个Service principal client ID 和Service principal client secret？

我怎样才能回到默认生成（图像之前）？

目前：

前：

我有一个 SPN/AppRegistration，它可以访问订阅 1、2。

外部服务将使用此 SPN 来访问订阅 1、2 以部署资源。

此外部服务如何列出 SPN 具有贡献者访问权限的所有订阅？

说我有一个App1in Tenant1。这具有对同一租户1 中App1订阅的贡献者访问权限。SUB_1有一个App1_ClientId和App1_ClientSecretApp1 相关联。

现在，我可以使用这个 id 和 secret 登录到该租户并SUB_1使用 URL 进行操作：

现在，如果此应用程序是单租户应用程序或多租户应用程序，它有什么区别？使用此 ID/Secret，我可以从任何地方的任何服务访问此应用程序的登录名。

另外，“将用户添加到此应用程序”是什么意思？假设我将用户添加到此应用程序，是否意味着该用户也可以访问 Tenant1 中的订阅？

我有一个在租户 A 中运行的天蓝色资源。我在租户 B 中有一项服务，需要访问租户 A 中的资源。

除了使用原始用户名/密码或 accesskey 之外，我还有什么选择来实现这一点？在tenantA 中注册多租户应用程序是一种选择吗？如何设置？

我对数据工程相当陌生，并且正在解决 AAS 多维数据集刷新问题，我们正在尝试使用服务原则通过逻辑应用程序刷新多维数据集。我一直收到附加的错误。

将不胜感激任何帮助。

我在 AKS 中安装 Velero。

脚步-

Velero（版本 1.6.1）下载并解压缩，然后将其移动到 /usr/local/bin/

我创建了具有贡献者角色的服务原则。

我的凭证-velero 文件-

我用来安装 velero 的命令 -

注意 - 我的 RG 对于 AKS 群集和备份存储帐户是相同的。

错误-

备份位置的阶段显示“未知”-

部署日志 -

time="2021-07-15T15:59:56Z" level=error msg="获取此位置的备份存储时出错"backupLocation=default controller=backup-sync error="rpc error: code = Unknown desc = azure.BearerAuthorizer# WithAuthorization：未能刷新令牌以请求 https://management.azure.com/subscriptions/xxxx-xxxxxx-xxxxx-xxxxx%5D/resourceGroups/myRG/providers/Microso ft.Storage/storageAccounts/storagename%5B/ listKeys?%24expand=kerb&api-version=2019-06-01: StatusCode=401 -- 原始错误：adal：刷新请求失败。状态代码 = '401'。响应正文：{"error":"invalid_client"," error_description":"AADSTS1080615: 提供了无效的客户端密码。\r\n跟踪 ID: xxxx-xxxx-xxxxx-xxxxx\r\n相关 ID: xxxx-xxxx-xxxxxx-xxxx\r
\n时间戳：2021-07-15 15:59:56Z","error_codes":[7000215],"timestamp":"2021-07-15 15:59:56Z","trace_id":"xxxx-xxxx-xxxxx -xxxx ","correlation_id":"xxx-xxxx-xxxx-xxxx-xxx","error_uri":"https://login.microsoftonline.com/error?code=7000215"}" error.file="/ go/src/velero-plugin-for-microsoft-azure/velero-plugin-for-microsoft-azure/object_store.go:217" error.funct ion=main.getStorageAccountKey logSource="pkg/controller/backup_sync_controller.go:175 "

任何人都可以帮助我了解我在设置中缺少什么。

创建 AAD 应用程序时，我们能够为应用程序创建客户端密码。因此，我了解客户端机密是针对应用程序的。作为对比，我们还可以为同一个应用程序创建许多服务主体。并且每个服务主体都可以使用自己的密码az ad sp create-for-rbac --name ServicePrincipalName。但我没有找到在 Azure 门户上创建此类服务主体密码的方法。所以我想知道这两种凭证是否指的是同一件事。

我有一个服务主体，它在运行我的 Terraform 脚本时使用，它适用于我需要做的 99% 的事情。但是，然后我需要使用 terraform 运行以下脚本来更新应用程序注册上的属性 - 因为这是可以完成的唯一方法（此处供参考 - https://github.com/hashicorp/terraform-provider-azuread /问题/188）。

Az 登录部分似乎运行成功，但随后 PATCH 调用总是会导致以下错误 -

我想有一个权限可以添加到服务主体的关联应用程序注册中，但我找不到合适的权限。这是我目前拥有的（有些是需要的，有些是在黑暗中刺伤）

谁能想到解决这个问题的方法？