问题标签 [service-principal]

有什么方法可以记录不在全局目录中的应用程序（服务主体）的 API 调用的 IP 地址？另外，我在 Graph API 中看不到任何信息。

我也尝试过：

• 直接在企业应用程序中记录
• 云应用安全
• 蔚蓝哨兵。

谢谢！

我一直在尝试通过 Terraform 管理 Azure Kubernetes 服务 (AKS) 实例。当我按照本 MS 教程通过 Azure CLI 创建 AKS 实例，然后按照本MS 教程安装具有静态公共 IP 的入口控制器时，一切正常。此方法隐式创建服务主体 (SP)。

当我通过 Terraform 创建 AKS 群集的其他完全相同的副本时，我被迫明确提供服务主体。我让这个新的 SP“贡献者”访问集群的整个资源组，但是，当我开始创建入口控制器的步骤时（使用上面教程 2 提供的相同命令：）helm install stable/nginx-ingress --set controller.replicaCount=2 --set controller.service.loadBalancerIP="XX.XX.XX.XX"，入口服务出现但它从来没有获得其公共 IP。IP 状态无限期地保持“<pending>”，我在任何日志中都找不到任何关于原因的信息。是否有日志可以告诉我为什么我的 IP 仍处于待处理状态？

同样，我相当肯定，除了 SP，Terraform AKS 集群与基于 MS 教程创建的集群完全相同。运行terraform plan发现两者之间没有区别。有谁知道我的 AKS SP 可能需要什么权限，或者我在这里可能缺少什么？奇怪的是，我找不到通过 Azure 门户分配给隐式创建的主体的任何权限，但我想不出任何其他可能导致这种行为的东西。

不确定这是否是红鲱鱼，但其他用户在针对第二个教程打开的问题的上下文中抱怨了类似的问题。他们的修复似乎总是“拆除你的集群并重试”，但在这种情况下这不是一个可接受的解决方案。我需要一个可重现的工作集群，而azurerm_kubernetes_cluster目前不允许使用隐式创建的 SP 构建 AKS 实例。

我正在编写一个 python 脚本来预配和配置 Azure 服务。我想在我的脚本中提供一个新的服务主体，但存在权限问题。如果我在终端中运行此命令（在 之后azure login），它将创建服务主体：

az ad sp create-for-rbac --name Testapp

我想实现相同的目标，但在我的 python 脚本中，我使用现有的服务主体进行资源配置。我正在拨打的电话如下：

参数是现有服务主体的凭据。OWNER如您在此处看到的，此服务主体已属于该订阅：

运行我的 python 脚本时，我可以正常登录（也可以使用这些凭据通过脚本提供一堆其他资源），但是在创建 SP 帐户时会出现权限错误，如您在此处看到的：

任何建议将不胜感激！

将 Azure 订阅从 Active Directory AD1 移至 Active Directory AD2。现在任务开始失败，因为以前的 ARM 端点（通过 Auto SPN）是使用旧端点详细信息创建的。因此，任务无法生成正确的访问令牌。

错误信息

附加问题

1. 如何找到我的 VSTS 支持的租户？我在哪里可以找到它？
2. 如何找到支持我的订阅的租户？我在哪里可以找到它？
3. 迁移到 AD2 后，是否可以重新使用之前创建的服务端点（使用 AD1）？
4. 迁移到 AD2 后，是否可以更新现有服务端点中的租户 ID（通过 REST API）？
5. 基于 MSI 的服务端点会被破坏还是在迁移到 AD2 后仍然可用？

我想从给定客户的应用程序列表中删除服务主体（Azure AD 应用程序），因此我在租户中查询服务主体列表： https ://graph.microsoft.com/beta/服务负责人

问题是我可以看到许多应用程序，但不是我们正在开发的应用程序。此应用程序不是通过 Azure 门户手动添加的，而是通过向客户显示的管理员同意对话框授予我们的应用程序访问 Azure AD 所请求的权限。

如果我从 Azure 门户复制对象 ID，我可以获取应用程序，或者使用图形 api 将其删除，但我无法通过应用程序列表获取它。

我们有一个 Azure Datalake Store，里面有很多目录和文件。现在，我们希望将这些文件的子集授予不断增长的服务主体列表。因为单独添加每个服务主体需要很长时间，所以我们希望使用不同/捆绑的方法。在 Azure 中执行此操作的最佳方法是什么？例如，使用组、角色或权限？

谢谢你的帮助！

我一直在使用 kubernetes（它是新手，所以我确定我犯了很多错误，或者不明白我做了什么）并使用了几个教程、博客等来安装当前环境。

我们的后端服务现在都在 kubernetes 集群中，使用 Azure 云存储库存储 docker 映像。

我遇到的问题如下。我要离开当前的项目，必须将我的工作转移给“新人”。当我执行“kubectl get pods”时，我得到了 kubernetes 环境中所有服务（docker 容器）的完整列表。

如果“新人”这样做（在他的计算机上），他会得到一个空列表，我的 pod 都不在那里。（或部署/服务）他能够访问我在集群中创建的所有存储库，但是他看不到我创建的任何 Pod。

问题是，如果我在他的计算机上登录 Azure，列表是空的，当他使用我的计算机登录 Azure 时，他看到的列表与我看到的相同。

因此，豆荚以某种方式受计算机约束？然而他们在云端运行......

他在整个环境中拥有与我相同的权利（我们都是 azure 帐户/订阅的所有者）。

我的猜测是这与我在计算机上的服务原则有关（或者至少我认为它在我的计算机上）？

有人能解释一下我的思路在哪里出错了吗？或者更好的是，告诉我如何在他的计算机上获得与我们在我的计算机上相同的列表？

提前致谢。

我试图找出使用 Azure PowerShell 创建应用程序注册的时间。Get-AzureAdApplicationcmdlet 没有用于检索此信息的属性。我可以使用该 cmdlet 最接近的是我可以找到该应用程序的证书或客户端密码的 StartDate。

门户中的应用程序注册刀片现在有一个非常新的设计，我可以在那里轻松地看到该信息。

但是，我在应用程序本身内看不到此信息（在其中的任何子类别上）

无论如何我可以从 PowerShell 中提取这些信息吗？命令行界面？

我一直在尝试开发一个 PowerShell 脚本，它允许我们将回复 url 添加到广告应用程序。该脚本运行良好，直到它到达需要更新应用程序的部分“Set-AzureADApplication”被调用。我不断收到权限不足错误。有谁知道我需要什么权限才能运行该应用程序？

我正在尝试使用 Python 以编程方式在 Azure AD 中注册服务主体。看起来我应该使用ServicePrincipalsOperations该类，但是文档没有清楚地概述参数所需的内容。似乎它期望来自其他类的数据azure.graphrbac，但文档不清楚。

我想我应该使用azure.graphrbac.GraphRbacManagementClient为 生成客户端参数ServicePrincipalsOperations，但这只是一个猜测。

同样，我怀疑我需要使用azure.graphrbac.models.ServicePrincipalCreateParametersconfig 参数。

有没有人使用 Python 成功注册了服务主体，可以更清楚地了解这些参数？

提前致谢！