问题标签 [service-principal]

我有一个项目，其资源跨越 3 个资源组。我想创建一个范围为所有这些资源组的服务连接，以便我可以通过该服务连接在一个地方管理访问。目前，我创建了 3 个服务连接，范围为每个资源组。我不想将其限定为订阅，因为还有其他团队在处理该订阅中的项目。它会给我将来的维护和审计问题。

如果我创建一个服务主体并将其分配给 3 个资源组，然后将此服务主体附加到服务连接，那么它会是一个好的设计吗？

有没有更好的方法来实现这一目标？

我们在 ADF 中配置 MapReduce 活动时遇到问题。

如果我们使用带有服务主体的链接服务作为身份验证方法，则会导致以下问题：Activity Selector failed: The storage connection string is invalid.

1. Linked Service 的测试连接成功。
2. MapReduce 活动允许浏览存储。
3. 服务主体在存储帐户的资源组中分配了足够的权限：“存储 Blob 数据所有者”

当使用帐户密钥配置链接服务时 - 一切正常。

我正在尝试使用以下 PowerShell 命令更新现有的 Azure AD 应用程序：

这失败并出现以下错误：

应用程序上的标识符 URI 是“ https://name-of-sp.verifieddnsdomainname.com ”。主页 URL 属性（在清单中称为“signInUrl”属性）与标识符 URI 相同。当我将这些 URL 更改为其他内容时（我尝试了很多选项），我仍然不断收到相同的错误。

使用“Set-AzureADApplication”，我还尝试了 -Debug 标志，但它没有显示底层 REST 调用。即使提供“-IdentifierUris”和“-Homepage”参数，我也会收到相同的错误消息。

此外，当我使用 REST API“ https://graph.windows.net/myorganization/applications/guid-of-application-object-id?api-version=1.6 ”时，我会收到相同的错误消息。

有谁知道我为什么会收到这个错误？在我看来，为 URI 提供的值应该是正确的。

大家好，我尝试在我的 CI 中创建一个 AKS，但我很难获得所需的权限。

我正在使用服务主体登录，创建一个资源组，然后我尝试创建一个 aks。

但是执行会抛出一个错误：

错误：当前用户需要目录权限才能注册应用程序。有关如何配置，请参阅' https://docs.microsoft.com/azure/azure-resource-manager/resource-group-create-service-principal-portal '。原始错误：权限不足，无法完成操作。

任何想法什么特权是必要的？似乎应该有一个目录权限......但我真的无法找到并分配它。

我有一个与 Azure AD 中的服务主体关联的证书。如何使用 powershell 获取与其关联的证书名称或指纹？

我已经尝试过Get-AzureRmADServicePrincipalCredential,Get-AzureRmADSpCredential和Get-AzureADServicePrincipalKeyCredential命令，但它们返回Key Identifier的不是指纹。

基本上我想在撤销它之前识别哪个证书与委托人相关联。

我正在尝试使用门户使用 Azure DataBricks 启动集群，但我收到一个问题，提示“提供的子网没有与之关联的安全组”。但我想使用服务主体连接它。

请帮忙！！

在 Azure（单个 AD 租户）中创建 SPN 效果很好，但是，由于某些合规性原因，组织表示我们必须使用本地 AD 创建每个用户（包括服务用户），然后通过 AD 同步连接到 Azure AD 租户。这对所有用户 (UPN) 都非常有效，但我们可以在本地同步这些对象 (SPN) -> Azure。我知道在本地 AD 上创建一个用于 Azure 的 SPN 听起来有点奇怪，等待一些时间并完成工作，但最后都是关于同步对象。任何帮助，将不胜感激。谢谢，斯坦

我正在执行一个 ARM 模板，该模板从 Azure 资源组部署任务创建 Azure Kubernetes 服务和其他资源。

我的 ARM 模板有一个参数servicePrincipalClientId和servicePrincipalClientSecret敏感数据，用于创建 Azure Kubernetes 集群，就在这里。（这个链接是我完整的ARM模板）

所以，我正在做的事情如下：

• 我创建了servicePrincipalClientIdandservicePrincipalClientSecret作为管道变量

• 我之前创建了服务主体及其数据servicePrincipalClientId，servicePrincipalClientSecret我使用它们来创建服务连接，以便以这种方式连接到 Azure 云：

• 我有一个 PowerShell 任务以这种方式将servicePrincipalClientId和servicePrincipalClientSecret变量值转换为安全字符串：

• 为了部署 ARM 模板中定义的资源，我创建了一个 Azure 资源组部署任务，其中包含以下选项：

• 我正在使用创建的服务连接与我的订阅进行交互。

• 要执行的操作：创建或更新资源组

• Template，上面引用的 ARM 模板路径。

• 覆盖模板参数 我在这里包含了所有 ARM 模板参数值，我想在这里强调我如何引用 servicePrincipalClientId和servicePrincipalClientSecret变量值的方式：

在我的第一个 azure devops 任务中，我在这里引用了我用来转换secretServicePrincipalClientId和变量值作为安全字符串的变量和变量secretServicePrincipalClientSecretservicePrincipalClientIdservicePrincipalClientSecret

所以，当我执行发布管道时，我在 Azure 资源组部署任务中得到了这个错误

看起来我用来连接到 Azure 云的服务主体不存在，但事实并非如此。该服务主体存在。

如果我直接在任务中的纯文本中包含servicePrincipalClientId和servicePrincipalClientSecret值

Azure 资源组任务有效，ARM 模板中的资源从 Azure DevOps 部署在 Azure 云中。

• 问题是什么？

根据此链接， AKS 需要创建一个服务主体。

• az cli此外，当我们使用服务主体创建 Azure Kubernetes 服务时，会自动创建。

• 当我们从 Azure 门户创建 Azure Kubernetes 服务时，也会发生同样的情况。

因此，我使用任务和服务连接中的现有服务主体凭据，通过资源组部署任务从执行 ARM 模板的 Azure Devops 创建 Azure Kubernetes 服务。

• 为什么我的服务主体无法识别？

我尝试使用此选项来解决问题并解决问题，但我担心问题不是服务主体本身，而不是它，我认为我需要引用特殊方式的 - servicePrincipalClientId $($secretServicePrincipalClientId)and
-servicePrincipalClientSecret $($secretServicePrincipalClientSecret) 。

我怎样才能做到这一点？

如果有人能指出我正确的方向，我将不胜感激

我正在尝试从 Azure 的密钥库中检索一些机密，但我似乎无法使用 @azure/identity 模块进行身份验证。

版本：

当我尝试获取令牌时：

控制台结果：

1. Azure RBAC 角色和服务主体之间有什么关系？

   它们是同一件事还是 Azure RBAC 角色是帐户的属性，可以通过不同的 RBAC 角色创建不同的服务主体？

2. Azure RBAC 角色与角色分配中的角色有什么关系？

   （比如Azure RBAC owner角色可以创建虚拟机管理员登录角色，为什么都是调用角色！！！！！！很迷惑）