我正在开发一个PowerShell脚本,它将创建一个资源组,将包含的应用程序(在本例中为Web Api)注册到相关的AAD。
但是,在调用尝试分配Reader权限时,它会继续失败。
我从Visual Studio(2015)中AzureResourceGroup模板附带的基本部署* .ps1文件开始。
我正在运行以下代码:
#Requires -Version 3.0
#Requires -Module AzureRM.Resources
#Requires -Module Azure.Storage
Import-Module Azure -ErrorAction SilentlyContinue
Set-StrictMode -Version 3
Login-AzureRmAccount
$tenantWebSite = New-AzureRmADApplication -DisplayName "TheSiteName" -HomePage "http://MySignOnUrl" -IdentifierUris "http://MyIdentifierUrl" -Password "MyClientSecret"
$tenantWebSiteServicePrincipal = New-AzureRmADServicePrincipal -ApplicationId $tenantWebSite.ApplicationId
New-AzureRmRoleAssignment -RoleDefinitionName Reader -ServicePrincipalName $tenantWebSite.ApplicationId
最后一个命令(New-AzureRmRoleAssignment)因以下错误而继续失败:
09:58:26 - [ERROR] New-AzureRmRoleAssignment : PrincipalNotFound: Principal
09:58:26 - [ERROR] 50f3d430c68b485b8c11a63552171550 does not exist in the directory
09:58:26 - [ERROR] <MyTenantId>.
09:58:26 - [ERROR] At D:\dev_new_2010\cto\src\dev\d.tom.0\deploy\calidos.maat.deploy.azureresource
09:58:26 - [ERROR] group\Scripts\Deploy-AzureResourceGroup.ps1:115 char:1
09:58:26 - [ERROR] + New-AzureRmRoleAssignment -RoleDefinitionName Reader -ServicePrincipa ...
09:58:26 - [ERROR] + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
09:58:26 - [ERROR] + CategoryInfo : CloseError: (:) [New-AzureRmRoleAssignment], Clo
09:58:26 - [ERROR] udException
09:58:26 - [ERROR] + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleA
09:58:26 - [ERROR] ssignmentCommand
通常,我使用visual studio中的deploy选项运行此脚本。当我从Microsoft Azure PowerShell命令窗口运行此脚本时,我收到同样的错误。
但是,当我在同一个PowerShell窗口中运行确切命令时,它可以工作!
New-AzureRmRoleAssignment -RoleDefinitionName Reader -ServicePrincipalName <ApplicationId>
有没有人知道为什么这会在ps1文件中失败?我也试图明确定义范围,但这也没有成功。
答案 0 :(得分:8)
编辑:
好的,之前的“解决方案”纯粹是运气......显然,New-AzureRmADServicePrincipal是异步创建的。该方法会立即返回一个对象,但不会立即创建实际的主体...
我通过添加Start-Sleep -s 15命令解决了这个问题。
如果这还不够,可以增加它,或者捕获错误并等待几秒再重试。
答案 1 :(得分:1)
我有同样的错误,但路线原因和解决方案不同。 这是我的代码:
New-AzureRmRoleAssignment -ObjectId $ServicePrincipal.ApplicationId -RoleDefinitionName $Role -Scope "/subscriptions/$($Subscription.Context.Subscription.Id)"
并且始终以相同的错误失败:
New-AzureRmRoleAssignment:Principal 7dfxxxxxxxxxxxxx1b1不 存在于目录3141xxxxxxxxxxxxxx736中。
等待没有帮助。
使用$ServicePrincipal.Id代替$ServicePrincipal.ApplicationId -ObjectId参数
示例5在https://docs.microsoft.com/en-us/powershell/module/azurerm.resources/new-azurermroleassignment?view=azurermps-5.5.0建议使用$ServicePrincipal.ApplicationId,这是不正确的。