我找不到任何关于如何选择创建服务主体的AAD的文档。基本上,我不知道是否有办法将SP添加到本地AAD。
因此,我们有一个默认的全球广告,涵盖了我们所有的注册,以及所有订阅。我正在使用源自网上许多示例的Powershell来创建默认AD中的SP。然后我允许SP反对它将要使用的订阅。
此时我遇到了以下问题。 我正在推出Key Vault,这很有效。
New-AzureRmKeyVault -VaultName $VaultName -EnabledForDeployment -EnabledForTemplateDeployment -ResourceGroupName $ResourceGroupName -Location $Location -Verbose
我需要在部署中添加第一个秘密。该位失败,因为SP无法访问KV。
# Set-AzureRmKeyVaultAccessPolicy -VaultName $VaultName -ResourceGroupName $ResourceGroupName -PermissionsToSecrets get,set -ServicePrincipalName $ServicePrincipalName
这是该命令的结果。
Set-AzureRmKeyVaultAccessPolicy : Cannot find the Active Directory object
'Service-Principal-Name' in tenant '6166a717-xxxx-xxxxx-b0e8-6b7288c1f7ec'.
Please make sure that the user or application service principal you are
authorizing is registered in the current subscription's Azure Active
directory.
请注意,不可能将Global AD Service Principal设置为在本地Keyvault上获取/设置。它必须是当地的服务负责人。但是,我们没有其中一个,我无处可以找出如何创建其中之一。
其他人感到这种痛苦并知道如何解决它?
答案 0 :(得分:0)
在旧门户网站(manage.windowsazure.com)的设置部分中,您将找到所有订阅的列表。第四列(目录)显示与每个订阅关联的默认目录。无论如何,您都必须在目录中创建与该特定订阅关联的服务主体。请查看this链接以了解订阅与AAD之间的关系。