我在Azure订阅#1中有资源,我想从订阅#2向Azure AD应用程序授予权限。两个订阅都有单独的AAD租户。
我已在订阅#2中创建了应用程序,将其标记为多租户并为其添加了证书凭据。关于如何创建可以从多个租户登录用户的多租户应用程序,有一些说明。但我不需要任何这些登录,也不想为它托管任何API。我需要的只是其他订阅中的用户能够授予我对资源的应用权限。
我无法弄清楚如何从其他订阅/ AAD租户链接(同意)应用。我理解应该有一种方法让我从订阅#2中的应用程序引用AppId并为订阅#1创建新的服务主体。
我已尝试订阅#1 New-AzureADServicePrincipal -AppId <AppIdFromSubscription2>
失败,并且#34;代码:Request_ResourceNotFound,消息:资源&#39; ServicePrincipal_888ad8a8-8888-4652-8b8b-c141fa1e7191&#39;不存在或其中一个查询 &#34;
答案 0 :(得分:0)
使用来自其他订阅的AppId的新AzureADServicePrincipal可以正常工作。
我最终犯了一个愚蠢的错误,我一直在使用我的@ outlook.com帐户进行订阅,Connect-AzureAD将我记录在一些MSA租户下,我无权修改。一旦我使用Connect-AzureAD指定了TenantId,New-AzureADServicePrincipal就可以正常工作。