我正在寻找我的VSTS部署代理服务主体来获取托管服务主体的对象ID(由Data Factory V2创建)。
这需要在数据湖存储中分配ACL。
但据我所知,它需要Azure AD上的读取权限。
我希望尽可能避免给予读取权限,以遵循“最小特权”口头禅。
对于非托管服务主体,我允许部署代理管理它已创建的服务主体(因此不需要完全读取访问权限)。但是,我怀疑Azure的服务主体是托管这一事实我不太可能让部署代理对托管服务主体拥有任何所有权(但是我正在与AD管理员一起工作)看看是否有办法。)
我已经尝试过混合和匹配Azure RM数据工厂v2 powershell模块和Azure AD模块的所有内容。
是否可以在没有Azure AD读取权限的情况下获取ID?或者一种新颖的解决方法(我正在考虑一个受约束的Web API包装器)?