我在Azure中拥有一个服务主体,该主体是在为我的Azure资产之一启用托管服务身份时创建的。我想使用门户中的“应用程序注册”区域向此SP授予权限(我知道我可以使用New-AzureADServiceAppRoleAssignment进行此操作,但是在这种情况下,我想创建一个应用程序。)
服务主体有一个关联的应用程序,其guid在AAD刀片的“企业应用程序”部分中可见,但是该应用程序ID在“应用程序注册”部分中不可见,并且Get-AzureRmADApplication也看不到它。
我可以使用powershell或REST API进行某种更改以使与MSI服务主体关联的应用程序显示在该区域吗?
答案 0 :(得分:2)
如果启用MSI,它将自动创建服务主体。
服务主体有一个关联的应用程序,其guid在AAD刀片服务器的“企业应用程序”部分中可见
您在Enterprise Applications中看到的内容也称为service principal。您可以理解企业应用程序等于服务主体。
但是该应用程序ID在“应用程序注册”部分中不可见,并且Get-AzureRmADApplication也看不到它。
如果创建应用程序注册,它还将在企业应用程序中创建服务主体。但是,如果启用MSI,则不会有AD应用程序(应用程序注册)。您无法使Enterprise Application(服务主体)显示在App registration中。另外,在授予AD应用程序权限时,它实际上是将权限授予服务主体。
有关应用程序注册和服务主体的更多详细信息,请参阅此link。