我正在研究与Azure的集成文档,以供同事以后使用。这是为了获取(完成)AAD承载令牌并使用它来获取Logic Apps回调URL。有一个问题,那就是正确地允许客户端应用程序。我找不到在门户中设置的正确范围内的文档。另外,我自己也没有管理员权限,因此,试错不是一个选择。
现在,我已经在Azure中注册了仅具有默认权限的应用程序。因此,当我尝试所需的操作时,我会得到错误响应:
{ “错误”:{ “ code”:“ AuthorizationFailed”, “ message”:“对象ID为'{object id}'的客户机'{Client ID}'无权在范围'/ subscriptions / {subscription中执行操作'Microsoft.Logic / workflows / triggers / listCallbackUrl / action' id} / resourceGroups / {resourceGroup名称} /providers/Microsoft.Logic/workflows/ {工作流名称} / triggers / manual”。 } }
在尝试获取正确的应用权限时,我在Azure门户中遇到错误:
您正在添加需要管理员同意的权限,在管理员向应用程序授予权限之前,用户将无法使用该应用程序。
我希望如此,所以我想告诉我的管理员需要授予或委派的确切权限。
可能可以在PowerShell中完成,并且比在Portal甚至CLI中更容易。我不喜欢特定的方法,只是在寻找有关如何正确配置客户端应用程序的指导或文档。我想我需要通过访问控制(IAM)选项卡为我们的应用程序至少向贡献者授予对资源组的访问权限。但是,在此订阅中,我那里没有“添加”选项,这表明我无权执行此操作。
现在,我正在使用register your client application with azure ad上的文档,但是在无法向他人解释之前无法尝试尝试正确使用已注册的客户端时,没有找到正确的步骤。也许有更详细的文档,或者有人知道我没有找到博客文章?
谢谢
答案 0 :(得分:0)
在运行时获取回调URL要求具有调用API操作Microsoft.Logic/integrationAccounts/assemblies/listContentCallbackUrl/action的权限。您可以通过以下两种方法执行此操作:
create a custom role,具有必需的API访问权限。从最小特权的角度来看,这很好,但是您只能使用200个自定义角色,并且需要记录该角色的用途并跟踪该角色的发展
您可以利用logic app contributor的内置角色,该角色在逻辑应用程序api上具有空白。
无论您选择哪种方式,下一步都是将与您的应用程序(或AD中定义的用户或组帐户)关联的服务主体分配给该角色。 Here is a great walkthrough for the role assignment process using the portal或using the CLI(如果愿意)