如何创建允许注册应用程序和服务主体的Azure自定义角色
我想在Azure中创建一个最低权限自定义角色,以分配给仅允许服务主体注册Azure AD应用程序和服务主体的服务主体。
“贡献者”标准角色具有所有必需的权利,但也有许多不需要的权利,我在list of available operations中找不到似乎与应用程序注册相对应的任何内容,可以用来产生自定义角色。
事实证明,这个问题是被误导的-我认为向服务主体分配Microsoft.Azure.ActiveDirectory权限不足以创建和编辑应用程序注册。但是事实证明,我刚遇到在Azure门户中设置的权限与生效的权限之间有5-10分钟的延迟。将贡献者角色授予服务主体恰好花费了足够的时间来使原始权限生效。
2 个答案:
答案 0 :(得分:0)
AFAIK,您无需在Azure中创建自定义角色即可允许注册Azure AD应用程序和服务主体。
谁可以通过Azure AD注册应用程序,由用户在Azure Active Directory本身中的成员身份及其在该Azure AD中的“目录角色”来控制,以进行某些操作,而不是通常的RBAC built-in或custom roles您正在查看的内容(您在问题中提到了list of ARM Resource Provider operations)
请参考以下Microsoft文档:Who has permission to add applications to my Azure AD instance?
更新:Simon编辑原始问题后,从评论中回答查询。
如何为服务主体提供应用程序注册特权?
同样,您将不会使用RBAC角色或创建问题中提到的自定义角色,而是向Azure AD中的相关服务主体提供特定的“ 应用程序权限”。我将在下面给出步骤。
- 转到您的Azure AD“已注册的应用程序”
- 找到您的服务主体(可能需要查看所有应用程序而不仅仅是我的应用程序)
- 添加所需的权限,如下所示:
选择正确的权限并完成操作。请点击“授予权限”,因为这些权限需要管理员的同意。
答案 1 :(得分:0)
使用custom AAD role as described here。
这比授予内置的“ Application Developer”角色更可取,因为它过于宽松,并且具有250个App限制。.
set- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?