可以通过az ad sp create-for-rbac --skip-assignment
Q1。没有角色的服务主体有什么用?
Q2。服务原则是否可以退出而不附加任何范围/资源?如果是这样的话,这种独立服务原则有什么用?
答案 0 :(得分:0)
A1-,您可以使用它来消除应用程序中密钥的需要。例如,您可以授予一个身份(您的应用程序)来存储/访问Azure存储上的数据,而不是存储Azure存储访问密钥。
A2-我认为是系统分配的托管身份,这是一种特殊的托管身份(服务主体)
答案 1 :(得分:0)
Q1。没有角色的服务主体有什么用?
参数--skip-assignment跳过将服务主体分配给订阅。确切地说,您的问题应该是without an RBAC role,因为还有另一个名为Administrator role的角色,下面将对此进行介绍。
这里有一些用法供您参考,AD App中混合了许多用法,这里不再赘述。如果您想了解它们,可以查看Azure AD official doc。
1。可以在Azure AD中将服务主体分配为Administrator role,然后它可以根据角色权限执行操作,例如创建用户,删除组。通过Azure AD powershell,Microsoft Graph API,Azure AD Graph API或AAD part of the Az powershell module。
2。服务主体还可以调用API并使用上面的Powershell,而无需使用Administrator role,但是您需要为其提供application permission。 az ad sp create-for-rbac将与服务主体一起创建AD App,在门户的AD App-> API permissions中,您可以添加许可和同意。请注意,当我们在AD App中添加权限和同意时,实际上,权限将授予您租户中的服务主体,服务主体是特定租户中AD应用程序的一个实例。 >
Q2。服务原则是否可以退出而不附加任何范围/资源?如果是这样的话,这种独立服务原则有什么用?
是的,如上所述,它可以完成许多与Azure AD,Graph API有关的事情。这是有关Application and service principal objects in Azure Active Directory的文档,对您理解服务主体确实很有帮助。