我需要什么权限才能将托管身份分配给应用角色?

时间:2020-04-09 14:33:14

标签: azure-logic-apps azure-managed-identity

我想授权多个逻辑应用访问由应用注册保护的API上的操作,该应用注册具有描述不同操作的多个应用角色。当前,一旦创建Logic Apps,目录管理员便会使用New-AzureADServiceAppRoleAssignment手动执行此操作,因为在那之前不存在关联的服务主体。

我希望这是自动化的,因为特别是在开发中,要求目录管理员重新运行此脚本的手动工作非常繁琐。但是,我不知道如何授予脚本帐户-链接到DevOps服务连接的服务主体-仅授予执行此操作的权限,而不能使其成为目录管​​理员能够执行任何操作的权限。如果该服务连接是目录管理员,则开发人员将能够为其提供脚本,以告知其创建或删除角色分配的任何组合,从而使他们能够进入任何事物,并且将应该阻止这种情况的人员拒之门外。这是一个无法接受的安全漏洞。

允许自动化流程编写应用角色分配的脚本所需的最低权限是什么?该文档在何处记录?

1 个答案:

答案 0 :(得分:1)

为此,您只需将脚本帐户添加为应用程序的所有者(只需创建一个没有任何角色的新用户并将其添加为应用程序的所有者)即可。然后,它只能在此应用程序中添加角色分配,而不能对其他应用程序的角色分配执行其他操作。 enter image description here

相关问题
最新问题