max*_*ert 5 azure azure-active-directory azure-cli
我们在 Azure上使用多个目录(TENANT_A、TENANT_B)。我们的目标是创建一个服务主体(应用程序),_SP_APP,里面TENANT_A被授予访问到TENANT_B。我们想在脚本中使用这个服务主体来轻松管理这两个目录。脚本之一是在TENANT_B内进行新的应用程序注册,并为这些应用程序授予管理员同意。
# Login with service principal of multiple tenants application
az login --service-principal -u _SP_APP -p <PASSWORD> --tenant TENANT_B
# Creating application and fetching ID
_OBJECT_ID=`az ad app create ...`
# Granting Admin Consent
az ad app permission admin-consent --id $_OBJECT_ID
# ERROR
Bad Request({"ClassName":"Microsoft.Portal.Framework.Exceptions.ClientException","Message":"AADSTS50058: A silent sign-in request was sent but no user is signed in.\r\nTrace ID: 9c9bd004-a97a-4543-8ff0-e314de77a700\r\nCorrelation ID: 44c79409-2f3e-43de-a84b-1e5a42e382e7\r\nTimestamp: 2019-10-28 15:54:20Z" ...
奇怪的是,当我们 az login使用全局管理员用户并执行脚本时,它工作正常。
我们是否遗漏了一些允许此服务主体能够授予管理员同意的内容,还是只有“用户”才能做的事情?(我在 microsoft azure 文档中没有找到任何回应)。
谢谢
我已与Azure支持工程师确认。我们不能使用服务主体来授予管理员同意。
如果必须使用服务主体来执行此操作,则可以使用 Microsoft Graph api。它会自动同意权限。
POST https://graph.microsoft.com/beta/xx.onmicrosoft.com/oauth2PermissionGrants
{
"clientId": "clientId-value",
"consentType": "consentType-value",
"expiryTime": "2016-10-19T10:37:00Z",
"id": "id-value",
"principalId": "principalId-value",
"resourceId": "resourceId-value"
}
要调用此 api,您需要提供访问令牌,更多详细信息请参阅此文档。
| 归档时间: |
|
| 查看次数: |
1043 次 |
| 最近记录: |