Используйте ARM для настройки доступа к службе приложений с помощью MSI

В документации хранилища ключей перечислены два свойства:

  • objectId string Да Идентификатор объекта пользователя, субъекта-службы или группы безопасности в клиенте Azure Active Directory для хранилища. Идентификатор объекта должен быть уникальным для списка политик доступа.
  • applicationId string Нет Идентификатор приложения клиента, отправляющего запрос от имени принципала - глобальный уникальный идентификатор

Вопросов:

  • Должен ли я использовать objectId в качестве основного идентификатора MSI?
  • Является ли концепция applicationId избыточной при работе с MSI. В MSDN так много документации, что мне трудно понять, какой подход выбрать и является ли концепция applicationId / secrets избыточной при использовании MSI.
  • Требуется ли TenantId?

azure-managed-identity azure-resource-manager azure-keyvault
person user9314395    schedule 27.03.2018    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Должен ли я использовать objectId в качестве основного идентификатора MSI?

Да, вам следует использовать идентификатор объекта MSI. Вы можете получить это с помощью Power Shell. Например:

Get-AzureRmADServicePrincipal -SearchString "azure-cli-2017-04-13-02-33-36"\

Или получите на портале Azure.

введите здесь описание изображения

Является ли концепция applicationId избыточной при работе с MSI. В MSDN так много документации, что мне трудно понять, какой подход выбрать и является ли концепция applicationId / secrets избыточной при использовании MSI.

При создании MSI создается субъект-служба, applicationId - это идентификатор приложения sp.

Требуется ли TenantId?

Да, это обязательно.

person Shui shengbao    schedule 28.03.2018
comment
См. Этот документ docs.microsoft.com/en-us/azure /templates/microsoft.keyvault/ - person Shui shengbao; 28.03.2018