Недостаточно прав для развертывания субъекта-службы Azure

Я сотрудник Microsoft и новичок в Azure. Я хочу развернуть субъекта-службы в моей внутренней подписке Microsoft Azure. Используя Azure CLI, когда я запускаю

az ad sp create-for-rbac --name $spn_name

Я получаю сообщение об ошибке Недостаточно прав для завершения операции. Документация здесь (https://docs.microsoft.com/en-us/cli/azure/create-an-azure-service-principal-azure-cli?view=azure-cli-latest) кажется, что у меня неправильно настроен Azure Active Directory.

У меня нет Azure Active Directory в моей внутренней подписке. Мне нужно это добавить? Если да, как я могу настроить это в своей внутренней учетной записи Microsoft? Есть ли способ создать субъекта-службы без Azure Active Directory?


azure azure-active-directory azure-service-principal service-principal
person bab689    schedule 07.08.2020    source источник

Ответы (3)


arrow_upward
0
arrow_downward

Обычный пользователь без ролей администратора также сможет создать принцип обслуживания даже с помощью Azure CLI. Если сценарий таков, что вы создаете принцип обслуживания из приложения, вам потребуются разрешения для приложения. Пожалуйста, ответьте на аналогичный вопрос, который поможет в исправление вашей проблемы.

person Hari Krishna    schedule 07.08.2020
comment
Необходимость привлекать глобальных администраторов для чего-то вроде создания субъекта-службы для подключения службы Azure DevOps является такой важной PITA - я бы хотел, чтобы был какой-то способ создать локальное удостоверение / субъект службы для подписки. - person Cocowalla; 31.08.2020
comment
Привет @ Cocowalla, я понятия не имею о сценарии DevOps, но, пожалуйста, прочтите мой обновленный ответ. - person Hari Krishna; 01.09.2020
comment
Вопрос, на который вы связались, касается назначения разрешений субъекту службы, а не того, какие разрешения нужны разработчикам в первую очередь для создания субъекта службы? - person Cocowalla; 01.09.2020
comment
Для уровня пользователя разрешения не требуются. Администратор должен разрешить пользователю регистрировать приложение, как указано Карлом Чжао. - person Hari Krishna; 01.09.2020
comment
Да, но пользователь может зарегистрировать приложение есть разрешение! И проблема в том, что он доступен для всех или никому, поэтому предприятиям не нравится его использовать. - person Cocowalla; 01.09.2020
comment
Я согласен, но эта ошибка обычно отображается для ролей и разрешений API. - person Hari Krishna; 01.09.2020

arrow_upward
0
arrow_downward

Не требует наличия прав администратора.

Если Тип пользователя вашей учетной записи - это просто Участник в арендаторе. Убедитесь, что на портале - ›AAD -› Настройки пользователя - ›Пользователи могут регистрировать приложения - Да.

введите описание изображения здесь

person Carl Zhao    schedule 01.09.2020
comment
К сожалению, это довольно грубый инструмент, поэтому многие организации не позволяют использовать его. - person Cocowalla; 01.09.2020
comment
@Cocowalla Это обязательно! - person Carl Zhao; 02.09.2020
comment
@Cocowalla Если мой ответ полезен для вас, вы можете принять его как ответ (щелкните галочку рядом с ответом, чтобы переключить его с серого на заполненный). См. meta.stackexchange.com/questions / 5234 / Это может быть полезно другим участникам сообщества. Спасибо. - person Carl Zhao; 04.09.2020
comment
@Cocowalla Если у вас есть вопросы, не стесняйтесь спрашивать меня, я отвечу вам как можно скорее. - person Carl Zhao; 04.09.2020
comment
Я не ОП, я просто случайно разглагольствую о том, насколько ужасно неудобна модель разрешений Azure для доступа для создания / редактирования регистраций / участников приложений AAD :) - person Cocowalla; 04.09.2020
comment
@Cocowalla Ой, прости :). - person Carl Zhao; 04.09.2020

arrow_upward
0
arrow_downward

Похоже, проблема заключалась в том, что мое имя SP не было уникальным. Смена имени решила для меня эту проблему.

person bab689    schedule 02.11.2020