Технический запрос: причина некоторых основных функций Сервиса

Недавно было замечено, что в Azure AD можно создать несколько субъектов-служб с одним и тем же именем:

введите описание изображения здесь

Примечание. У них разные clientIds, но одно и то же имя. Это, в свою очередь, создает проблемы при создании пользователей в Azure SQL. Так по какой причине в AAD разрешены идентификаторы приложений с одинаковым именем?

Кроме того, один и тот же идентификатор клиента имеет разную цель при поиске через корпоративные приложения и при просмотре через регистрацию приложений.

введите описание изображения здесь

введите описание изображения здесь

Поскольку корпоративные приложения представляют собой объединение всех управляемых удостоверений, субъектов-служб и т. Д., Создание объектов для корпоративных приложений отличается от регистрации приложений.


azure-active-directory azure-service-principal
person Nandan    schedule 15.02.2021    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Так по какой причине в AAD разрешены идентификаторы приложений с одинаковым именем?

Субъекты служб и пользователи в Azure SQL - это совершенно разные вещи. Я не думаю, что одно относится к другому. Они так спроектировали это.

Вообще говоря, когда значение поля не может повторяться, это означает, что оно уникально. Я не знаком с Azure SQL, но он должен следовать этому принципу.

Почему в Azure допускается одно и то же имя участника-службы? Это по замыслу. В распространенных сценариях мы в основном определяем уникальность на основе идентификатора объекта, который является глобальным уникальным идентификатором. Пожалуйста, не используйте имя как единственное условие для поиска субъекта-службы.

С точки зрения дизайна, нам действительно не следует создавать двух принципалов службы с одинаковыми именами. Жалко, что Azure этого не ограничивает.

Кроме того, один и тот же идентификатор клиента имеет разную цель при поиске через корпоративные приложения и при просмотре через регистрацию приложений.

Корпоративное приложение и регистрация связанного приложения - это два разных объекта, поэтому у них разные идентификаторы объектов.

Идентификатор приложения фактически является уникальным идентификатором для регистрации приложения. Он также отображается в корпоративном приложении.

Вы можете увидеть свойства субъекта-службы

appId String Уникальный идентификатор связанного приложения (его свойство appId).

И Свойства приложения

appId String Уникальный идентификатор приложения, который назначается приложению в Azure AD. Не допускает значения NULL. Только для чтения.

person Allen Wu    schedule 16.02.2021
comment
Привет @AllenWu, Спасибо за ответ. Также вопрос: можно ли обновить имя приложения после его регистрации? - person Nandan; 16.02.2021
comment
@ Нандан Да. Вы можете обновить имя приложения с помощью Microsoft Graph: docs.microsoft.com/en-us/graph/api/. Воспользуйтесь обозревателем Microsoft Graph для быстрой проверки. Вы также можете отредактировать файл манифеста регистрации приложения, чтобы напрямую изменить имя. - person Allen Wu; 16.02.2021