У меня есть веб-API, защищенный Azure AD. Я создал регистрацию приложения для веб-API, которая разрешает доступ к API только пользователям из этого Azure AD (т. Е. Одному клиенту). Этот процесс также создал субъекта-службы в этом клиенте.
Мне интересно, может ли этот субъект-служба самостоятельно назначать себе роль RBAC (любую роль RBAC в этом отношении) в подписке Azure, которая доверяет этому Azure AD? Или это будет действие, инициированное пользователем, когда пользователь с соответствующим разрешением (например, Owner
или User Access Administrator
) должен назначить соответствующую роль этому субъекту службы?
Насколько я понимаю, я считаю, что это последнее (то есть другой пользователь должен выполнить эту операцию). Однако похоже, что это должно быть возможно.
Причина, по которой я говорю это, заключается в том, что когда я создаю новую подписку Azure, мне автоматически назначается Owner
роль в этой подписке Azure (я являюсь глобальным администратором в моей Azure AD). Мне интересно, как это достигается.
Если это действительно возможно, то какую роль Azure AD следует назначить субъекту-службе?
Мы будем очень признательны за любое понимание этого.