Моему VSTS Service Connection необходимо разрешить добавлять URL-адрес ответа в рекламное приложение Azure.

Question

Мы используем VSTS / Azure DevOps для создания и развертывания наших веб-служб в Azure.

На этапе выпуска мы используем задачу сборки интерфейса командной строки Azure, чтобы настроить среду для веб-службы. Задача построения использует Service Connection для авторизации на выполнение этих действий.

Задача сборки может без проблем создавать веб-службы и слоты развертывания, но когда я пытаюсь дать ему указание добавить новый URL-адрес ответа в приложение Azure AD, которое веб-приложение использует для аутентификации пользователей, я вижу следующее:

az ad app update --id 3e5a96e9-7311-4f92-869b-fbb5bbe8e41f --reply-urls http://mytestapp.azurewebsites.net 
ERROR: Insufficient privileges to complete the operation.

Используемое служебное соединение представляет собой служебное соединение Azure RM с использованием субъекта службы. Это правильно? Я предполагаю, что есть разрешение, которое мне нужно установить для субъекта службы, но какое именно?

Answer 1

Если вы хотите следовать принципу наименьших привилегий и не назначать максимально возможную доступную привилегию (согласно вашему комментарию), я вижу 3 возможных варианта, которые могут работать для вас -

1. Владелец только для определенного приложения (но НЕ Владелец / Глобальный администратор для всего Azure AD)

   Вы можете добавить пользователя в качестве владельца только для определенного приложения, которым им нужно управлять (в вашем случае измените URL ответа).

   Pro . Очевидно, что в этом подходе хорошо то, что этот пользователь получает возможность управлять регистрацией приложения только для этого конкретного приложения, а не для других в вашем Azure AD.

   Как . Перейдите к пункту «Регистрация приложений» в Azure AD и перейдите к определенному приложению. Теперь нажмите «Настройки» и выберите «Владельцы»

2. Роль администратора приложения

   Это немного более универсальный и более высокий уровень привилегий по сравнению с одним владельцем приложения, поскольку он дает пользователю доступ к управлению регистрацией приложений для всех приложений.

   Pro : роль предназначена только для управления регистрацией приложений. Это помогает в сценарии, когда все приложения должны управляться этим пользователем.

   Как . Перейдите в «Пользователи» в Azure AD и выберите конкретного пользователя. Теперь перейдите к «Роль каталога» и добавьте «Роль администратора приложения»

3. Роль разработчика приложения

   Этот вариант очень похож на вариант 2, т. Е. «Администратор приложения». Разница в том, что «Разработчик приложений» получает разрешения только для тех приложений, которые они разрабатывают, поэтому регистрация была сделана ими.

   Pro : подходит для пользователей, которые собираются создавать и управлять регистрациями для нескольких приложений.

   Как : Очень похоже на вариант 2 выше.

Дополнительные сведения обо всех доступных ролях и подробных разрешениях, которые используются этими ролями в Документах Microsoft:

Доступные роли

Answer 2

Джейендран прав.Пользователь должен быть членом роли глобального администратора в каталоге, поскольку URL-адрес ответа добавляется при регистрации приложения.

Возможно, вам также потребуется предоставить разрешения для самого приложения.

https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-v1-integrate-apps-with-azure-ad