Я ищу своего субъекта службы агента развертывания VSTS, чтобы получить идентификатор объекта управляемого субъекта службы (созданного фабрикой данных V2).
Это необходимо для назначения списков ACL в хранилище озера данных.
Однако, насколько я могу судить, для Azure AD требуется разрешение на чтение.
Я хочу, если возможно, не давать ему разрешение на чтение, чтобы следовать мантре «наименьшие привилегии».
Для неуправляемых участников службы я разрешаю агенту развертывания управлять созданными субъектами службы (таким образом, не требуя полного доступа для чтения).Однако я подозреваю, что Azure управляет субъектами служб . Маловероятно, что я смогу предоставить агенту развертывания право владения субъектом управляемой службы (однако я работаю с администраторами AD, чтобы увидеть,если есть способ).
Я перепробовал все, что мог придумать, смешивая и сопоставляя модули PowerShell v2 фабрики данных Azure RM и модули Azure AD.
Можно ли получить идентификаторбез доступа Azure AD для чтения?Или новый обходной путь (я рассматриваю ограниченную оболочку Web API)?