разрешение на выполнение действия «Microsoft.Logic / workflows / triggers / listCallbackUrl / action»

Question

Я работаю над документированием интеграции с Azure для последующего использования коллегами.Это для получения токена-носителя AAD (готово) и использования его для получения URL-адреса обратного вызова Logic Apps.Существует проблема, которая заключается в том, чтобы правильно разрешить клиентское приложение.Я не нахожу документацию по правильной области действия для установки на Портале.Кроме того, я не имею права администратора, чтобы попробовать и, таким образом, метод проб и ошибок не вариант.

Сейчас я зарегистрировал в Azure приложение с только разрешениями по умолчанию.Поэтому, когда я пытаюсь выполнить желаемое действие, я получаю ответ об ошибке:

{"error": {"code": "AuthorizationFailed", "message": "client" {Client Id} 'с идентификатором объекта' {идентификатор объекта} 'не имеет полномочий для выполнения действия' Microsoft.Logic / workflows / triggers / listCallbackUrl / действие 'над областью действия' / подписки / {идентификатор подписки} / resourceGroups / {имя_группы ресурсов} / поставщики/Microsoft.Logic/workflows/ndomuallyflow name} / triggers / manual '. "}}

При попытке получить приложение с правильными разрешениями я обнаружил ошибку на портале Azure:

Вы добавляете разрешения, для которых требуется администраторсогласиться, пользователи не смогут использовать приложение, пока администратор не предоставит разрешения для приложения.

Что я ожидаю, поэтому я стараюсь сообщить своим администраторам точные разрешения, которые необходимыбыть предоставленным или делегированным.

Возможно, это можно сделать в PowerShell и проще, чем в Portal или даже в CLI.Я не привязан к определенному методу, просто ищу руководство или документацию о том, как правильно настроить клиентское приложение.Я полагаю, что мне нужно предоставить нашему приложению по крайней мере доступ Участника к группе ресурсов через вкладку Контроль доступа (IAM).Однако в этой подписке у меня нет опции «Добавить», что говорит о том, что у меня нет разрешения на это.

Сейчас я использую документацию по , чтобы зарегистрировать клиентское приложение вAzure Ad , но я не нахожу шаги для правильного разрешения зарегистрированного клиента, когда я не могу попробовать это, прежде чем объяснить это кому-то еще.Может быть, есть более подробная документация или сообщение в блоге, о котором кто-то знает, которого я не нашел?

Спасибо

Answer 1

Для получения URL-адреса обратного вызова во время выполнения требуется разрешение для вызова действия API Microsoft.Logic /grationAccounts / сборки / listContentCallbackUrl / action .Вы можете сделать это несколькими способами:

• создать пользовательскую роль с требуемым доступом API.Это хорошо с точки зрения наименьших привилегий, но вы ограничены 200 пользовательскими ролями, и вам нужно будет документировать, для чего эта роль, и отслеживать ее дальнейшие действия

• Вы можетеиспользовать встроенную роль участника логического приложения , который имеет карт-бланш на логике приложения apis.

Что бы вы ни выбрали, следующим шагом будет назначение участника службысвязан с вашим приложением (или учетной записью пользователя или группы, определенной в AD) к роли. Вот отличное пошаговое руководство для процесса назначения ролей с использованием портала или с использованием CLI , если вы предпочитаете