Я пытаюсь создать приложение Azure AD, используя terraform вместе с нашим конвейером Azure DevOps, но я получаю следующую ошибку:
1 error(s) occurred:
* module.cluster.module.cluster.azuread_application.cluster: 1 error(s) occurred:
* azuread_application.cluster: graphrbac.ApplicationsClient#Create: Failure responding to request: StatusCode=403 -- Original Error: autorest/azure: Service returned an error. Status=403 Code="Unknown" Message="Unknown service error" Details=[{"odata.error":{"code":"Authorization_RequestDenied","date":"2019-02-19T23:22:23","message":{"lang":"en","value":"Insufficient privileges to complete the operation."},"requestId":"<SOME GUID>"}}]
Я почти уверен, что это происходит из-за службы конвейерапринципал не имеет надлежащих разрешений в нашей Azure AD.
Это некорректный код Terraform:
resource "azuread_application" "cluster" {
name = "some-application"
}
resource "azuread_service_principal" "cluster" {
application_id = "${azuread_application.cluster.application_id}"
}
Вот как выглядит шаг Terraform (я использую СервисСоединение для предоставления субъекта-службы).
Для настройки субъекта-службы я выбираю «Управление субъектом-службой» для подключения к услуге.
Затем я дал ему все «необходимые разрешения» для Microsoft Graph и Windows Azure Active Directory.Я не думаю, что мне нужен Microsoft Graph, но сделал это, так как Windows AAD не работал.
