Какова цель учетных данных приложения Azure Active Directory, хотя у службы также есть учетные данные

Question

Azure Active Directory имеет приложения и принципалы обслуживания.

https://docs.microsoft.com/en-us/azure/active-directory/develop/app-objects-and-service-principals

Кажется, что оба объекта имеют учетные данные. New-AzureADApplicationPasswordCredential New-AzureADServicePrincipalPasswordCredential

Если у участника службы и объекта приложения есть учетные данные (например, пароль), какой из них используется для проверки подлинности? Если используются учетные данные субъекта службы, какова цель учетных данных объекта приложения? Является ли это резервным вариантом, когда у службы нет учетных данных?

Я прочитал этот вопрос, но не могу понять разницу между паролем приложения и паролем участника службы. Разница в аутентификации между использованием ключа приложения AAD и основного пароля службы

Answer 1

Оба этих пароля могут быть использованы для аутентификации, но пароль субъекта-службы может быть использован только для аутентификации в арендаторе, в котором он находится, пароль приложения может использоваться для аутентификации во всех арендаторах, гдеего основные экземпляры службы расположены.

Участник службы - это всего лишь экземпляр приложения в конкретном арендаторе. Когда арендатор дает согласие на приложение, Azure установит его в качестве корпоративного приложения (т.е. принципала обслуживания) в арендаторе. У разных арендаторов может быть несколько принципалов обслуживания, но приложение является единственным.