Как использовать роль IAM для Azure Service Bus, как назначить роль приложению? - PullRequest
Новая
       5

Как использовать роль IAM для Azure Service Bus, как назначить роль приложению?

1 голос
/ 27 февраля 2020

Справочная информация

Я хочу предоставить приложению право собственности на несколько моих Azure очередей служебной шины ... в частности, предоставив ей роль Azure Владелец данных служебной шины .

В документации Azure Service Bus говорится, что это возможно:

Azure Service Bus поддерживает использование Azure Active Directory (Azure AD) для авторизации запросов к Объекты служебной шины (очереди, темы, подписки или фильтры). С Azure AD вы можете использовать управление доступом на основе ролей (RBA C) для предоставления разрешений субъекту безопасности, которым может быть пользователь, группа или субъект службы приложений [мой акцент] .

( Источник )

Однако я не могу найти способ сделать это.

Что я пытался

  1. Зарегистрировано приложение в Azure AD.
  2. Предоставлено приложению разрешение user_impersonation на Microsoft.ServiceBus. (Application permissions отключен [1], поэтому я выбрал Delegated permissions и проверил user_impersonation [2]. Не знаю, если это так. Я отправил другой вопрос некоторое время go о Application permissions будучи отключенным, но принятый ответ на редактирование манифеста в этом случае не работает.) enter image description here
  3. В моей очереди служебной шины выбрано Role assignments.
  4. Кликнул Add.
  5. Поиск моего приложения.

Ошибка

Мое приложение не отображается в результатах поиска в Role assignments.

1 Ответ

1 голос
/ 28 февраля 2020

Участник службы - это экземпляр приложения в данном арендаторе. (У мультитенантных приложений могут быть субъекты обслуживания во многих арендаторах, причем все ссылаются на регистрацию одного приложения.)

Чтобы предоставить приложению роль Azure, сначала в клиенте должен существовать участник службы. Чтобы проверить, существует ли уже субъект службы для регистрации приложения в том же клиенте, в котором зарегистрировано приложение (и создать его, если его нет):

Используя портал Azure:

  1. Перейдите к Azure AD> Регистрация приложений> (приложение)> Обзор
  2. Под Управляемое приложение в локальном каталоге заголовок:
    • Если вы видите ссылка с именем приложения, субъект службы уже существует.
    • Если вы видите ссылку «Создать субъект службы», щелкнув ее, вы попытаетесь создать субъект службы.

Использование Azure CLI: 

az ad sp show --id {app-id}
az ad sp create --id {app-id}

Использование Azure AD PowerShell: 

Get-AzureADServicePrincipal -Filter "appId eq '{app-id}'"
New-AzureADServicePrincipal -AppId "{app-id}"
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...