Принципал службы Azure проверяет срок действия своего пароля

Question

У нас есть приложение, в котором настроен субъект службы для предоставления доступа к ресурсам Azure.Этот участник службы имеет пароль, настроенный с истечением срока действия.

Мы хотим настроить наше приложение так, чтобы оно знало дату истечения срока действия пароля его учетной записи участника службы.Каков наилучший способ предоставления доступа субъекту службы до его собственной даты истечения срока действия?

По умолчанию это запрещено.

az ad app show --id xxxxxxxxxx

Insufficient privileges to complete the operation.

Но может включать некоторые разрешения API (устаревшая диаграмма Azure Active Directory Graph /Directory.Read.All), и она работает, но кажется, что она слишком открыта.

ЕстьЕсть ли способ предоставить доступ, чтобы видеть только данные из его собственного идентификатора приложения?Какой лучший способ сделать это?

Answer 1

AFAIK, кажется, вы не могли этого сделать. По крайней мере, вам нужно предоставить разрешение Application.ReadWrite.All. Команда az ad app show --id xxxxxx по сути вызывает API Azure Ad Graph, вы можете проверить с помощью --debug.

Чтобы вызвать этот API, от наименее до наиболее привилегированного, ему нужны Application.ReadWrite.OwnedBy, Application.ReadWrite.All, Directory.Read.All. В вашем случае Application.ReadWrite.OwnedBy не вариант.

Кроме того, я также протестировал az ad signed-in-user show, если вы входите в систему с помощью приложения AD, похоже, эта команда не поддерживает.