Может ли руководитель службы Azure обновить свои собственные пароли?

Question

Мне нужно использовать субъект службы Azure для программного:
1. добавить / удалить пароли для других участников службы и
2. добавить / удалить пароли для себя

1 легко сделать.

Но я не могу сделать 2 из-за следующей ошибки. Возможно ли № 2? Как?

graphrbac.PasswordCredentialsUpdateParameters failed:
graphrbac.ApplicationsClient#UpdatePasswordCredentials: Failure responding to request: StatusCode=403 -- Original Error: autorest/azure: Service returned an error. Status=403 Code="Unknown" Message="Unknown service error" 
Details=[{"odata.error":{"code":"Authorization_RequestDenied","date":"2019-06-06T22:19:35","message":{"lang":"en","value":"Insufficient privileges to complete the operation."},"requestId":"<ID>"}}]

Answer 1

Возможно ли № 2? Как?

Да, это возможно.

Просто добавьте своего участника службы к роли каталога Application Administrator в своем клиенте, не нужно добавлять другие разрешения, это будет работать (может быть некоторая задержка).

Перейдите к Azure Active Directory на портале -> Roles and administrators -> нажмите Application administrator -> Add assignment -> поиск по имени приложения AD (имя участника службы) -> выберите его -> Select .

Мой тестовый образец:

Я проверяю его с powershell, на других языках он также должен работать.

Добавить пароль:

Connect-AzureAD -TenantId "<TenantId>" -ApplicationId "<ApplicationId>" -CertificateThumbprint "D0F0B179xxxxx6E41833FDE5947"
New-AzureADApplicationPasswordCredential -ObjectId <ObjectId>

Удалить пароль (в случае успеха содержимое не возвращается):

$password = Get-AzureADApplicationPasswordCredential -ObjectId <ObjectId>
Remove-AzureADApplicationPasswordCredential -ObjectId <ObjectId> -KeyId $password.KeyId

Помимо , вы можете проверить снимок экрана в моем тестовом образце, а на портале убедиться, что субъект службы добавляет / удаляет пароли для себя .

Answer 2

Похоже, вы пытаетесь обновить принцип обслуживания, но обнаружили ошибку.

Как говорится в сообщении об ошибке, у вас нет разрешения на эту операцию.

Причина ошибки: Возможно, у вас недостаточно прав для вашего приложения для этой операции.

Действие для выполнения:

Для этого вы должны назначить следующее разрешение на ваше заявление.Выполните следующие действия:

1. Войдите в систему azure portal
2. Нажмите azure active directory
3. Регистрация приложений
4. Выберите приложение
5. API-разрешение
6. Добавить разрешение
7. Microsoft Graph
8. Разрешение приложения
9. В Directory выберите Directory.Read.All
10. В Application выберите Application.ReadWrite.All
11. Добавить разрешение
12. Предоставьте согласие администратора на YourTennant

См. Снимок экрана ниже:

Примечание: Вам также необходимо иметь как минимум Contributor роль каталога в этом приложении.Contributor может создавать и управлять всеми типами ресурсов Azure, но не может предоставлять доступ другим.