如何正确授权 Azure 用户帐户,以便它可以创建服务主体?
How to properly authorize Azure user account so that it can create a Service Principal?
我们的产品是 Azure (CloudMonix) 的 SaaS 监控产品。它通过 ARM API 连接到客户的 Azure 订阅的方法之一是创建针对我们的 AD 应用程序授权的服务主体。
我们使用这篇文章来启用此授权并且一切正常:https://azure.microsoft.com/en-us/documentation/articles/resource-manager-api-authentication/
问题是,我们的用户通常无法访问最初用于创建订阅的超级管理员帐户。他们有自己的 "co-administrator" 个帐户。这些用户需要拥有哪些额外权限,才能同意我们的 AD 应用程序访问他们的 AD?他们在两个 Azure 门户中的哪个位置添加这些权限?
TIA
为了同意需要管理员权限的应用程序,用户需要在 Azure AD 租户中具有 "Global Admin (GA)" 角色。这不同于在 Azure 订阅中拥有服务管理员或共同管理员角色。
只有现有的 GA 才能授予其他用户 GA 权限。这意味着,如果您的用户无法执行管理员同意,他们也将无法让自己成为 Azure AD GA。针对您的情况最可能的解决方案是让用户联系他们的 IT 部门或设置 Azure AD 租户或 O365 的任何人,并要求他们同意使用其 GA 凭据的应用程序。一旦管理员同意该应用程序,因为他们是以管理员身份进行的,所以同意将代表所有用户应用,因此之后其他用户将不需要同意该应用程序。
有关 Azure AD 和 Azure 订阅之间关系的更多详细信息,请参阅下面的文章:
https://blogs.technet.microsoft.com/ad/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/
以防万一您仍需要有关如何使某人成为 Azure AD 中的全局管理员的说明,以下是相关说明:
- 来自 https://azure.microsoft.com/en-us/documentation/articles/active-directory-assign-admin-roles/
- 在 Azure 经典门户中,单击 Active Directory,然后单击组织目录的名称。
- 在“用户”页面上,单击要编辑的用户的显示名称。
- 在“组织角色”列表中,select 您要分配给此用户的管理员角色,或者 select 用户,如果您要删除现有的管理员角色。
- 在备用电子邮件地址框中,键入一个电子邮件地址。此电子邮件地址用于重要通知,包括密码自重置,因此无论用户是否可以访问 Azure,用户都必须能够访问该电子邮件帐户。
- Select允许或阻止指定是否允许用户登录和访问服务。
- 从“使用位置”下拉列表中指定一个位置。
- 完成后,点击保存
我们的产品是 Azure (CloudMonix) 的 SaaS 监控产品。它通过 ARM API 连接到客户的 Azure 订阅的方法之一是创建针对我们的 AD 应用程序授权的服务主体。
我们使用这篇文章来启用此授权并且一切正常:https://azure.microsoft.com/en-us/documentation/articles/resource-manager-api-authentication/
问题是,我们的用户通常无法访问最初用于创建订阅的超级管理员帐户。他们有自己的 "co-administrator" 个帐户。这些用户需要拥有哪些额外权限,才能同意我们的 AD 应用程序访问他们的 AD?他们在两个 Azure 门户中的哪个位置添加这些权限?
TIA
为了同意需要管理员权限的应用程序,用户需要在 Azure AD 租户中具有 "Global Admin (GA)" 角色。这不同于在 Azure 订阅中拥有服务管理员或共同管理员角色。
只有现有的 GA 才能授予其他用户 GA 权限。这意味着,如果您的用户无法执行管理员同意,他们也将无法让自己成为 Azure AD GA。针对您的情况最可能的解决方案是让用户联系他们的 IT 部门或设置 Azure AD 租户或 O365 的任何人,并要求他们同意使用其 GA 凭据的应用程序。一旦管理员同意该应用程序,因为他们是以管理员身份进行的,所以同意将代表所有用户应用,因此之后其他用户将不需要同意该应用程序。
有关 Azure AD 和 Azure 订阅之间关系的更多详细信息,请参阅下面的文章: https://blogs.technet.microsoft.com/ad/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/
以防万一您仍需要有关如何使某人成为 Azure AD 中的全局管理员的说明,以下是相关说明: - 来自 https://azure.microsoft.com/en-us/documentation/articles/active-directory-assign-admin-roles/
- 在 Azure 经典门户中,单击 Active Directory,然后单击组织目录的名称。
- 在“用户”页面上,单击要编辑的用户的显示名称。
- 在“组织角色”列表中,select 您要分配给此用户的管理员角色,或者 select 用户,如果您要删除现有的管理员角色。
- 在备用电子邮件地址框中,键入一个电子邮件地址。此电子邮件地址用于重要通知,包括密码自重置,因此无论用户是否可以访问 Azure,用户都必须能够访问该电子邮件帐户。
- Select允许或阻止指定是否允许用户登录和访问服务。
- 从“使用位置”下拉列表中指定一个位置。
- 完成后,点击保存