服务主体创建另一个服务主体的最低权限
Least privilege for a service principal to create another service principal
我试图找到一些信息,哪些应用程序权限是服务主体创建另一个 AAD 应用程序/服务主体所必需的,但没有找到最小权限设置。
目前我为 SP 分配了一些目录角色,例如目录编写器,这可能太多了?
有人知道 SP 需要哪个 application 权限才能创建另一个 SP 吗?或者 SP 是否需要目录角色?
如果您的应用程序创建应用程序,然后为它们创建主体,那么 Azure AD 上的 Application.ReadWrite.OwnedBy 应用程序权限图表可以做到这一点。
虽然它不允许应用程序为其他应用程序 创建服务主体。如您所见,这需要相当大的应用程序权限。
我试图找到一些信息,哪些应用程序权限是服务主体创建另一个 AAD 应用程序/服务主体所必需的,但没有找到最小权限设置。
目前我为 SP 分配了一些目录角色,例如目录编写器,这可能太多了?
有人知道 SP 需要哪个 application 权限才能创建另一个 SP 吗?或者 SP 是否需要目录角色?
如果您的应用程序创建应用程序,然后为它们创建主体,那么 Azure AD 上的 Application.ReadWrite.OwnedBy 应用程序权限图表可以做到这一点。
虽然它不允许应用程序为其他应用程序 创建服务主体。如您所见,这需要相当大的应用程序权限。