Azure Active Directory ServicePrincipal SecurityGroup AppRoleAssignment 无法解析 appRole
Azure Active Directory ServicePrincipal SecurityGroup AppRoleAssignment fails to resolve appRole
在 Azure AD B2B 中,我为 "User" 和 "Application".
创建了一个带有 appRole 的应用程序注册(资源)
如果我将 servicePrincipal(客户端)分配给此 appRole -> accessToken 包含 appRole。
servicePrincipal(client) <-> appRoleAssignment <-> servicePrincipal(resource)
这按预期工作
如果我将 serviceprincipal(客户端)分配给顶级安全组并将安全组分配给 appRole -> accessToken 不包含 appRole。
servicePrincipal(client) <-> security group <-> appRoleAssignment <-> servicePrincipal(resource)
这种间接寻址适用于用户,我是不是遗漏了什么为什么它不适用于 servicePrincipals?
我认为您没有遗漏任何内容。它确实对用户有效。
这可能是错误或功能 :) 可能是不想通过组分配应用程序权限。
(这就是 Application 类型的 appRoles)
你所有的步骤都是right.If你想给一个服务原则分配一个应用程序角色,你应该一个一个分配,如果你把一个服务原则添加到一个分配了一个的组里是行不通的应用角色。正如@juunas 所说,也许这是一个错误。
在 Azure AD B2B 中,我为 "User" 和 "Application".
创建了一个带有 appRole 的应用程序注册(资源)如果我将 servicePrincipal(客户端)分配给此 appRole -> accessToken 包含 appRole。
servicePrincipal(client) <-> appRoleAssignment <-> servicePrincipal(resource)
这按预期工作
如果我将 serviceprincipal(客户端)分配给顶级安全组并将安全组分配给 appRole -> accessToken 不包含 appRole。
servicePrincipal(client) <-> security group <-> appRoleAssignment <-> servicePrincipal(resource)
这种间接寻址适用于用户,我是不是遗漏了什么为什么它不适用于 servicePrincipals?
我认为您没有遗漏任何内容。它确实对用户有效。
这可能是错误或功能 :) 可能是不想通过组分配应用程序权限。 (这就是 Application 类型的 appRoles)
你所有的步骤都是right.If你想给一个服务原则分配一个应用程序角色,你应该一个一个分配,如果你把一个服务原则添加到一个分配了一个的组里是行不通的应用角色。正如@juunas 所说,也许这是一个错误。