如何将非默认目录中的客户端授权给 KeyVault
How to authorize clients in non-default directory to KeyVault
我在我的 Azure 订阅中创建了一个 KeyVault,并在我的一个 Azure AD 目录中创建了一个客户端应用程序。但是,客户端应用程序未在订阅的 默认目录 中注册。
当我 运行 以下 PowerShell cmdlet 时,它会尝试在订阅的默认目录中查找服务主体,但找不到。
PS > Set-AzureKeyVaultAccessPolicy -VaultName <vaultname>
-ServicePrincipalName <principal guid> -PermissionsToSecrets Get
我发现 an article 描述了如何在管理门户中更改订阅的默认目录,但想知道如何使用 PowerShell 执行相同的操作。
“Select-AzureSubscription
”cmdlet 似乎不支持更改默认目录。
'Set-AzureKeyVaultAccessPolicy
' 也不支持指示它应该在哪个目录中查找的参数。
Key Vault 只能授权在与 Azure 订阅关联的目录中注册的应用程序(客户端),并且(当前)更改与订阅关联的 'home' 目录的唯一方法是通过 Azure 管理门户.
我认为这是设计好的行为,无法想象它会如何/为什么会发生变化。
Azure 订阅附加了一个 Azure Active Directory,这是每当有人尝试访问资源时它将用来进行身份验证的目录。
虽然您可以创建对其他 Active Directory 的信任,但仅创建一个新的 AAD 不会自动使该域受 Azure 信任。
Key Vault 旨在仅供经过身份验证的用户访问,旨在为这些用户提供安全数据。由于您创建的多个目录之间没有身份验证机制,因此 Key Vault 没有机制来确定这些目录属于谁。
Key Vault 需要通过附加到订阅的 Active Directory 解决服务原则运行(无论是直接通过该目录,还是通过它信任的另一个域)。其他任何东西都会产生额外的攻击向量并大大削弱产品。
我在我的 Azure 订阅中创建了一个 KeyVault,并在我的一个 Azure AD 目录中创建了一个客户端应用程序。但是,客户端应用程序未在订阅的 默认目录 中注册。
当我 运行 以下 PowerShell cmdlet 时,它会尝试在订阅的默认目录中查找服务主体,但找不到。
PS > Set-AzureKeyVaultAccessPolicy -VaultName <vaultname>
-ServicePrincipalName <principal guid> -PermissionsToSecrets Get
我发现 an article 描述了如何在管理门户中更改订阅的默认目录,但想知道如何使用 PowerShell 执行相同的操作。
“Select-AzureSubscription
”cmdlet 似乎不支持更改默认目录。
'Set-AzureKeyVaultAccessPolicy
' 也不支持指示它应该在哪个目录中查找的参数。
Key Vault 只能授权在与 Azure 订阅关联的目录中注册的应用程序(客户端),并且(当前)更改与订阅关联的 'home' 目录的唯一方法是通过 Azure 管理门户.
我认为这是设计好的行为,无法想象它会如何/为什么会发生变化。
Azure 订阅附加了一个 Azure Active Directory,这是每当有人尝试访问资源时它将用来进行身份验证的目录。
虽然您可以创建对其他 Active Directory 的信任,但仅创建一个新的 AAD 不会自动使该域受 Azure 信任。
Key Vault 旨在仅供经过身份验证的用户访问,旨在为这些用户提供安全数据。由于您创建的多个目录之间没有身份验证机制,因此 Key Vault 没有机制来确定这些目录属于谁。
Key Vault 需要通过附加到订阅的 Active Directory 解决服务原则运行(无论是直接通过该目录,还是通过它信任的另一个域)。其他任何东西都会产生额外的攻击向量并大大削弱产品。