Отображение приложения, связанного с субъектом службы Managed Service Identity, в регистрациях приложений AAD

У меня есть субъект-служба в Azure, который был создан, когда я включил управляемую идентификацию службы для одного из своих ресурсов Azure. Я хотел бы предоставить разрешения этому SP, используя область регистрации приложений на портале (я знаю, что могу сделать это с помощью New-AzureADServiceAppRoleAssignment, но в этом случае я хотел бы создать приложение).

С субъектом-службой связано приложение, guid которого отображается в разделе «Корпоративные приложения» колонки AAD, но этот идентификатор приложения не отображается в разделе регистрации приложений, и Get-AzureRmADApplication его тоже не видит.

Могу ли я использовать powershell или REST API, чтобы каким-либо образом изменить отображение приложения, связанного с субъектом службы MSI, в этой области?


azure azure-managed-identity azure-active-directory azure-security
person Josh    schedule 10.08.2018    source источник
comment
Есть обновления? Вы могли понять мой ответ?   -  person Joy Wang    schedule 16.08.2018

Ответы (1)


arrow_upward
2
arrow_downward

Если вы включите MSI, он автоматически создаст субъект-службу.

Субъект-служба имеет связанное приложение, guid которого отображается в разделе «Корпоративные приложения» колонки AAD.

То, что вы видели в Enterprise Applications, также называется service principal. Вы могли понять, что корпоративное приложение равно субъекту-службе.

но этот идентификатор приложения не отображается в разделе регистрации приложений, и Get-AzureRmADApplication его тоже не видит.

Если вы создадите регистрацию приложения, она также создаст субъект-службу в корпоративных приложениях. Но если вы включите MSI, приложения AD (регистрация приложения) не будет. Вы не могли сделать так, чтобы Enterprise Application (субъект-служба) отображался в App registration. Кроме того, когда вы предоставляете разрешение приложению AD, оно по существу предоставляет разрешение субъекту-службе.

Дополнительные сведения о регистрации приложения и субъекте службы см. В ссылка.

person Joy Wang    schedule 13.08.2018
comment
Оцените усилия, но это объяснение отношений MSI / SP / Application. Я конкретно спрашивал, как отобразить приложение SP от MSI на портале для управления. - person Josh; 13.08.2018
comment
@ Джош, я думаю, ты не смог бы этого сделать. У каждого рекламного приложения есть СП, но не у каждого СП есть рекламное приложение. Вы можете просто создать новое приложение, но когда вы создаете рекламное приложение, автоматически появится sp. В одном и том же арендаторе рекламное приложение может иметь только одну подписку. - person Joy Wang; 14.08.2018
comment
@Josh Короче говоря, приложения MSI SP не существует, так что вы не можете его найти. - person Joy Wang; 14.08.2018