У нас есть приложение, в котором настроен субъект-служба для предоставления доступа к ресурсам Azure. Для этого субъекта-службы настроен пароль с истечением срока действия.
Мы хотим настроить наше приложение так, чтобы оно было известно о дате истечения срока действия пароля учетных данных участника-службы. Как лучше всего предоставить доступ принципалу службы до истечения срока его действия?
По умолчанию это запрещено.
az ad app show --id xxxxxxxxxx
Insufficient privileges to complete the operation.
Но можно включить некоторые разрешения API (устаревший график Azure Active Directory /Directory.Read.All), и он работает, но это кажется слишком открытым.
Есть ли способ предоставить доступ только для просмотра данных из собственного идентификатора приложения? Как лучше всего это сделать?