可以将系统分配的托管服务标识添加到 AAD 组吗?
Posted
技术标签:
【中文标题】可以将系统分配的托管服务标识添加到 AAD 组吗?【英文标题】:Can an System assigned managed service identity be added to an AAD group? 【发布时间】:2019-04-02 18:42:11 【问题描述】:我有一个使用 MSI 标识运行的 Azure 数据工厂 V2 服务。此服务需要访问具有数千个文件夹和数百万个文件的 Data Lake Gen 1。
为了提高效率,我们为数据湖的根分配了一个组,该组具有 RX 权限,并且这些权限在整个树中被继承和默认。
我想将上述 ADF MSI 添加到该组,但我不知道如何通过门户 AAD 刀片。
我可以将此 MSI 直接分配给数据湖,但它必须更新数百万个速度缓慢且容易出错的文件(刀片需要在应用权限时保持打开状态,这通常会在所需的数小时内失败网络故障)。
标记。
【问题讨论】:
【参考方案1】:是的。可以将系统分配的托管标识添加到 Azure AD 组。请参阅此链接,了解如何通过 PowerShell 实现它:https://docs.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/tutorial-windows-vm-access-sql#create-a-group-in-azure-ad-and-make-the-vms-system-assigned-managed-identity-a-member-of-the-group
【讨论】:
谢谢!埋在与 SQL 和 VM 相关的文档中 - 答案是这可以在 powershell 中完成 - 而不是门户。我请文档团队看看他们是否会以更明显的方式(如一般的 How-To 文章)来展示这一点。我创建了一个通用脚本来将 MSI 服务主体添加到 AAD 组。 感谢您的反馈。我们将考虑为此添加一个操作方法。 如果我希望我的托管标识使用sharepoint api,我如何将托管标识添加到成员组? 本文所指的文档已更改,不再讨论将成员分配到组。 @TomW - 这是变化 - github.com/MicrosoftDocs/azure-docs/commit/…【参考方案2】:现在也可以使用 Azure CLI:
az ad group member add --group <Group Object ID or Name> --member-id <Object ID of your managed identity>
【讨论】:
以上是关于可以将系统分配的托管服务标识添加到 AAD 组吗?的主要内容,如果未能解决你的问题,请参考以下文章
Azure 应用服务能够使用托管标识(无应用角色)调用另一个受 AAD 保护的应用服务,为啥?
在 Azure Pipelines 中使用托管标识:GetUserAccessToken:无法获取标识的访问令牌。 AAD 返回静默失败
在 Azure 应用服务身份验证与身份验证(经典)中重定向以使用 AAD 登录