Azure Active Directory 将服务主体添加到组 - 无需分配目录权限

Posted

技术标签:

【中文标题】Azure Active Directory 将服务主体添加到组 - 无需分配目录权限【英文标题】:Azure active directory add a service principal to a group - without assigning directory permissions 【发布时间】:2019-06-17 08:58:53 【问题描述】:

关于 Azure AD 和 Graph API 的问题 将服务主体添加到 Azure AD 组需要目录权限。仅将成员添加到组中就很难获得目录权限的批准。有没有办法实现自动创建 AAD 组并将服务主体添加到其中而无需目录权限?

https://docs.microsoft.com/en-us/graph/api/group-post-members?view=graph-rest-1.0

【问题讨论】:

只有组才能将成员添加到您的应用程序将创建的组中吗? 【参考方案1】:

从 API 的角度来看,简短的回答是否定的。 (因为无论您如何尝试实现权限,都应该尊重权限)

作为一种解决方法,您可以分配一个可以帮助您解决方案的组所有者。这样您就不必通常授予所需的目录权限,而是将某人指定为特定组的所有者。

虽然,AFAIK,您可以将组所有者分配为用户(而不是服务主体)。我从 Azure 门户尝试过。

【讨论】:

以上是关于Azure Active Directory 将服务主体添加到组 - 无需分配目录权限的主要内容,如果未能解决你的问题,请参考以下文章

text Azure Active Directory身份验证

Azure *** 客户端 Azure Active Directory 身份验证

用于查询Azure Active Directory的Azure服务

Active Directory 从浏览器访问 Azure 存储

Azure Active Directory Powershell 管理

使用 azure-cli 访问 Azure Active Directory 的令牌