0
서비스 주체를 생성 할 AAD를 선택하는 방법에 대한 문서를 찾을 수 없습니다. 기본적으로 SP를 로컬 AAD에 추가하는 방법이 있는지 확인할 수 없습니다.서비스 주체를 만드는 AAD는 어떻게 선택합니까?
그래서 우리는 우리의 모든 등록을 커버하고 모든 구독을 커버하는 기본 글로벌 광고를 가지고 있습니다. 나는 Powershell을 사용하여 그물에있는 많은 예제를 파생시켜 기본 광고에 SP를 만들었습니다. 그렇다면 내가 가입 할 SP에 대한 허가를 받아야합니다.
이 시점에서 나는 다음과 같은 문제를 겪었습니다. 키 볼트 (Key Vault)를 배포하고 있습니다.
New-AzureRmKeyVault -VaultName $VaultName -EnabledForDeployment -EnabledForTemplateDeployment -ResourceGroupName $ResourceGroupName -Location $Location -Verbose
배치의 일부로 첫 번째 비밀 정보를 추가해야합니다. SP가 KV에 액세스 할 수 없기 때문에이 비트가 실패합니다.
# Set-AzureRmKeyVaultAccessPolicy -VaultName $VaultName -ResourceGroupName $ResourceGroupName -PermissionsToSecrets get,set -ServicePrincipalName $ServicePrincipalName
이것은 명령의 결과입니다.
Set-AzureRmKeyVaultAccessPolicy : Cannot find the Active Directory object
'Service-Principal-Name' in tenant '6166a717-xxxx-xxxxx-b0e8-6b7288c1f7ec'.
Please make sure that the user or application service principal you are
authorizing is registered in the current subscription's Azure Active
directory.
이 글을 읽으면 Global Key Service Principal을 로컬 Keyvault에서 가져 오기/설정하도록 설정할 수 없습니다. 로컬 서비스 교장이어야합니다. 그러나 우리는 그 중 하나를 가지고 있지 않으며, 그 중 하나를 만드는 방법을 어디에서 찾을 수는 없습니다.
다른 사람이이 고통을 느끼고 그것을 해결하는 방법을 알고 있습니까?
구독에 대한 기본 디렉토리를 변경하는 방법이 있습니까? 그렇다면, 미래에 가입하려고 시도하고 액세스하는 다른 모든 엔티티에 대한 인증에 어떻게 영향을 줍니까? – bytejunkie
예. 이전 포털의 동일한 설정 페이지에서 기본 디렉토리를 변경할 수 있지만 서비스 관리자/가입 작성자 만 액세스 할 수 있다고 생각합니다. 질문의 두 번째 부분에 관해서는, 내가 이해하는 것에서 그것은 당신이 구현하기를 원하는 방식에 달려 있습니다. 모든 엔티티에 대한 인증을 처리하는 단일 SP를 보유하거나 자원에 액세스하려는 각 유형의 엔티티에 대해 SP를 작성할 수 있습니다. –
우리는 배포를 실행할 때마다 포털에 들어가야 만 PowerShell에서이 작업을 수행하려고합니다. – bytejunkie