azure-logic-apps - 将托管身份分配给应用角色需要什么权限?
问题描述
我想授权多个逻辑应用访问由应用注册保护的 API 上的操作,该应用注册具有多个描述不同操作的应用角色。目前,目录管理员在New-AzureADServiceAppRoleAssignment创建逻辑应用后手动执行此操作,因为在此之前关联的服务主体不存在。
我宁愿这是自动化的,因为特别是在开发中,要求目录管理员重新运行此脚本的手动工作非常繁琐。但是我不知道如何授予脚本帐户 - 链接到 DevOps 服务连接的服务主体 - 仅授予执行此操作的权限,而不是使其成为能够执行任何操作的目录管理员。如果服务连接是目录管理员,开发人员将能够为其提供脚本来告诉它创建或删除角色分配的任何组合,使他们能够让自己参与任何事情,并且还排除了应该能够阻止这种情况的人. 这是一个不可接受的安全漏洞。
允许自动化流程编写应用程序角色分配的创建脚本所需的最低权限是多少,仅此而已,这在哪里记录?
解决方案
对于此要求,您只需将脚本帐户添加为应用程序的所有者(只需创建一个没有任何角色的新用户并将其添加为应用程序的所有者)。然后它只能在这个应用程序中添加角色分配,但不能对其他应用程序的角色分配进行其他操作。
推荐阅读
- python - Python列表仅附加字典
- javascript - ReactJS:在字符串中查找 html 标签并检查它们是否包含在反引号中
- php - PHP SOAP 添加信封请求
- markdown - 如何在 Markdown 中使用 $?
- sql - 以用户指定的顺序存储数据
- javascript - 更改 Magnify.js 的镜头位置
- csv - BigQuery EXPORT sql 正在分片小查询结果
- xamarin - 该应用程序已在 Xamarin 中终止 iOS
- html - 为什么绝对定位的孩子和具有 1px 边框的父母之间存在差距
- magento2 - 结帐加载程序不断加载 Magento 2.3.7