Я не могу найти никакой документации о том, как выбрать, в каком AAD создать субъект-службу. По сути, я не могу выяснить, есть ли вообще способ добавить SP в локальный AAD.
Таким образом, у нас есть глобальная реклама по умолчанию, которая охватывает всю нашу регистрацию и ниже всех подписок. Я использую Powershell, основанный на многих примерах в сети, для создания SP в AD по умолчанию. Затем я разрешаю этому SP подписку, в которой он будет работать.
На данный момент я столкнулся со следующей проблемой. Я развертываю Key Vault, это работает.
New-AzureRmKeyVault -VaultName $VaultName -EnabledForDeployment -EnabledForTemplateDeployment -ResourceGroupName $ResourceGroupName -Location $Location -Verbose
Мне нужно добавить в него первый секрет как часть развертывания. Этот бит не работает, потому что SP не имеет доступа к KV.
# Set-AzureRmKeyVaultAccessPolicy -VaultName $VaultName -ResourceGroupName $ResourceGroupName -PermissionsToSecrets get,set -ServicePrincipalName $ServicePrincipalName
Это результат этой команды.
Set-AzureRmKeyVaultAccessPolicy : Cannot find the Active Directory object
'Service-Principal-Name' in tenant '6166a717-xxxx-xxxxx-b0e8-6b7288c1f7ec'.
Please make sure that the user or application service principal you are
authorizing is registered in the current subscription's Azure Active
directory.
При чтении этого невозможно установить, чтобы субъект глобальной службы AD получал/устанавливал локальное хранилище ключей. это должен быть местный руководитель службы. Однако у нас нет ни одного из них, и я нигде не могу понять, как его создать.
Кто-нибудь еще чувствует эту боль и знает, как ее решить?