Я видел сообщения подобные этому где возникает путаница в отношении того, какое именно разрешение требуется, чтобы позволить ServicePrincipal вызывать Get-AzureRmRoleAssignment при входе в систему с помощью Login-AzureRmAccount.
В моем случае, если я вызову Get-AzureRmRoleAssignment с флагом -debug, я смогу зафиксировать следующую ошибку в теле ответа HTTP:
Body:
{
"odata.error": {
"code": "Authorization_RequestDenied",
"message": {
"lang": "en",
"value": "Insufficient privileges to complete the operation."
}
}
}
Я установил разрешения для приложения следующим образом... сначала доступ к Azure AD:
А затем доступ к Microsoft Graph:
Это по-прежнему дает ошибку сбоя authZ. Я даже пытался провести эксперимент, в котором я дал приложению ВСЕ разрешения для каждого API, и это все равно не сработало.
Чего не хватает? Какие разрешения ТОЧНО необходимы, чтобы разрешить программный доступ только для чтения для перечисления назначений ролей с помощью этого вызова?