Может ли субъект-служба с доступом владельца к подписке получить доступ к активному каталогу
У меня есть субъект-служба Azure с доступом владельца, который может добавлять участников на уровне ресурса или группы ресурсов. Но когда я использую тот же субъект-службу для доступа к Azure AD, он терпит неудачу и выдает запрещенную ошибку 403. Возможно ли, что субъект-служба с доступом владельца к подписке не сможет получить доступ к Azure Ad в той же подписке?
Итак, у меня есть подписка, арендатор, секрет клиента и appid. Поэтому я использую это для создания токена для вызова пользователей. Я использую Microsoft Graph API 1.0.
У этого sp есть доступ владельца в этой подписке. Я использовал это, чтобы добавлять пользователей в качестве участников ресурсов или даже на уровне группы ресурсов. Тот же sp не позволяет мне запрашивать пользователей рекламы. Имеет ли sp с доступом владельца по умолчанию доступ к azure ad
Ответы 1
Подписка находится в клиенте Azure Ad, роль владельца — это роль RBAC, которая управляет ресурсами в подписке, а не арендатором Azure Ad.
Дополнительные сведения о ролях см. в Классические роли администратора подписки, роли Azure RBAC и роли администратора Azure AD.
Если вы хотите исправить ошибку вызова графика Microsoft для список пользователей/получить пользователя в арендаторе, перейдите к приложению AD в App registrations на портале -> API permissions -> Add a permission -> выберите Microsoft Graph -> Application permissions -> User.Read.All -> нажмите Add permissions -> нажмите Grant admin consent for xxx, тогда все заработает.
Не могли бы вы немного рассказать о том, как вы пытаетесь получить доступ к Azure AD с помощью этого субъекта-службы? Пожалуйста, поделитесь своим кодом, который приводит к ошибке 403, о которой вы упоминаете.