Je suis un employé de Microsoft et je suis nouveau sur Azure. Je souhaite déployer un principal de service sur mon abonnement Microsoft Azure interne. À l'aide de l'interface de ligne de commande Azure, lorsque j'exécute
az ad sp create-for-rbac --name $spn_name
, j'obtiens l'erreur «Privilèges insuffisants pour terminer l'opération». La documentation ici ( https://docs.microsoft.com/en-us/cli/azure/create-an-azure-service-principal-azure-cli?view=azure-cli-latest ) donne l'impression que je n'ai pas configuré correctement Azure Active Directory.
Je n'ai pas Azure Active Directory sur mon abonnement interne. Dois-je ajouter ceci? Si tel est le cas, comment puis-je configurer cela sur mon compte interne Microsoft? Existe-t-il un moyen de créer un principal de service sans Azure Active Directory?
3 Réponses :
L'utilisateur normal sans rôles d'administrateur pourra également créer un principe de service même avec Azure CLI. Si le scénario est que vous créez un principe de service à partir d'une application, vous avez besoin des autorisations d'application. Veuillez répondre à la question similaire qui aide à résoudre votre problème.
Devoir impliquer des administrateurs globaux pour quelque chose comme la création d'un principal de service pour une connexion de service Azure DevOps est un PITA si important - j'aimerais qu'il y ait un moyen de créer une identité / principal de service local d'abonnement
Salut @ Cocowalla, je n'ai pas d'idée sur le scénario devops, mais veuillez consulter ma réponse mise à jour.
La question à laquelle vous avez lié concerne l'attribution d'autorisations à un principal de service, plutôt que les autorisations dont les développeurs ont besoin pour créer le principal de service en premier lieu?
Pour le niveau utilisateur, il n'y a pas d'autorisations nécessaires.Admin devrait permettre à l'utilisateur d'enregistrer une application comme mentionné par Carl Zhao
Oui, mais "l'utilisateur peut enregistrer une application" est une permission! Et le problème est qu'il est activé pour tout le monde ou pour personne, donc les entreprises n'aiment pas l'utiliser
Je suis d'accord, mais cette erreur est généralement affichée pour les rôles et les autorisations d'API.
Ne nécessite pas que vous ayez des autorisations d'administrateur.
Si le type d'utilisateur de votre compte est simplement un membre du locataire. Assurez-vous que dans le portail -> AAD -> Paramètres utilisateur -> Les utilisateurs peuvent enregistrer des applications est Oui.
Malheureusement, il s'agit d'un instrument assez brutal, de nombreuses organisations ne le permettront pas
@Cocowalla C'est un must!
@Cocowalla Si ma réponse vous est utile, vous pouvez l'accepter comme réponse (cliquez sur la coche à côté de la réponse pour la faire passer de grisée à remplie.). Voir meta.stackexchange.com/questions / 5234 /… Cela peut être bénéfique pour d'autres membres de la communauté. Merci.
@Cocowalla Si vous avez des questions, n'hésitez pas à me les poser, je vous répondrai dans les plus brefs délais.
Je ne suis pas l'OP, je suis juste un peu au hasard ayant une diatribe sur la façon horriblement gênante du modèle d'autorisations d'Azure est d'accéder à la création / modification des inscriptions / mandants d'applications AAD :)
@Cocowalla Oh, désolé :).
Il semble que le problème était que mon nom de SP n'était pas unique. Changer le nom a résolu ce problème pour moi.