【发布时间】:2018-05-25 12:39:04
【问题描述】:
我正在尝试使用 AAD 令牌启用服务到服务身份验证。我的计划是验证令牌中的“组”声明,以确保调用者是我们创建的安全组的成员。
例如,我们将为读者创建 group1,为作者创建 group2。然后根据“组”声明,我会找出正确的访问级别。
我使用 AAD 应用程序来颁发令牌(不是用户),因此我需要该应用程序成为安全组的成员。 Azure AD powershell 似乎不接受应用程序 ID 作为组成员。如何解决这个问题?当调用者是另一个 AAD 应用时,还有其他推荐的模式吗?
使用的命令: https://docs.microsoft.com/en-us/powershell/module/azuread/Add-AzureADGroupMember?view=azureadps-2.0
Error:
Add-AzureADGroupMember : Error occurred while executing AddGroupMember
Code: Request_BadRequest
Message: An invalid operation was included in the following modified references: 'members'.
RequestId: 0441a156-3a34-484b-83d7-a7863d14654e
DateTimeStamp: Mon, 11 Dec 2017 21:50:41 GMT
HttpStatusCode: BadRequest
HttpStatusDescription: Bad Request
HttpResponseStatus: Completed
At line:1 char:1
+ Add-AzureADGroupMember -ObjectId "9c2cdf89-b8d6-4fb9-9116-7749adec85c ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Add-AzureADGroupMember], ApiException
+ FullyQualifiedErrorId : Microsoft.Open.AzureAD16.Client.ApiException,Microsoft.Open.AzureAD16.PowerShell.AddGroupMember
【问题讨论】:
-
其实,如果你已经有一个Azure AD应用,看起来你已经有一个服务主体,可以通过Get-AzureADServicePrincipal获取:docs.microsoft.com/en-us/azure/data-lake-store/…
-
Stack Overflow 是一个编程和开发问题的网站。这个问题似乎离题了,因为它与编程或开发无关。请参阅帮助中心的What topics can I ask about here。也许Server Fault 或Webmaster Stack Exchange 会是一个更好的提问地点。
标签: azure active-directory azure-active-directory