从 Visual Studio 访问 Azure 参与者答案

【问题标题】：Azure contributor access from Visual Studio从 Visual Studio 访问 Azure 参与者
【发布时间】：2017-03-25 17:36:51
【问题描述】：

作为安全最佳实践，我们的客户在其 Azure 门户资源组中将开发人员角色限制为参与者。一切都很好，但是如果我们使用贡献者角色从 Visual Studio 登录到 azure，这会严重限制使用 Visual Studio 中的任何类型的 azure 集成（部署、服务器资源管理器、云资源管理器等）。我们正在开发典型的 MSBI 服务，例如数据湖分析 (usql)、azure 分析服务、dw。而且我们不能使用任何 Visual Studio azure 连接功能。

我找到了使用管理证书的解决方案。但是 MS 站点警告不要使用它，因为它会允许访问所有 azure 资源，从而违反贡献者限制的目的。

我可以请求任何指导吗？

【问题讨论】：

为什么不让客户端创建一个为您配置的资源组，用于开发/测试目的，并具有适当的访问权限？如果客户将您拒之门外，除了为开发/测试运行您自己的 Azure 订阅之外，不确定您还能做什么。
客户端创建了一个资源组并通过 RBAC 提供了访问权限。但是，要使用 Visual Studio，我们需要有一个订阅，除非您作为订阅管理员/共同管理员关联，否则您无法获得该订阅。如果我在这方面错了，我会得到纠正。我相信 MS 已经创建了 RBAC 概念来微调访问管理 - 因此您可以将所有权授予用户可以拥有完全所有权的子部分。但是，如果这阻止了在该区域使用视觉工作室，那么我对模型有误。也许使用 VSTS 从 VControl 获取代码，然后使用更高的角色部署到 azure？

标签： visual-studio azure rbac

【解决方案1】：

您可以在 VS 中使用 RBAC 帐户，只有“旧”功能无法识别它们 - 例如Cloud Service Publish、Server Explorer（为此使用 Cloud Explorer）。

最近的任何东西（AzureRM 工具、云资源管理器、Web 工具、Connected Svcs、团队资源管理器）都可以与 RBAC 一起使用

您在使用哪些功能时遇到问题？

【讨论】：

感谢您的帖子。我们正在使用 Azure Data Lake Store、Data Lake Analytics、Azure 分析服务器、ADF 和其他一些东西。我们面临的挑战是 - a) 当我们使用贡献者用户访问创建天蓝色连接时，无法在 VS 的服务器资源管理器/云资源管理器中查看上述任何资源。 VS 抱怨用户没有订阅。我们无法使用 ADF 发布。我们无法在 Azure 上运行未注册 USQL 程序集的 USQL 脚本，因为我们在服务器资源管理器上看不到要启动的分析服务器。这些是一些问题。
我在 Cloud Explorer -> Azure 帐户设置中尝试使用参与者角色访问。它给出了错误“我们没有找到与您的帐户关联的任何 Microsoft Azure 订阅。注册订阅”
嗯...如果您仍有问题并想给我发电子邮件（bmoore at microsoft），我们可以尝试调试。
抱歉 @bmoore-msft 无法通过电子邮件与您联系 - 可能我的电子邮件没有送达您 :(
经过进一步调查，我似乎成功地从我的错误订阅中添加了一个贡献者到云浏览器。查看 Fiddler 输出，我意识到 VS 正在使用 VSTS api 进行身份验证。所以我决定设置一个 VSTS 帐户并将其链接到我的 Azure AD 目录以进行订阅。然后，我将该用户添加为 VSTS 项目中的成员。我检查了我是否可以使用用户的 azure 凭据登录。现在，当我尝试通过 VS Cloud 资源管理器进行连接时，我能够登录 - 它在资源管理器中显示订阅。有没有人知道这是否是问题所在？