【发布时间】:2017-03-17 00:09:51
【问题描述】:
我有一个 Azure 订阅,其中包含我的 Web 应用程序的所有资源。我创建了另一个 ActiveDirectory 租户,在租户中定义了一个 AD 应用程序,并将其设置为我的 AppService 的身份验证提供程序。现在,我想在我的订阅中创建一个 KeyVault 资源并授予我的 AD 应用程序对 KeyVault 的访问权限。
Azure KeyVault 文档说要运行以下 PS 命令:
Set-AzureRmKeyVaultAccessPolicy -VaultName <KVName> -ObjectId <ClientId> -PermissionsToKeys get
但是,这会返回以下错误:
Cannot find the Active Directory object '<ClientId>' in tenant '<MyDefaultTenantId>'
问题似乎是我的 KV 与我的 AD 应用程序不在同一个 AD 租户中,但 Set-AzureRmKeyVaultAccessPolicy 命令似乎没有 TenatId 参数。
有什么方法可以实现我想要的吗? 我是否必须将我的 AD 应用程序移动到我的默认 AD 租户?
【问题讨论】:
-
你在这里使用的clientid是什么? objectid 应该是与目标订阅中的广告应用程序对应的服务主体 ID
标签: azure azure-active-directory azure-keyvault