#azure-active-directory #microsoft-graph-api #github-actions #active-directory-group #azure-service-principal
#azure-active-directory #microsoft-graph-api #github-действия #active-directory-group #azure-service-principal
Вопрос:
В настоящее время я пытаюсь прочитать идентификатор объекта группы Active Directory из действия GitHub, в котором я вошел в систему с помощью участника службы.
Участник службы является участником со следующими дополнительными разрешениями:
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/read"
при выполнении следующей команды с Azure CLI:
az ad group show -g {NAME OF GROUP}
Я получаю следующий вывод:
ValidationError: Insufficient privileges to complete the operation.
Error: Error: az cli script failed.
Я попытался предоставить разрешение участнику службы через Microsoft Graph API со следующими разрешениями:
Directory.Read.All (Granted)
Group.Read.All (Granted)
Однако этого недостаточно для предоставления разрешений на чтение.
Ответ №1:
Два способа устранения проблемы (рекомендуется второй):
- Эта команда по существу вызывает
Azure AD GraphnotMicrosoft Graph, поэтому разрешение Microsoft Graph не вступит в силу, здесь вам нужно разрешение приложения (не делегированное разрешение)Directory.Read.AllAzure AD Graph.
- Другой способ — предоставить участнику службы роль администратора Azure AD, например
Directory Readers, разрешение этой роли меньше, чемDirectory.Read.Allуказано выше, а AAD Graph является поддерживаемым устаревшим API, поэтому рекомендуется второй способ. После предоставления роли подождите некоторое время, чтобы она вступила в силу, тогда она будет работать нормально.
Комментарии:
1. Спасибо, Джой, я последовал вашей второй рекомендации, и она отлично сработала, я ценю ответ