目前,我正在尝试从GitHub Action中读取Active Directory组的ObjectId,我已使用服务主体登录。
服务主体是具有以下附加权限的贡献者:
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/read"
使用Azure CLI运行以下命令时:
az ad group show -g {NAME OF GROUP}
我收到以下输出:
ValidationError: Insufficient privileges to complete the operation.
Error: Error: az cli script failed.
我尝试通过以下权限通过Microsoft Graph API向服务主体授予权限:
Directory.Read.All (Granted)
Group.Read.All (Granted)
但是,这些还不足以授予读取权限。
解决此问题的两种方法(建议使用第二种方法):
Azure AD Graph
不Microsoft Graph
,那么微软图形的权限将不会生效,您这里需要的是应用程序的权限(未委托权限)Directory.Read.All
在Azure AD Graph
。Directory Readers
,该角色的权限小于Directory.Read.All
上述权限,并且AAD Graph是受支持的旧版API,因此建议使用第二种方法。赋予角色后,等待一段时间才能生效,然后它将正常工作。本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句