个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在尝试通过 Azure DevOps 使用以下 terraform 代码创建 Azure AD 组。
# Create Azure AD Group in Active Directory for AKS Admins
resource "azuread_group" "aks_administrators" {
#name = "${azurerm_resource_group.aks_rg.name}-administrators"
display_name = "${azurerm_resource_group.aks_rg.name}-${var.environment}-administrators"
description = "Azure AKS Kubernetes administrators for the ${azurerm_resource_group.aks_rg.name}-${var.environment} cluster."
security_enabled = true
}
我已按照以下步骤提供通过 Azure DevOps ARM 服务连接(服务原则)创建 Azure AD 组的权限。
• 为上一步中创建的服务连接提供创建 Azure AD 组的权限
• 转至 -> Azure DevOps -> 选择组织 -> 选择项目 terraform-azure-aks
• 转到项目设置 -> 管道 -> 服务连接
• 打开 terraform-aks-azurerm-svc-con
• 单击“管理服务主体”,将打开新选项卡
• 单击“查看 API 权限”
• 单击“添加权限”
• 选择 API:Microsoft API
• 常用的 Microsoft API:支持的旧版 API:Azure Active Directory Graph - 不推荐使用 Microsoft Graph
• 单击“应用程序权限”
• 检查 Directory.ReadWrite.All 并单击“添加权限”
• 单击授予管理员对默认目录的同意
但我收到以下错误:
Error: Creating group "xxxxxxxxxx-administrators"││ with azuread_group.aks_administrators,│ on 06-aks-administrators-azure-ad.tf line 2, in resource "azuread_group" "aks_administrators":│ 2: resource "azuread_group" "aks_administrators" {││ graphrbac.GroupsClient#Create: Failure responding to request:│ StatusCode=403 -- Original Error: autorest/azure: Service returned an│ error. Status=403 Code="Unknown" Message="Unknown service error"│ Details=[{"odata.error":{"code":"Authorization_RequestDenied","date":"2022-01-25T04:06:31","message":{"lang":"en","value":"Insufficient│ privileges to complete the│ operation."}}}]
最佳答案
请检查 Microsoft Graph 权限 Directory.ReadWrite.All 是否已提供给服务连接及其已获得管理员同意。
我在我的环境中进行了相同的测试,我向我的服务主体授予了权限,但没有授予管理员同意,如下所示:
部署以下代码时,出现错误:
provider "azuread" {}
# Create Azure AD Group in Active Directory for AKS Admins
resource "azuread_group" "aks_administrators" {
#name = "ans-aks-administrators"
display_name = "ans-aks-test-administrators"
description = "Azure AKS Kubernetes administrators for the ans-aks-test cluster."
security_enabled = true
}
授予管理员同意后,问题得到解决:
如果问题仍然出现,请为服务连接服务主体添加新的 key 并使用以下代码:
provider "azuread" {
client_id = "ClientID of the service principal"
client_secret = "ClientSecret"
tenant_id = "<TenantID>"
}
# Create Azure AD Group in Active Directory for AKS Admins
resource "azuread_group" "aks_administrators" {
#name = "ans-aks-administrators"
display_name = "ans-aks-test-administrators"
description = "Azure AKS Kubernetes administrators for the ans-aks-test cluster."
security_enabled = true
}
关于Azure AD 组 - Authorization_RequestDenied - 权限不足,无法完成操作,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70851465/
25
4
0
我想在我公司的 Intranet 中,在 Internet 上放置一个 Web 服务,以使合作伙伴能够访问该 Web 服务提供的信息。 目前,Web 服务位于 SOA 中,我决定将所有内容都迁移到 R
是the Scribe OAuth library (用Java编写)支持3足OAuth ? 这里有人说它只适用于两条腿: How do I use OAuth within my GWT appli
在 React 中使用 Redux 进行 OAuth2 身份验证的可接受方法是什么? 我当前的设置涉及使用 Redux-Auth-Wrapper 包装 react 路由器组件,如果用户未经过身份验证,
OAuth 1.0a 凭证需要以明文形式(或以明文形式检索的方式)存储在服务器上,至少在进行 2 腿身份验证时,我是否正确?假设您使用的是 HTTPS 或其他 TLS,这不是比使用用户名和加盐 + 哈
我是一名优秀的程序员,十分优秀!