powershell - Azure Active Directory 应用程序和服务主体

Question

Azure Active Directory 具有应用程序和服务主体的良好概念，可以作为应用程序进行身份验证。 G。适用于 CI 平台或 SaaS 应用程序。

现在有多种方法可以创建这些内容，例如使用 MSOL 和 cmdlet:

New-MsolServicePrincipal -DisplayName "My new API app" -Type password -Value $myClientSecret

这工作得很好(在我使用 Add-MsolRoleMember 为服务主体分配一些角色后，我可以访问 Graph API)。但我还有一些疑问:

1. 为什么此 cmdlet 不需要先创建应用程序？
2. 此 cmdlet 是否同时创建应用程序和服务主体？
3. 为什么我在经典版和新版 Azure 门户中都看不到该应用程序？

也许有人可以回答我的第四个问题:上述 MSOL cmdlet 和 New-AzureRmADApplication + New-AzureRmADServicePrincipal cmdlet 之间有什么区别？我什么时候应该使用它们中的哪一个？

Answer 1

ARM cmdlet 和新的 Azure AD v2 cmdlet 均使用 Azure AD Graph API。

但是，New-MsolServicePrincipal 却没有。它使用 SOAP 调用 https://provisioningapi.microsoftonline.com/provisioningwebservice.svc。它是一个遗留 API，您不应该使用它。

服务主体必须始终有一个 appId，即创建它的应用程序的客户端 ID。

字段appOwnerTenantId标识应用程序来自哪个租户。它可以为空。 MS 内部应用程序(例如 Graph API、Azure 门户等)就是这种情况。使用 New-MsolServicePrincipal 创建的服务主体也是如此，并且省略了 appId。

因此问题 1 和 2 的答案是:如果未指定，则会自动创建应用程序。但我不确定它是在哪里创建的，因为它无法通过 Graph API 获得。这是一个纯粹的服务身份。而且appId每次都是不同的，所以它不仅仅是使用一些占位符应用程序。

关于问题 3:您在门户中看不到应用程序的原因是因为它无法通过 Graph API 获得，它隐藏在某个地方。至于服务主体，主体需要一个非常具体的魔术标签才能显示在企业应用程序列表中。而且据我所知，您无法使用 New-MsolServicePrincipal 或 New-AzureRmADServicePrincipal 指定它。

第四个问题的答案是 MSOL cmdlet 使用旧版 API，而两个较新的选项使用 Azure AD Graph API。 ARM cmdlet 创建一个您可以在门户中看到的应用程序。他们仍然创建了一个您在企业应用程序列表中看不到的应用程序。

在没有应用程序的情况下创建服务主体时，不同 cmdlet 的行为有所不同:

1. New-MsolServicePrincipal:使用某种隐藏应用创建主体，类似于 MS 内部应用(还设置 servicePrincipalType=Legacy)
2. New-AzureRmADServicePrincipal:为您创建一个应用程序，然后创建服务主体(该应用程序在门户中可见，但由于缺少标签，该主体只能通过应用程序的 Blade 可见)
3. New-AzureADServicePrincipal:不允许您在不提供 appId 的情况下创建它

如果您希望主体显示在企业应用程序列表中，就像您通过门户创建它一样，则可以使用 v2 cmdlet 提供必要的标签:

New-AzureADServicePrincipal -Tags @("WindowsAzureActiveDirectoryIntegratedApp") -AppId ed5fa582-3991-4114-87da-30081c4105fb

我认为新的 v2 cmdlet 是最好的，至少它们允许您以类似于 Portal 的方式创建服务主体。如果您的目的是创建一个在 ARM API 中使用 RBAC 的服务身份，那么 ARM cmdlet 就可以了，因为主体对此可见。