使用 Bicep 添加 API 权限作为配置权限,而不是授予其他权限
问题描述 投票:0回答:1
第一次在这里发帖,所以如果我需要对我的问题进行任何更改或添加更多详细信息,请告诉我。我无法按照配置添加 API 权限。
我在这里关注帖子/答案:https://stackoverflow.com/a/78951253/12567070
但是当运行二头肌时,我获得了添加到我的应用程序注册中的权限。但是,它们仅添加为“授予的其他权限” - 我相信这是因为我尝试添加的权限“需要管理员同意”。是否可以用二头肌获得管理员同意?
使用的示例代码:
targetScope = 'tenant'
// entra-external-setup.bicep
extension microsoftGraph
param appName string = 'cspm'
param deployEnvironment string = 'lb'
var applicationRegistrationName = '${appName}-${deployEnvironment}-app-01'
var redirectUris = deployEnvironment == 'prod'
? ['https://app.${appName}.io']
: ['https://${applicationRegistrationName}.azurewebsites.net', 'https://localhost:44305']
resource microsoftGraphServicePrincipal 'Microsoft.Graph/[email protected]' existing = {
appId: '00000003-0000-0000-c000-000000000000'
}
resource applicationRegistration 'Microsoft.Graph/[email protected]' = {
uniqueName: applicationRegistrationName
displayName: applicationRegistrationName
web: {
redirectUris: [for item in redirectUris: '${item}/sigin-oidc']
implicitGrantSettings: {
enableIdTokenIssuance: true
}
}
requiredResourceAccess: [
{
resourceAppId: microsoftGraphServicePrincipal.appId
resourceAccess: [
{
id: '246dd0d5-5bd0-4def-940b-0421030a5b68', type: 'Scope'
}
]
}
]
}
resource applicationRegistrationServicePrincipal 'Microsoft.Graph/[email protected]' = {
appId: applicationRegistration.appId
}
resource grants 'Microsoft.Graph/[email protected]' = {
clientId: applicationRegistrationServicePrincipal.id
resourceId: microsoftGraphServicePrincipal.id
consentType: 'AllPrincipals'
scope: 'Policy.Read.All'
}
我的目标是使用 Bicep 添加 API 权限,在此授予:
我错过了什么?
1个回答
0
投票
投票
在您的二头肌文件中,您使用的是
246dd0d5-5bd0-4def-940b-0421030a5b68572fea84-0151-49b2-9301-11cb16974376为了确保正确,您可以从 MS Graph SP 检索值:
// Get a reference to the MS Graph Sp in the tenant
resource msGraphAppSp 'Microsoft.Graph/[email protected]' existing = {
appId: '00000003-0000-0000-c000-000000000000'
}
// space seperated list of scopes to apply
var msGraphAppOauth2PermissionScopes = 'Policy.Read.All APIConnectors.Read.All'
// create the app registration
resource applicationRegistration 'Microsoft.Graph/[email protected]' = {
uniqueName: applicationRegistrationName
displayName: applicationRegistrationName
web: {
redirectUris: [for item in redirectUris: '${item}/sigin-oidc']
implicitGrantSettings: {
enableIdTokenIssuance: true
}
}
requiredResourceAccess: [
{
resourceAppId: msGraphAppSp.appId
// Add all required delegated permissions: we get the id from the SP object
resourceAccess: [
for scope in split(msGraphAppOauth2PermissionScopes, ' '): {
id: first(filter(msGraphAppSp.oauth2PermissionScopes, (val, i) => val.value == scope)).id
type: 'Scope'
}
]
}
]
}
// Create the service principal
resource applicationRegistrationServicePrincipal 'Microsoft.Graph/[email protected]' = {
appId: applicationRegistration.appId
}
// Grant required access to MS graph
resource msGraphGrants 'Microsoft.Graph/[email protected]' = {
clientId: applicationRegistrationServicePrincipal.id
resourceId: msGraphAppSp.id
consentType: 'AllPrincipals'
scope: msGraphAppOauth2PermissionScopes
}
最新问题
- numpy:“类似数组”对象的正式定义?
- 开玩笑,如何模拟 ES6 模块的命名导出?
- 如何在Wix burn Bootstrapper上获取msi版本号
- Wix 补丁生成错误
- 分页 API 过滤后的 axios 结果数组为空
- 如何使用 SQLAlchemy 查询 (PostgreSQL) 视图
- 在服务器上运行的Pascal编译器
- 什么是用于重构文本的简单网页编译器?
- .js 和 .mjs 文件有什么区别?
- C 中 printf 的语法
- VBA 代码将工作表拆分为多个工作簿,同时还保存格式和工作表保护/锁定单元格
- 使用Flash Runtime作为平台(类似于JVM / CLR)
- 将多值字符串设置为要插入到数据库表中的行[重复]
- 为什么 C# 编译器为 GetType() 方法调用发出 callvirt 指令?
- Visual studio,如何输出构建所花费的时间?
- 内爆数组给出错误[重复]
- ValueError:无法将 NumPy 数组转换为张量(不支持的对象类型 csr_matrix)
- AWS Connect - 在通话进行时向客服人员播放录音并进行联系。或者,将文本转语音字符串插入到当前通话中
- 使用gdb将地址转换为行
- 防止 Keras3 中某些样本的权重更新
© www.soinside.com 2019 - 2024. All rights reserved.