Azure DevOps / Azure KeyVault：通过模板部署添加服务主体答案

【问题标题】：Azure DevOps / Azure KeyVault: add Service Principal via Template deploymentAzure DevOps / Azure KeyVault：通过模板部署添加服务主体
【发布时间】：2019-04-21 21:08:06
【问题描述】：

我正在使用 ARM 模板部署 Azure Key Vault，并希望将服务主体添加到访问控制策略中。因此，我在 Azure Active Directory 中创建了一个应用程序并获取应用程序的对象 ID：

然后我在参数文件中添加入口：

"accessPolicies": {
    "value": [
        {
            "objectId": "xxx",
            "tenantId": "xxx",
            "permissions": {
                "keys": [
                    "Get",
                    "List",
                    "Update",
                    "Create",
                    "Import",
                    "Delete",
                    "Recover",
                    "Backup",
                    "Restore"
                ],
                "secrets": [
                    "Get",
                    "List",
                    "Set",
                    "Delete",
                    "Recover",
                    "Backup",
                    "Restore"
                ],
                "certificates": [
                "Get",
                "List",
                "Update",
                "Create",
                "Import",
                "Delete",
                "Recover",
                "Backup",
                "Restore",
                "ManageContacts",
                "ManageIssuers",
                "GetIssuers",
                "ListIssuers",
                "SetIssuers",
                "DeleteIssuers"
                ]
            }
        }
    ]
}

但在随后的 Azure Key Vault 任务中，我收到 Access Denied 错误。

我必须做些什么才能通过具有适当访问权限的模板部署将服务主体添加到 Azure Key Vault？

【问题讨论】：

标签： azure-devops azure-resource-manager azure-pipelines-release-pipeline azure-keyvault

【解决方案1】：

问题是选择了“错误”的对象 ID。不是从App registrations 获取对象ID，而是需要从Enterprise applications 获取它

通过用户界面到达那里的另一个选项是点击Managed application in local directory -> Properties

【讨论】：