Azure-AAD-Rolle für Octopus-Webapp-Bereitstellungen

Question

Ich verwende Octopus Deploy zur Bereitstellung einer Azure-Webanwendung mit dem Dienstprinzipal als Authentifizierungsmechanismus. Nach den Online-Anweisungen konnte ich alle IDs und einen Schlüssel abrufen, und ich erstellte Berechtigungen in AAD für die App mit einer Leserrolle.

Octopus kann erfolgreich eine Liste von Webapps von Azure für das Konto, abzurufen, aber wenn ich bereitstellen ich folgendes:

System.AggregateException: Ein oder mehrere Fehler aufgetreten sind. ---> System.Exception: Suchen Publishing-Anmeldeinformationen mit HTTP Status 403 fehlgeschlagen - Verbotene

Ich vermute, dass die Rolle Leser nicht für Einsätze zugelassen ist - was die am besten geeignete Rolle sein würde? Oder muss ich noch etwas anderes tun?

Answer 1

Ihr Service Principal benötigt die Contributor-Rolle, um auf Azure bereitgestellt zu werden.

Wenn Sie sich das Beispiel-PowerShell-Skript ansehen, das wir in our Azure Service Principal Account guide bereitstellen, sehen Sie, dass wir "Contributor" für das Rollendefinitionsargument zuweisen.

dh.

New-AzureRmRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $azureAdApplication.ApplicationId

Hoffnung, das hilft.

Answer 2

Wenn Sie den Service Principal nur zum Bereitstellen einer Webanwendung verwenden, können Sie ihm die Rolle Website Contributor zuweisen.

Webseite Contributor Kann Websites verwalten, aber nicht die Web-Pläne die sie

Aktionen verbunden sind, die Website-Feed abonnieren Sie bitte auf diese link beziehen zugreifen konnte.

Wenn Sie möchten, dass der Dienstprinzipal einen App-Serviceplan erstellt, müssen Sie auch die Web Plan Contributor Rolle angeben.

Owner und Contributor kann alles verwalten, wenn Sie die Berechtigungen anpassen müssen, empfehle ich Ihnen Website Contributor Rolle auswählen. Weitere Informationen finden Sie unter diesem Link: Built-in roles for Azure role-based access control.

Bitte beachten Sie diese link:Assign application to role.