执行操作'Microsoft.Logic/workflows/triggers/listCallbackUrl/action‘的授权

Question

我正致力于记录与Azure的集成，以便稍后供同事使用。这是为了获取AAD承载令牌(已完成)，并使用它获得Logic回调URL。问题是如何正确地允许客户端应用程序。我没有找到关于在门户中设置的正确范围的文档。另外，我自己也没有管理权限，所以试错不是一种选择。

现在，我已经在Azure注册了一个只有默认权限的应用程序。因此，当我尝试所需的操作时，我会得到错误响应：

{“错误”：{“代码”："AuthorizationFailed"，“消息”：“具有对象id‘{对象Id}’的客户端‘{客户端id}’没有对范围/订阅/{订阅id}/资源组/{ Name}/providers/Microsoft.Logic/workflows/{workflow名称}/触发器/手动执行操作的授权。”}}

在试图获得应用程序正确的权限时，我遇到了Azure门户中的错误：

您正在添加需要管理员同意的权限，在管理员授予应用程序权限之前，用户将无法使用该应用程序。

这是我所期望的，所以我试图告诉我的管理员需要给予或授权的确切许可。

这可能可以在PowerShell中完成，而且比在Portal甚至CLI中都容易。我不是一个特定的方法，只是寻找方向或文件如何正确配置客户端应用程序。我认为我需要通过access Control (IAM)选项卡让我们的应用程序至少允许参与者访问资源组。但是，在这个订阅中，我没有“添加”选项，这意味着我没有权限这样做。

现在，我正在使用使用azure广告注册客户端应用程序的文档，但在向其他人解释之前，我还没有找到正确允许注册客户端的步骤。也许还有更详细的文档，或者有人知道我还没有发现的博客文章？

谢谢

Answer 1

在运行时获取回调url需要调用API操作Microsoft.Logic/integrationAccounts/assemblies/listContentCallbackUrl/action的权限。你可以有几种方法：

• 创建自定义角色具有所需的API访问权限。从最小特权的角度来看，这很好，但是您仅限于200个自定义角色，您需要记录该角色的作用，并跟踪该角色的未来
• 您可以利用逻辑应用程序贡献者的内置角色，该角色在逻辑应用程序apis上可以任意使用。

无论您选择哪一个，下一步都是将与应用程序关联的服务主体(或AD中定义的用户或组帐户)分配给角色。下面是关于使用门户的角色分配过程的一个很好的演练或使用CLI，如果你愿意的话