Azure DevOps服务连接:服务主体的生存期

Question

在创建Azure DevOps和Azure之间的服务连接时，我很难理解Azure AD中创建的服务主体的生存期。我这样做：

我选了Azure资源经理

然后我选择推荐的

在此之后我会填空

我现在有了一个有效的服务连接，我可以从DevOps部署到Azure。我唯一需要的是一个拥有足够权利这样做的用户。我甚至可以看到Azure中的服务主体，它告诉我客户的秘密将在两年后到期：

我不明白的是：

1. 当秘密过期时，服务连接会停止工作吗？或者DevOps会以某种方式延长到期日期吗？
2. 我在任何地方都读不到这篇文章，所以这取决于我自己对“服务主体”概念的理解，但是如果用来创建主体的用户被禁用或删除，那么服务主体就会持续存在，对吗？
3. 如果2)是正确的，那么主体什么时候会被删除？当主体的范围被删除时？还是当服务主体本身被删除？

Answer 1

我将试着详细阐述这些主题。

1. 当秘密过期而您有错误时，您必须刷新连接。转到“编辑”对话框进行连接并保存，不作任何更改。这里描述：服务连接过期，无法编辑/更新，但是当我删除分配给服务主体用于Azure DevOps连接的所有机密时，我已经测试了场景。而且它还在工作。因此，我可以假设，这取决于您如何创建连接(自动或手动服务主体)。当使用自动路径创建时，它不依赖于秘密。另一方面，当我使用手动提供服务主体添加连接时，然后删除所有机密，则连接将停止工作。
2. 是的，服务主体将存在。但是，最佳做法是设置多个服务主体的所有者。如果删除了唯一的服务主体所有者，则需要有更高的权限来管理所有服务主体。
3. 服务主体本身不会过期，只有为其生成的秘密。要删除服务主体对象，必须手动执行。

Answer 2

1. 您创建的服务主体实际上存在于您的AAD中。当它到期时，AAD将停止授权AAD为该SP获得的任何令牌请求。所以是的，那么Azure Devops在尝试工作时就会开始失败。
2. SP 100%独立于创建它的用户，因此如果创建SP的用户被删除，它将持续存在。
3. 我相信当它过期时，它将处于AAD的过期状态，然后你可以手动删除它。

SP在AAD中存在于“申请注册”刀片之下。另一件需要注意的事情是，SP的默认创建行为是它拥有对它创建的整个订阅的完全RW访问。您可以使用--选项标志在创建时禁用此选项.