Я создал кластер Service Fabric через портал, используя тип конфигурации Basic для безопасности, поэтому он автоматически генерирует сертификаты в выбранном мной хранилище ключей.
Затем я создал приложения Azure AD в соответствии с инструкциями на https://docs.microsoft.com/en-gb/azure/service-fabric/service-fabric-cluster-creation-via-arm#set-up-azure-active-directory-for-client-authentication и назначил себе роль администратора на предприятии _Cluster применение.
Затем я настроил безопасность AAD для кластера, используя значения из сценария PowerShell, использованного на предыдущем шаге.
Теперь я могу выполнить развертывание из Visual Studio, так что по крайней мере часть его работает. Однако при переходе к обозревателю Service Fabric при входе в систему появляется следующая ошибка:
AADSTS65005: недопустимый ресурс. Клиент запросил доступ к ресурсу, который не указан в запрошенных разрешениях при регистрации клиентского приложения. Идентификатор клиентского приложения: [отредактировано]. Значение ресурса из запроса:. Идентификатор приложения ресурса: 00000002-0000-0000-c000-000000000000. Список допустимых ресурсов из регистрации приложения:.
Какой шаг я пропустил, что вызвало эту ошибку?
Посмотрев на исходный код SetupApplications.ps1, я заметил следующее:
.PREREQUISITE
1. An Azure Active Directory tenant.
2. A Global Admin user within tenant.
...
.PARAMETER AddResourceAccess
Used to add the cluster application's resource access to "Windows Azure Active Directory" application explicitly when AAD is not able to add automatically. This may happen when the user account does not have adequate permission under this subscription.
Добавление AddResourceAccess переключатель исправил проблему, теперь он добавляет Windows Azure Active Directory запись для регистрации приложения _Cluster.
Обратите внимание, что даже владелец подписки должен добавить переключатель, очевидно, даже у этих учетных записей нет необходимых разрешений. Это видно по новому сообщению об ошибке, отображаемому при входе в систему, которое указывает на то, что вам нужна помощь глобального администратора для завершения настройки:
foo_Cluster требуется разрешение на доступ к ресурсам в вашей организации, которое может предоставить только администратор. Пожалуйста, попросите администратора предоставить разрешение этому приложению, прежде чем вы сможете его использовать.