Get-AzSubscription command should display warning or fail if non-default tenant id is given when MSi auth is being used · Azure/azure-powershell#25710

(2 Kommentare) (0 Reaktionen) (0 zugewiesene Personen)PowerShell (3.744 Forks)batch import

AuthenticationAzure PS TeamTrackingbugcustomer-reportedgood first issue

Repository-Metriken

Stars: (4.102 Stars)
PR-Merge-Metriken: (Durchschn. Merge 14T 2h) (129 gemergte PRs in 30 T)

Beschreibung

Description

This issue happens only whan managed service identity is being used.

If user input tenant id that does not match with the Default Context tenant id command silently ignore usser input and does nothing:

https://github.com/Azure/azure-powershell/blob/b60bd252c86a5459ab28476651fd45f8810e839f/src/Accounts/Accounts/Subscription/GetAzureRMSubscription.cs#L109-L121

When using other authentication methods -tenantId allows using tenant name. For script portability that should also be supported with managed service authentication.

If usage of the tenant names cannot be used with managed service authentication command should at least warn about unexpected input instead on silently doing nothing.

Issue script & Debug output

N/A

Environment data

PS /home/janne> $PSVersionTable                                           

Name                           Value
----                           -----
PSVersion                      7.4.3
PSEdition                      Core
GitCommitId                    7.4.3
OS                             CBL-Mariner/Linux
Platform                       Unix
PSCompatibleVersions           {1.0, 2.0, 3.0, 4.0…}
PSRemotingProtocolVersion      2.3
SerializationVersion           1.1.0.1
WSManStackVersion              3.0

Module versions

ModuleType Version    PreRelease Name                                ExportedCommands
---------- -------    ---------- ----                                ----------------
Script     3.0.1                 Az.Accounts                         {Add-AzEnvironment, Clear-AzConfig, Clear-AzContext, Clear-AzDefault…}
Script     8.1.0                 Az.Compute                          {Add-AzImageDataDisk, Add-AzVhd, Add-AzVMAdditionalUnattendContent, Add-AzVMD…
Script     7.8.0                 Az.Network                          {Add-AzApplicationGatewayAuthenticationCertificate, Add-AzApplicationGatewayB…
Script     7.2.0                 Az.Resources                        {Export-AzResourceGroup, Export-AzTemplateSpec, Get-AzDenyAssignment, Get-AzD…
Script     7.1.0                 Az.Storage                          {Add-AzRmStorageContainerLegalHold, Add-AzStorageAccountManagementPolicyActio…
Script     1.1.3                 Az.Tools.Predictor                  {Disable-AzPredictor, Enable-AzPredictor, Open-AzPredictorSurvey, Send-AzPred…
Script     0.0.0.10              AzureAD.Standard.Preview            {Add-AzureADApplicationOwner, Add-AzureADDeviceRegisteredOwner, Add-AzureADDe…
Script     0.9.3                 AzurePSDrive

Error output

N/A

Contributor Guide

Research-Richtung: Das Problem fordert, dass `Get AzSubscription` eine Warnung ausgeben oder fehlschlagen sollte, wenn eine nicht standardmäßige Mandanten ID angegeben wird, während die Authentifizierung mit einer verwalteten Dienstidentität (MSI) verwendet wird. Der relevante Code befindet sich in `src/Accounts/Accounts/Subscription/GetAzureRMSubscription.cs` um Zeile 109. Die Lösung könnte das Hinzufügen einer Prüfung auf Mandanten ID Konflikte und das Protokollieren einer Warnung oder das Auslösen eines Fehlers umfassen. Darüber hinaus würde die Unterstützung von Mandantennamen mit MSI weitere Untersuchungen der Azure Authentifizierungsabläufe erfordern. Die Maintainer sollten klären, ob eine Warnung oder ein Fehler bevorzugt wird.
Tech Stack: csharp
Domain: authenticationapi
Issue Type: Funktion
Schwierigkeit: 3
Geschätzte Zeit: Halber Tag
Aktivitätsstatus: Frisch
Klarheit: Meist klar
Voraussetzungen: Basic understanding of Azure PowerShellFamiliarity with managed service identity
Einsteigerfreundlichkeit: 40