当尝试查看密钥库机密或密钥时,Azure门户UI会进行以下调用:
检索访问策略列表:
POST https://management.azure.com/batch?api-version=2020-06-01
将访问策略列表传递给Graph API checkMemberGroups:
POST https://graph.windows.net/myorganization/users/..../checkMemberGroups?api-version=1.6
其返回错误消息:">要检查的组数不能超过20">
我有20多个,API调用checkMemberGroups的图形有一个文档限制。
每个请求最多可以查看20个组。此功能支持Azure AD中设置的所有组。由于Microsoft 365组不能包含其他组,因此Microsoft 365组中的成员身份始终是直接的
参考:https://learn.microsoft.com/en-us/graph/api/directoryobject-checkmembergroups?view=graph-rest-1.0&tabs=http
这似乎是一个不寻常的限制,即您不能是20个组的成员来查看密钥保管库机密或访问策略权限模型设置为"保管库访问策略"的密钥。
我怀疑这可能是Azure门户的一个错误,而不是一个功能。其他人遇到过这种限制吗?
在我看来,Azure门户应该一次迭代20个组的列表,而不是一次性发送一个大列表。
我想你这一端有一些理解上的差距。该文档称,每次请求只能发送20个组,以检查用户是否属于其中的多少组。该文档没有说明用户不能是超过20个组的成员。
请求主体参数链接明确指出,您需要在请求主体中传递groupIds,groupIds参数需要一个包含要检查成员身份的组的对象ID的集合。最多可以指定20个组。
这似乎是Azure密钥库的一个错误。今天早上我可以访问密钥库了。
坏请求错误";要检查的组的数量不能超过20;在访问密钥保管库时仍由Azure门户抛出,但不再阻止对该资源的访问。
我将结束这个问题,因为我怀疑服务器端有什么东西被修改了。感谢大家的评论。