问题描述

通过Azure AD的注册应用获取到Token后,访问AAD Group并查看日志信息时候,遇见了 {"error":{"code":"UnauthorizedAccessException","message":"Attempted to perform an unauthorized operation."}}

Python 代码 -- 使用AAD 注册应用获取Token

import requests

import json

def get_bearer_token():

    tenant_id = "your azure tenant id"

    client_id = "your AAD registrations application id "

    client_secret = "***********************************"

    # The resource (URI) that the bearer token will grant access to

    scope = 'https://api.azrbac.azurepim.identitygovernance.azure.cn/.default'

    # Azure AD authentication endpoint

    AUTHORITY = f'https://login.chinacloudapi.cn/{tenant_id}/oauth2/v2.0/token'

    # Request an access token from Azure AD

    response = requests.post(

        AUTHORITY,

        data={

            'grant_type': 'client_credentials',

            'client_id': client_id,

            'client_secret': client_secret,

            'scope': scope

        }

    )

    if response.status_code == 200:

        access_token = response.json().get('access_token')

    else:

        print("Error occurred while retrieving token:", response.text)

    return access_token

但是,在调用 https://api.azrbac.azurepim.identitygovernance.azure.cn/api/v2/privilegedAccess/aadGroups/activities 接口时候,遇见错误,提示权限不够。

{"error":{"code":"UnauthorizedAccessException","message":"Attempted to perform an unauthorized operation."}}

问题解答

因错误消息提示当前 Access Token无权查看AAD Groups的Activities日志,所以需要进入具体的AAD Groups查看,当前AAD注册应用是否由权限进行任何操作。 如无,加入权限后就可以解决问题(PS: 赋予Member 或 Owner权限都可以)

在门户上直接查看的方式:

门户入口:https://portal.azure.cn/#view/Microsoft_Azure_PIMCommon/CommonMenuBlade/~/aadgroup

通过API来列出权限操作列表:

url = "https://api.azrbac.azurepim.identitygovernance.azure.cn/api/v2/privilegedAccess/aadGroups/resources/"+str(aad_groups_list[index]['id'])+"/permissions"

将应用程序加入active assignment后即可获得权限

{'accessLevel': 'AdminRead', 'isActive': True, 'isEligible': False}, {'accessLevel': 'ActivityRead', 'isActive': True, 'isEligible': False}

附录:根据AAD Token获取AAD Group列表和每一个AAD Group的Activity Logs



import requests
import json




def get_bearer_token():
    tenant_id = "your azure tenant id"
    
    client_id = "your AAD registrations application id "




client_secret = "***********************************"




# The resource (URI) that the bearer token will grant access to
    scope = 'https://api.azrbac.azurepim.identitygovernance.azure.cn/.default'




# Azure AD authentication endpoint
    AUTHORITY = f'https://login.chinacloudapi.cn/{tenant_id}/oauth2/v2.0/token'




# Request an access token from Azure AD
    response = requests.post(
        AUTHORITY,
        data={
            'grant_type': 'client_credentials',
            'client_id': client_id,
            'client_secret': client_secret,
            'scope': scope
        }
    )




if response.status_code == 200:
        access_token = response.json().get('access_token')
    else:
        print("Error occurred while retrieving token:", response.text)




return access_token




def list_aad_groups(bearer_token):
    url = https://api.azrbac.azurepim.identitygovernance.azure.cn/api/v2/privilegedAccess/aadGroups/resources?$select=id,displayName,type,externalId&$expand=parent




headers = {
        'Authorization': bearer_token
    }




response = requests.get(url=url,headers=headers)




data = json.loads(response.text)




aad_groups_count = data["value"].__len__()




aad_groups_list = []




for aad_groups_index in range(0,aad_groups_count):
        aad_groups = {}
        aad_groups["id"] = data["value"][aad_groups_index]["id"]
        aad_groups["name"] = data["value"][aad_groups_index]["displayName"]
        aad_groups_list.append(aad_groups)




return aad_groups_list




def download_pim_audit_log(date, group_id, group_name, bearer_token):




start_time = str(date) + "T00:00:00.000Z"
    end_time = str(date) + "T23:59:59.999Z"




url = https://api.azrbac.azurepim.identitygovernance.azure.cn/api/v2/privilegedAccess/aadGroups/activities?$filter=createdDateTime+ge+ + str(start_time) + "+and+createdDateTime+le+" + str(end_time) + "+and+resource/id+eq+%27" + str(group_id) + "%27&$orderby=createdDateTime+desc&$expand=requestor,originalRequestor,subject,target,resource($expand=parent),scopedResource"




headers = {
        'Authorization': bearer_token
    }




response = requests.get(url=url, headers=headers)




if response.status_code == 200:
        raw_data = json.loads(response.text)




data = raw_data["value"]




records_count = data.__len__()




dst_path = "\\" + str(date) + " " + str(group_name) + ".json"
        file_debug = open(dst_path, "a+")




for record_index in range(0, records_count):
            record = str(data[record_index]).replace("None","'None'")
            file_debug.write(record)
            file_debug.write("\n")




return True




else:
        print("Failed to Download log : " + response.text)
        exit()




if __name__ == '__main__':




token = "Bearer " + str(get_bearer_token())




print(token)




date = "2023-07-26"




aad_groups_list = list_aad_groups(token)




for index in range(0,aad_groups_list.__len__()):




group_id = aad_groups_list[index]['id']
        group_name = aad_groups_list[index]['name']




download_pim_audit_log(date, group_id, group_name, token)




 


												


											
【Azure 环境】AAD 注册应用获取AAD Group权限接口遇 403 : Attempted to perform an unauthorized operation 错误的更多相关文章
	

    
						
  1. 【Azure 环境】用 PowerShell 调用 AAD Token, 以及调用Azure REST API(如资源组列表)
		
    问题描述 PowerShell 脚本调用Azure REST API, 但是所有的API都需要进行权限验证.要在请求的Header部分带上Authorization参数,并用来对List Resour ...
    
		
    2. 
						
  2. 【Azure 应用服务】NodeJS Express + MSAL 应用实现AAD登录并获取AccessToken -- cca.acquireTokenByCode(tokenRequest)
		
    问题描述 在上一篇博文 "[Azure 应用服务]NodeJS Express + MSAL 应用实现AAD集成登录并部署在App Service Linux环境中的实现步骤"中, ...
    
		
    3. 
						
  3. 【Azure Developer】使用 Microsoft Graph API 获取 AAD User 操作示例
		
    问题描述 查看官方文档" Get a user " , 产生了一个操作示例的想法,在中国区Azure环境中,演示如何获取AAD User信息. 问题解答 使用Microsoft G ...
    
		
    4. 
						
  4. AAD Service Principal获取azure user list (Microsoft Graph API)
		
    本段代码是个通用性很强的sample code,不仅能够操作AAD本身,也能通过Azure Service Principal的授权来访问和控制Azure的订阅资源.(Azure某种程度上能看成是两个 ...
    
		
    5. 
						
  5. 【Azure Developer】Python代码通过AAD认证访问微软Azure密钥保管库(Azure Key Vault)中机密信息(Secret)
		
    关键字说明 什么是 Azure Active Directory?Azure Active Directory(Azure AD, AAD) 是 Microsoft 的基于云的标识和访问管理服务,可帮 ...
    
		
    6. 
						
  6. 【Azure 环境】【Azure Developer】使用Python代码获取Azure 中的资源的Metrics定义及数据
		
    问题描述 使用Python SDK来获取Azure上的各种资源的Metrics的名称以及Metrics Data的示例 问题解答 通过 azure-monitor-query ,可以创建一个 metr ...
    
		
    7. 
						
  7. 【Azure Developer】使用 CURL 获取 Key Vault 中 Secrets 中的值
		
    问题描述 在使用CURL通过REST API获取Azure Key Vaualt的Secrets值,提示Missing Token, 问如何来生成正确的Token呢? # curl 命令 curl - ...
    
		
    8. 
						
  8. 【Azure 环境】使用Microsoft Graph PS SDK 登录到中国区Azure, 命令Connect-MgGraph -Environment China  xxxxxxxxx 遇见登录错误
		
    问题描述 通过PowerShell 连接到Microsoft Graph 中国区Azure,一直出现AADSTS700016错误, 消息显示 the specific application was  ...
    
		
    9. 
						
  9. Azure DevOps 利用rest api设置variable group
		
    我们在Azure DevOps中设置参数的时候,可以使用build,release各自的variables,但是各自的变量不能共用.此时我们需要使用variable group,它允许跨Build和R ...
    
		
    10. 
						
  10. 【Azure 环境】Azure Resource Graph Explorer 中实现动态数组数据转换成多行记录模式 - mv-expand
		
    问题描述 想对Azure中全部VM的NSG资源进行收集,如果只是查看一个VM的NSG设定,可以在门户页面中查看表格模式,但是如果想把导出成表格,可以在Azure Resource Graph Expl ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. ESXi上面虚拟机磁盘损坏修复案例
			
    事故情况 最近同事反馈, 一个文件更新后出现了文件部分不可读的情况 具体现象为: 前端功能打开白屏 后端文件 前面93行不显示, notepad++打开都是 NULL 黑框. 然后重新覆盖文件, 有概 ...
    
			
    2. 
						
  2. CentOS创建vsftp进行读写操作的简单方法
			
    1. 安装vsftpd yum install epel-release yum install vsftpd 2. 进入系统设置简单进行处理 注意 user_list 是不允许访问的列表. [roo ...
    
			
    3. 
						
  3. 万能shell  简单查看已存在日志所有的启动记录
			
    程序将日志 自动打包成了 gz 文件,  今天突然想查查所有的日志有没有相关关键字. 第一步解压缩所有的日志 cd 到相关目录 for i in `ls` ; do gzip -d $i ; done ...
    
			
    4. 
						
  4. 记windows自定义bat脚本自启动
			
    自定义 Windows 启动脚本简化版 在本指南中,我们将使用一个简化的批处理文件(.bat)来演示如何创建自定义的 Windows 启动脚本.以下是一个基本的模板,您只需根据需要在 :begin 部 ...
    
			
    5. 
						
  5. express学会CRUD
			
    使用express 搭建项目 1==> express 项目名 -e 2==> 然后按照提示就可以了 cd 项目名 3==>进入项目 下载依赖 cnpm i 4==>启动项目  ...
    
			
    6. 
						
  6. 【JS 逆向百例】网洛者反爬练习平台第一题:JS 混淆加密,反 Hook 操作
			
    关注微信公众号:K哥爬虫,持续分享爬虫进阶.JS/安卓逆向等技术干货! 声明 本文章中所有内容仅供学习交流,抓包内容.敏感网址.数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后 ...
    
			
    7. 
						
  7. electron-builder
			
    electron-builder打包工具 首先,确保你的项目中已经安装了 electron-builder.可以在项目根目录下运行以下命令来安装它: npm install electron-buil ...
    
			
    8. 
						
  8. 基于.net Core+EF  Core项目的搭建(一)
			
    在我们要使用EF的项目中引用两个包Microsoft.EntityFrameworkCore.SqlServer和Microsoft.EntityFrameworkCore.Tools 我把要使用的E ...
    
			
    9. 
						
  9. 热门数据集提供【MNIST、鸢尾花、猫狗、CIFAR10、vegetables、Ox-Flowers17、pascalvoc】
			
    热门数据集提供[MNIST.鸢尾花.猫狗.CIFAR10.vegetables.Ox-Flowers17.pascalvoc] 简介: 鸢尾花数据集: 约150条数据,每条样本4个属性,共3个类别 M ...
    
			
    10. 
						
  10. 【C++深度剖析】为什么C++支持函数重载而C不支持--C++程序编译链接过程--符号表生成规则【Linux环境超详细解释C++函数重载底层原理】
			
    文章目录 前言 Linux环境g++编译器的配置以及一些准备工作 源文件的符号表生成以及分析 尾声 前言 先赞后看好习惯 打字不容易,这都是很用心做的,希望得到支持你 大家的点赞和支持对于我来说是一种 ...
    
			
    11.