【Azure 环境】用 PowerShell 调用 AAD Token, 以及调用Azure REST API（如资源组列表） - LuBu0505/My-Code GitHub Wiki

问题描述

PowerShell 脚本调用Azure REST API，但是所有的API都需要进行权限验证。要在请求的Header部分带上Authorization参数，并用来对List Resource Group接口进行授权，然后显示Resource Group的Name，Location，和ID ...

问题解答

第一步：在Azure AD中注册应用，该应用表示执行PowerShell Script的客户端拥有访问Subscription下资源的权限。如无，则会出现 AuthorizationFailed 错误，详见附录一：权限问题**

在浏览器上的新标签页中打开 Azure 门户。
导航到“应用注册”以在 Active Directory 中注册应用。
选择“新注册”。在“注册应用程序”页上，将值设置如下：

将“名称”设置为一个有意义的名称。例如，powershell-client
将“支持的帐户类型”设置为“仅限此组织目录中的帐户”。
选择“注册” 。

注册应用程序之后，从“概述”页复制“应用程序(客户端) ID” 和 “ 目录(tenant) ID ”。
在边侧菜单的“管理”部分下，选择“证书和机密” 。
在“证书和机密”页中，选择“客户端机密”下的“新建客户端机密”按钮。

输入“说明”。
为“过期”选择任一选项。
选择“添加” 。

在离开页面之前复制客户端的“机密 ID”。稍后脚本中需要用到此值。

第二步：在下面脚本中替换自己的 tenantId， applicationId，和secret**

#===============================================
# 2021-11-14 通过Azure AD中的注册应用获取Access Token
# 
# Azure AD App Registrations: https://portal.azure.cn/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
# 【Azure Developer】使用Postman获取Azure AD中注册应用程序的授权Token，及为Azure REST API设置Authorization: https://www.cnblogs.com/lulight/p/14279338.html
#===============================================

$tenantId='xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'
$applicationId='xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'
$secret='-xxxx~xxxxxxxxxxxxxxxxxxxxxxxx'

$param = @{
   Uri ="https://login.chinacloudapi.cn/$tenantId/oauth2/token";
   Method = 'Post';
   Body = @{
       grant_type = 'client_credentials';
       resource = 'https://management.chinacloudapi.cn';
       client_id = $applicationId;
       client_secret = $secret
   }
}

Write-Host '调用Token接口 .. ' -ForegroundColor DarkYellow
$result = Invoke-RestMethod @param
$result

#===============================================
#
# 使用Token作为Authorization，调用Resource Groups - List: https://docs.microsoft.com/en-us/rest/api/resources/resource-groups/list
#
#===============================================

$subscriptionId = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'
$token = $result.access_token

$param_rgList = @{
   Uri = "https://management.chinacloudapi.cn/subscriptions/$subscriptionId/resourcegroups?api-version=2020-06-01";
   ContentType = 'application/json';
   Method = 'GET'
   Headers = @{
       Authorization = "Bearer $token";
       host = "management.chinacloudapi.cn"
   }
}

Write-Host '调用 Resource Groups - List 接口 .. ' -ForegroundColor DarkYellow
$rgList =  Invoke-RestMethod @param_rgList
$rgList.value | Select-Object name, location, id

执行结果：

powershell rest api.gif

附录一：权限问题

错误消息：

Invoke-RestMethod : {"error":{"code":"AuthorizationFailed","message":"The client '0b807bf1-40db-4e0c-888f-380b9b558cf1' with object id '0b807bf1-40db-4e0c-888f-380b9b558cf1' does not have authorization 
to perform action 'Microsoft.Resources/subscriptions/resourcegroups/read' over scope '/subscriptions/a9dc7515-7692-4316-9ad4-762f383eec10' or the scope is invalid. If access was recently granted, 
please refresh your credentials."}}
At line:49 char:12
+ $rgList =  Invoke-RestMethod @param_rgList
+            ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   + CategoryInfo          : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-RestMethod], WebException
   + FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeRestMethodCommand