使用托管标识连接到 Azure 应用程序配置时出现 403

我正在尝试使用托管标识从网络框架应用程序连接到 Azure 应用程序配置，但遇到权限问题。

我如何连接

options.Connect(new Uri("https://myconfigstore.azconfig.io"), new ManagedIdentityCredential(clientId));

我已经尝试了使用门户可以找到的所有各种 clientId、objectid 和 applicationId guid，但无论我何时使用 guid 调用它，总是收到错误的请求

Azure.Identity.CredentialUnavailableException: 'ManagedIdentityCredential authentication unavailable, 
the requested identity has not been assigned to this resource.
Status: 400 (Bad Request)

如果我创建 ManagedIdentityCredential 时未指定 clientId，则会收到此错误

Azure.RequestFailedException: 'Service request failed.
Status: 403 (Forbidden)

我已授予我管理身份 Azure 应用程序配置数据权限

这是我应该使用的 clientId 吗？

Update:

我刚刚尝试使用我的活动目录的 ID（AAD --> 属性），我得到了

Azure.RequestFailedException: 'Service request failed.
Status: 403 (Forbidden)

这只能意味着我使用了错误的 id，否则它应该返回 400（错误请求），就像我看到的其他错误一样。

完整代码

private static async Task Main()
    {
        var builder = new ConfigurationBuilder();

        const string clientId = "e589d9f1-xxxx-xxxx-xxxx-6bc940d50ab7";

        builder.AddAzureAppConfiguration(options =>
        {
            options.Connect(new Uri("https://myconfigstore.azconfig.io"), new ManagedIdentityCredential(clientId));
        });

        _configuration = builder.Build();

        Console.WriteLine("Number of keys: " + _configuration.GetChildren().Count());

        Console.WriteLine("Demo: " + _configuration["Demo"]);
    }

本文档演示如何使用托管标识从应用服务访问应用程序配置，但你可以将应用服务替换为支持托管标识的任何其他 Azure 服务。https://learn.microsoft.com/en-us/azure/azure-app-configuration/howto-integrate-azure-managed-service-identity https://learn.microsoft.com/en-us/azure/azure-app-configuration/howto-integrate-azure-managed-service-identity

以下是我想指出的一些事情

• 确保在运行应用程序的 Azure 服务中启用托管标识。
• 当您使用时系统分配托管身份，您不需要提供客户端 ID。使用时只需提供客户端Id即可用户分配托管身份。
• 确保授予托管身份应用程序配置数据读取器 or 应用程序配置数据所有者在应用程序配置实例的访问控制中的角色。
• 角色分配后至少等待 15 分钟，以便传播权限。
• 仅当您的代码在 Azure 服务中运行时，托管标识才能工作。在本地运行时它将不起作用。