小编点评

**解决问题步骤：** 1. **在Azure Function Link Service中配置正确的Resource ID：** - 在Link Service中创建一个新的配置。 - 在Configuration Name中输入“Resource ID”。 - 在Value中输入Function App的Client ID。 2. **重新启动Link Service：** - 在Azure portal的Azure Functions app设置中，选择“重新启动Link Service”。 3. **在Function App中配置认证：** - 在Function App的配置中选择“Authentication”。 - 选择“Anonymous”。 - 完成配置。 4. **再次尝试调用Azure Function：** - 再次发送Authentication请求给Azure Function。 - 此次，应该成功获取MI访问token。 **注意：** - 将Resource ID的值从Azure Function App中获取出来。 - 您可能需要在Azure Function App中创建多个Client ID，每个用于不同的资源。 - 如果您遇到了任何其他问题，可以参考Azure Functions 文档或与Azure支持团队联系。

正文

问题描述

在ADF(Azure Data Factory)中，调用Azure Function App中的Function，遇见了 Failed to get MI access token

There was an error while calling endpoint with error message - 'Failed to get MI access token. The error message is: Acquire MI token from AAD failed.

ErrorCode: invalid_resource,

Message: AADSTS500011: The resource principal named https://xxxxxxxxxx.chinacloudsites.cn was not found in the tenant named ***************.

This can happen if the application has not been installed by the administrator of the tenant or consented to by any user in the tenant.

You might have sent your authentication request to the wrong tenant.

错误截图如下：

那么，如何来解决 Acquire MI Token from AAD Failed 的问题呢？

 

问题解答

出现Failed to get MI access token的问题，主要原因是: 在Azure Function Link Service 时，选择了Authentication Method为 System Assigned Managed Identity。

• 如果Funcation App没有启用认证(Authentication)，只需要选择Anonymous(匿名)访问模式即可解决 Failed to get  MI access token 问题。

• 但是只要选择了 System Assigned Managed Identity认证方式，在Resource ID的输入框中，没有输入任何内容。所以它默认使用了Function App 的 host url 作为 resource principal named。

如果输入的是其他值，则错误消息中，包含您输入的Resource ID值。如下图所示：

所以，解决这个问题的关键就是在ADF的Link Service中，配置正确的Resource ID(即被访问资源所生产的System Managed Identity App(Client) ID)。

具体的操作步骤，参考文章：https://www.cnblogs.com/lulight/articles/17195587.html