Sdílet prostřednictvím


Řešení potíží s připojeními služby Azure Resource Manager

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Tento článek představuje běžné scénáře řešení potíží, které vám pomůžou vyřešit problémy, se kterými se můžete setkat při vytváření připojení služby Azure Resource Manager. Informace o vytváření, úpravách a zabezpečení připojení služeb najdete v tématu Správa připojení služeb.

Co se stane, když vytvoříte připojení služby Azure Resource Manager

Pokud nemáte připojení ke službě, můžete ho vytvořit následujícím způsobem:

  1. V projektu vyberte Nastavení projektu a pak vyberte Připojení služeb.

    Snímek obrazovky znázorňující přístup k připojením ke službám z nastavení projektu

  2. Pokud chcete přidat nové připojení služby, vyberte Nové připojení služby a pak vyberte Azure Resource Manager. Až budete hotovi, vyberte Další .

    Snímek obrazovky znázorňující typy připojení služby

  3. Vyberte registraci aplikace (automatickou) jako typ identity a federaci identity úloh jako přihlašovací údaje.

  4. V rozevíracím seznamu vyberte Předplatné a pak vyberte své předplatné. Vyplňte zbytek formuláře a po dokončení vyberte Uložit .

Když uložíte nové připojení služby Azure Resource Manager, Azure DevOps provede následující akce:

  1. Připojí se k tenantovi Microsoft Entra pro vybrané předplatné.
  2. Vytvoří jménem uživatele aplikaci v Microsoft Entra ID.
  3. Přiřadí aplikaci jako přispěvatel k vybranému předplatnému.
  4. S použitím podrobností o této aplikaci vytvoří připojení služby Azure Resource Manager.

Poznámka:

Pokud chcete vytvořit připojení služeb, musíte mít přiřazenou roli Tvůrce nebo Správce pro skupinu Endpoint Creator v nastavení projektu: Nastavení projektu>Připojení služby>Další akce>Zabezpečení. Přispěvatelé projektů se do této skupiny ve výchozím nastavení přidají.

Scénáře řešení potíží

Při vytváření připojení služeb může dojít k následujícím problémům:

Uživatel má v adresáři pouze oprávnění hosta.

  1. Přihlaste se k webu Azure Portal pomocí účtu správce. Účet by měl být vlastníkem nebo správcem uživatelských účtů

  2. V levém navigačním panelu vyberte MICROSOFT Entra ID .

  3. Ujistěte se, že upravujete příslušný adresář odpovídající předplatnému uživatele. Pokud ne, vyberte Přepnout adresář a v případě potřeby se přihlaste pomocí příslušných přihlašovacích údajů.

  4. V části Spravovat vyberte Uživatele.

  5. Vyberte Nastavení uživatele.

  6. V části Externí uživatelé vyberte Spravovat nastavení externí spolupráce.

  7. Změna oprávnění uživatele typu host je omezená na ne.

Pokud jste také připraveni udělit oprávnění na úrovni správce uživatele, můžete uživatele nastavit jako člena role Správce. Proveďte následující kroky:

Upozorňující

Přiřazení uživatelů k roli globálního správce jim umožňuje číst a upravovat všechna nastavení správy ve vaší organizaci Microsoft Entra. Osvědčeným postupem je přiřadit tuto roli méně než pěti lidem ve vaší organizaci.

  1. Přihlaste se k webu Azure Portal pomocí účtu správce. Účet by měl být vlastníkem nebo správcem uživatelských účtů.

  2. V levém navigačním podokně vyberte Microsoft Entra ID.

  3. Ujistěte se, že upravujete příslušný adresář odpovídající předplatnému uživatele. Pokud ne, vyberte Přepnout adresář a v případě potřeby se přihlaste pomocí příslušných přihlašovacích údajů.

  4. V části Spravovat vyberte Uživatele.

  5. Pomocí vyhledávacího pole vyhledejte uživatele, kterého chcete spravovat.

  6. V části Spravovat vyberte roli Adresář a pak ji změňte. Až budete hotovi, zvolte tlačítko Uložit.

Použití změn obvykle trvá 15 až 20 minut. Uživatel pak může zkusit znovu vytvořit připojení služby.

Uživatel nemá oprávnění přidávat aplikace do adresáře.

Musíte mít oprávnění k přidání integrovaných aplikací do adresáře. Správce adresáře má oprávnění ke změně tohoto nastavení.

  1. V levém navigačním podokně vyberte ID Microsoft Entra.

  2. Ujistěte se, že upravujete příslušný adresář odpovídající předplatnému uživatele. Pokud ne, vyberte Přepnout adresář a v případě potřeby se přihlaste pomocí příslušných přihlašovacích údajů.

  3. Vyberte Uživatelé a pak vyberte Uživatelská nastavení.

  4. V části Registrace aplikací a potom změňte možnost Uživatelé mohou registrovat aplikace na Ano.

Instanční objekt můžete vytvořit také s existujícím uživatelem, který už má požadovaná oprávnění v MICROSOFT Entra ID. Další informace najdete v tématu o vytvoření připojení služby Azure Resource Manager pomocí existujícího instančního objektu.

Nepodařilo se získat přístupový token nebo nebyl nalezen platný obnovovací token.

K těmto chybám obvykle dochází při vypršení platnosti relace. Řešení těchto problémů:

  1. Odhlaste se z Azure DevOps.
  2. Otevřete okno prohlížeče InPrivate nebo anonymní okno prohlížeče a přejděte na Azure DevOps.
  3. Přihlaste se pomocí příslušných přihlašovacích údajů.
  4. Vyberte svoji organizaci a projekt.
  5. Vytvořte připojení ke službě.

Přiřazení role Přispěvatel se nezdařilo.

K této chybě obvykle dochází v případě, že nemáte oprávnění k zápisu pro vybrané předplatné Azure.

Pokud chcete tento problém vyřešit, požádejte správce předplatného, aby vám přiřadil příslušnou roli v ID Microsoft Entra.

Předplatné není uvedené při vytváření připojení služby.

  • Maximálně 50 předplatných Azure uvedených v různých rozevíracích nabídkách předplatného Azure (fakturace, připojení služby atd.): Pokud nastavujete připojení služby a máte více než 50 předplatných Azure, některá vaše předplatná nejsou uvedená. V tomto scénáři proveďte následující kroky:

    1. Vytvořte nového nativního uživatele Microsoft Entra v instanci Microsoft Entra vašeho předplatného Azure.
    2. Nastavte uživatele Microsoft Entra tak, aby měl správná oprávnění k nastavení fakturace nebo vytváření připojení služeb. Další informace najdete v tématu Přidání uživatele, který může nastavit fakturaci pro Azure DevOps.
    3. Přidejte uživatele Microsoft Entra do organizace Azure DevOps s úrovní přístupu účastníka a pak ho přidejte do skupiny Správci kolekcí projektů (pro fakturaci) nebo se ujistěte, že má uživatel v týmovém projektu dostatečná oprávnění k vytváření připojení služeb.
    4. Přihlaste se k Azure DevOps pomocí nových přihlašovacích údajů uživatele a nastavte fakturaci. V seznamu se zobrazí jenom jedno předplatné Azure.
  • Starý token uživatele uložený v mezipaměti v Azure DevOps Services: Pokud vaše předplatné Azure není uvedené při vytváření připojení služby Azure Resource Manager (ARM), může to být způsobeno starým tokenem uživatele uloženým v mezipaměti ve službě Azure DevOps Services. Tento scénář není okamžitě zřejmý, protože obrazovka se seznamem předplatných Azure nezobrazuje žádné chyby ani zprávy s upozorněním, které značí, že je token uživatele zastaralý. Pokud chcete tento problém vyřešit, proveďte ruční aktualizaci tokenu uživatele uloženého v mezipaměti ve službě Azure DevOps Services pomocí následujícího postupu:

    1. Odhlaste se ze služby Azure DevOps Services a znovu se přihlaste. Tato akce může aktualizovat token uživatele.
    2. Vymažte mezipaměť prohlížeče a soubory cookie, abyste měli jistotu, že se odeberou všechny staré tokeny.
    3. Na portálu Azure DevOps přejděte na připojení služby a znovu proveďte ověření připojení k Azure. Tento krok vyzve Azure DevOps k použití nového tokenu.

V seznamu předplatných chybí některá předplatná.

  • Změna nastavení typů účtů podpory: Tento problém je možné opravit změnou nastavení podporovaných typů účtů a definováním, kdo může vaši aplikaci používat. Proveďte následující kroky:

    1. Přihlaste se k portálu Azure.

    2. Pokud máte přístup k více tenantům, pomocí filtru Adresář a předplatné v horní nabídce vyberte tenanta, ve kterém chcete aplikaci zaregistrovat.

      Snímek obrazovky s ikonou adresáře a předplatných na webu Azure Portal

    3. V levém podokně vyberte MICROSOFT Entra ID .

    4. Vyberte Registrace aplikací.

    5. Ze seznamu registrovaných aplikací vyberte aplikaci.

    6. V části Ověřování vyberte Podporované typy účtů.

    7. V části Podporované typy účtů může tato aplikace nebo přistupovat k tomuto rozhraní API? Vyberte Účty v libovolném adresáři organizace.

      Snímek obrazovky s podporovanými typy účtů

    8. Až budete hotovi, zvolte tlačítko Uložit.

  • Starý token uživatele uložený v mezipaměti v Azure DevOps Services: Pokud vaše předplatné Azure není uvedené při vytváření připojení služby Azure Resource Manager (ARM), může to být způsobeno starým tokenem uživatele uloženým v mezipaměti ve službě Azure DevOps Services. Tento scénář není okamžitě zřejmý, protože obrazovka se seznamem předplatných Azure nezobrazuje žádné chyby ani zprávy s upozorněním, které značí, že je token uživatele zastaralý. Pokud chcete tento problém vyřešit, proveďte ruční aktualizaci tokenu uživatele uloženého v mezipaměti ve službě Azure DevOps Services pomocí následujícího postupu:

    1. Odhlaste se ze služby Azure DevOps Services a znovu se přihlaste. Tato akce může aktualizovat token uživatele.
    2. Vymažte mezipaměť prohlížeče a soubory cookie, abyste měli jistotu, že se odeberou všechny staré tokeny.
    3. Na portálu Azure DevOps přejděte na připojení služby a znovu proveďte ověření připojení k Azure. Tento krok vyzve Azure DevOps k použití nového tokenu.

Platnost tokenu instančního objektu vypršela.

Problém, který často nastává se servisními principy nebo hesly, které se automaticky vytvoří, je, že platnost tokenu vyprší a je potřeba ho obnovit. Pokud máte problém s aktualizací tokenu, přečtěte si téma Nepodařilo se získat přístupový token nebo nebyl nalezen platný obnovovací token.

Pokud platnost tokenu vypršela, může se zobrazit jedna z chybových zpráv:

  • AADSTS7000215: Invalid client secret is provided
  • AADSTS7000222: The provided client secret keys for app '***' are expired
  • Invalid client id or client secret

Chcete-li obnovit přístupový token pro automaticky vytvořený principál služby nebo tajemství:

  1. Přejděte na >Service a pak vyberte připojení služby, které chcete upravit.

  2. V pravém horním rohu vyberte Upravit a vyberte Ověřit.

  3. Zvolte Uložit.

Token vašeho služebního objektu nebo tajného kódu byl nyní prodloužen o tři měsíce.

Poznámka:

Tato operace je dostupná i v případě, že nevypršela platnost tokenu instančního objektu. Ujistěte se, že uživatel provádějící operaci má správná oprávnění k předplatnému a ID Microsoft Entra, protože aktualizuje tajný kód aplikace zaregistrované pro instanční objekt. Další informace najdete v tématu Vytvoření připojení služby Azure Resource Manager pomocí automatizovaného zabezpečení a co se stane při vytváření připojení služby Resource Manager?

Získání JWT pomocí ID klienta instančního objektu se nezdařilo.

K tomuto problému dochází, když se pokusíte ověřit připojení služby s prošlým tajným kódem.

Řešení tohoto problému:

  1. Přejděte na >Service a pak vyberte připojení služby, které chcete upravit.

  2. V pravém horním rohu vyberte Upravit a proveďte jakékoli změny připojení ke službě. Nejjednodušší a doporučenou změnou je přidat popis.

  3. Výběrem možnosti Uložit uložte připojení služby.

    Poznámka:

    Zvolte Uložit. V tomto kroku se nepokoušejte ověřit připojení služby.

  4. Ukončete okno úprav připojení služby a aktualizujte stránku připojení služby.

  5. V pravém horním rohu vyberte Upravit a teď vyberte Ověřit.

  6. Výběrem možnosti Uložit uložte připojení ke službě.

Předplatné Azure se nepředá z předchozího výstupu úlohy.

Když nastavíte předplatné Azure dynamicky pro váš kanál verze a chcete využívat výstupní proměnnou z předchozí úlohy, může dojít k tomuto problému.

Pokud chcete tento problém vyřešit, ujistěte se, že jsou hodnoty definované v oddílu proměnných vašeho kanálu. Tuto proměnnou pak můžete předat mezi úkoly kanálu.

Jaké mechanismy ověřování se podporují? Jak fungují spravované identity?

Připojení služby Azure Resource Manager se může připojit k předplatnému Azure pomocí ověřování instančního objektu (SPA) nebo ověřování spravované identity.

Připojení služby Azure Resource Manager se může připojit k předplatnému Azure, správní skupině nebo pracovnímu prostoru strojového učení a využít k tomu:

  • Registrace aplikace (doporučeno): Připojení můžete ověřit pomocí federace identit úloh nebo tajemství.
  • Spravovaná identita: Spravované identity pro prostředky Azure poskytují službám Azure automaticky spravovanou identitu v Microsoft Entra ID. Můžete také použít spravovanou identitu přiřazenou agentem.

Další informace o spravovaných identitách pro virtuální počítače najdete v tématu Přiřazení rolí.

Poznámka:

Spravované identity se nepodporují v agentech hostovaných Microsoftem. V tomto scénáři musíte nastavit agenta v místním prostředí na virtuálním počítači Azure a nakonfigurovat spravovanou identitu pro tento virtuální počítač.