Verwenden von GitHub Actions zum Herstellen einer Verbindung mit Azure

Informieren Sie sich über die Verwendung der Azure-Anmeldung mit Azure PowerShell oder Azure CLI, um die Interaktion mit Ihren Azure-Ressourcen zu ermöglichen.

Für die Verwendung von Azure PowerShell oder der Azure CLI in einem GitHub Actions-Workflow müssen Sie sich zuerst mit der Aktion Azure-Anmeldung anmelden.

Die Azure-Anmeldeaktion unterstützt zwei verschiedene Möglichkeiten der Authentifizierung bei Azure:

• Dienstprinzipal mit Geheimnissen
• OpenID-Verbinden (OIDC) mit einem Azure-Dienstprinzipal mithilfe einer Verbundidentitäts-Anmeldeinformationen

Standardmäßig protokolliert sich die Anmeldeaktion mit der Azure CLI und richtet die GitHub Actions-Runner-Umgebung für Azure CLI ein. Azure PowerShell kann mithilfe der Eigenschaft enable-AzPSSession der Azure-Anmeldeaktion genutzt werden. Dadurch wird die GitHub Actions runner-Umgebung mit dem Azure PowerShell-Modul eingerichtet.

Sie können die Azure-Anmeldung verwenden, um eine Verbindung mit öffentlichen oder unabhängigen (Sovereign) Clouds herzustellen, z. B. Azure Government und Azure Stack Hub.

Verwenden der Azure-Anmeldeaktion mit OpenID Connect

Um eine Azure-Anmeldung mit OpenID Connect einzurichten und sie in einem GitHub Actions-Workflow zu verwenden, benötigen Sie Folgendes:

• Eine Microsoft Entra-Anwendung mit einem Dienstprinzipal, der Ihrem Abonnement eine entsprechende Rolle zugewiesen wurde.
• Eine Microsoft Entra-Anwendung, die mit einer Verbundanmeldeinformation konfiguriert ist, um Token zu vertrauen, die von GitHub-Aktionen an Ihr GitHub-Repository ausgestellt wurden. Sie können dies im Azure-Portal oder mit Microsoft Graph-REST-APIs konfigurieren.
• Ein GitHub-Aktionen-Workflow, der GitHub-Ausgabetoken an den Workflow anfordert und die Azure-Anmeldeaktion verwendet.

Erstellen einer Microsoft Entra-Anwendung und eines Dienstprinzipals

Sie müssen einen Microsoft Entra-Anwendungsprinzipal und einen Dienstprinzipal erstellen und dann Ihrer Anwendung eine Rolle für Ihr Abonnement zuweisen, damit Ihr Workflow Zugriff auf Ihr Abonnement hat.

Azure portal

1. Wenn Sie nicht über eine vorhandene Anwendung verfügen, registrieren Sie eine neue Microsoft Entra-Anwendung und einen Neuen Dienstprinzipal, der auf Ressourcen zugreifen kann. Achten Sie bei diesem Prozess auf Folgendes:

   • Registrieren Sie Ihre Anwendung mit der Microsoft Entra-ID, und erstellen Sie einen Dienstprinzipal.
   • Zuweisen einer Rolle zur Anwendung

2. Öffnen Sie App-Registrierungen im Azure-Portal, und suchen Sie Ihre Anwendung. Kopieren Sie die Werte für Anwendungs-ID (Client) und Verzeichnis-ID (Mandant) zur Verwendung in Ihrem GitHub Actions-Workflow.

3. Öffnen Sie Abonnements im Azure-Portal, und suchen Sie Ihr Abonnement. Kopieren Sie die Abonnement-ID.

Azure-Befehlszeilenschnittstelle

1. Erstellen Sie die Microsoft Entra-Anwendung.

   az ad app create --display-name myApp
   

   Dieser Befehl gibt JSON mit einem appId aus, das Ihrem client-id entspricht. Dies objectId ist APPLICATION-OBJECT-ID und wird zum Erstellen von Verbundanmeldeinformationen mit Graph-API-Aufrufen verwendet.

2. Erstellen eines Dienstprinzipals. Ersetzen Sie $appID durch die AppId aus Ihrer JSON-Ausgabe. Dieser Befehl generiert json-Ausgabe mit einem anderen objectId wird im nächsten Schritt verwendet. Der neue objectId ist der assignee-object-id.

    az ad sp create --id $appId
   

3. Erstellen Sie eine neue Rollenzuweisung nach Abonnement und Objekt. Standardmäßig ist die Rollenzuweisung an Ihr Standardabonnement gebunden. Ersetzen Sie sie $subscriptionId durch Ihre Abonnement-ID, $resourceGroupName durch ihren Ressourcengruppennamen und $assigneeObjectId durch generiert assignee-object-id (die neu erstellte Dienstprinzipalobjekt-ID).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Kopieren Sie die Werte für clientId, subscriptionId und tenantId, um sie später in Ihrem GitHub Actions-Workflow zu verwenden.

Azure PowerShell

1. Erstellen Sie die Microsoft Entra-Anwendung.

   New-AzADApplication -DisplayName myApp
   

   Dieser Befehl gibt die Eigenschaft aus, die AppId Ihre ClientIdist. Die Id Eigenschaft ist APPLICATION-OBJECT-ID und wird zum Erstellen von Verbundanmeldeinformationen mit Graph-API-Aufrufen verwendet.

2. Erstellen eines Dienstprinzipals. Ersetzen Sie die $clientId AppId durch die AppId aus ihrer Ausgabe. Dieser Befehl generiert eine Andere Id Ausgabe und wird im nächsten Schritt verwendet. Der neue Id ist der ObjectId.

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   New-AzADServicePrincipal -ApplicationId $clientId
   

3. Erstellen Sie eine neue Rollenzuweisung. Ab Az PowerShell-Modul, Version 7.x, New-AzADServicePrincipal wird die Contributor Rolle standardmäßig nicht mehr dem Dienstprinzipal zugewiesen. Ersetzen Sie den $resourceGroupName Namen der Ressourcengruppe und $objectId durch generierte Id.

   $objectId = (Get-AzADServicePrincipal -DisplayName myApp).Id
   New-AzRoleAssignment -ObjectId $objectId -RoleDefinitionName Contributor -ResourceGroupName $resourceGroupName
   

4. Rufen Sie die Werte für clientId, subscriptionIdund tenantId verwenden Sie sie später in Ihrem GitHub-Aktionen-Workflow.

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   $subscriptionId = (Get-AzContext).Subscription.Id
   $tenantId = (Get-AzContext).Subscription.TenantId
   

Hinzufügen von Verbundanmeldeinformationen

Sie können Verbundanmeldeinformationen im Azure-Portal oder mit der Microsoft Graph-REST-API hinzufügen.

Azure portal

1. Wechseln Sie zu App-Registrierungen im Azure-Portal, und öffnen Sie die App, die Sie konfigurieren möchten.
2. Wechseln Sie in der App zu Zertifikate und Geheimnisse.
   
3. Wählen Sie auf der Registerkarte Verbundanmeldeinformationen die Option Anmeldeinformationen hinzufügen aus.
4. Wählen Sie das Anmeldeinformationsszenario GitHub Actions stellt die Azure-Ressourcen bereit aus. Generieren Sie Ihre Anmeldeinformationen, indem Sie Details zu Ihren Anmeldeinformationen eingeben.

Feld	Beschreibung	Beispiel
Organisation	Ihr GitHub-Organisationsname oder GitHub-Benutzername.	contoso
Repository	Der Name Ihres GitHub-Repositorys.	contoso-app
Entitätstyp	Der Filter, der verwendet wird, um die OIDC-Anforderungen von GitHub-Workflows zu erfassen. Dieses Feld wird verwendet, um den Anspruch subject zu generieren.	Environment, , BranchPull requestTag
GitHub-Name	Der Name der Umgebung, des Branchs oder des Tags.	main
Name	Bezeichner für die Verbundanmeldeinformationen.	contoso-deploy

Eine ausführlichere Übersicht finden Sie unter Konfigurieren einer Vertrauensstellung zwischen einer App und einem GitHub-Repository (Vorschauversion).

Azure-Befehlszeilenschnittstelle

Führen Sie den folgenden Befehl aus, um eine neue Verbundidentitäts-Anmeldeinformationen für Ihre Microsoft Entra-Anwendung zu erstellen.

• Ersetzen Sie diese durch APPLICATION-OBJECT-ID die objectId (generiert beim Erstellen der App) für Ihre Microsoft Entra-Anwendung.
• Legen Sie einen Wert für CREDENTIAL-NAME fest, um später auf ihn zu verweisen.
• Legen Sie die subject fest. Dieser Wert wird von GitHub in Abhängigkeit von Ihrem Workflow festgelegt:
  • Aufträge in Ihrer GitHub Actions-Umgebung: repo:< Organization/Repository >:environment:< Name >
  • Bei Aufträgen, die nicht an eine Umgebung gebunden sind, fügen Sie den Referenzpfad für den Branch/Tag auf der Grundlage des für die Auslösung des Workflows verwendeten Referenzpfads ein: repo:< Organization/Repository >:ref:< ref path>. Zum Beispiel: repo:n-username/ node_express:ref:refs/heads/my-branch oder repo:n-username/ node_express:ref:refs/tags/my-tag.
  • Für Workflows, die durch ein Pull Request-Ereignis ausgelöst werden: repo:< Organization/Repository >:pull_request.

az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Eine ausführlichere Übersicht finden Sie unter Konfigurieren einer App, um einem externen Identitätsanbieter zu vertrauen.

Azure PowerShell

Führen Sie das Cmdlet New-AzADAppFederatedCredential aus, um eine neue Verbundidentitäts-Anmeldeinformationen für Ihre Microsoft Entra-Anwendung zu erstellen.

• Ersetzen Sie diese durch APPLICATION-OBJECT-ID die ID (generiert beim Erstellen der App) für Ihre Microsoft Entra-Anwendung.
• Legen Sie einen Wert für CREDENTIAL-NAME fest, um später auf ihn zu verweisen.
• Legen Sie die subject fest. Dieser Wert wird von GitHub in Abhängigkeit von Ihrem Workflow festgelegt:
  • Aufträge in Ihrer GitHub Actions-Umgebung: repo:< Organization/Repository >:environment:< Name >
  • Bei Aufträgen, die nicht an eine Umgebung gebunden sind, fügen Sie den Referenzpfad für den Branch/Tag auf der Grundlage des für die Auslösung des Workflows verwendeten Referenzpfads ein: repo:< Organization/Repository >:ref:< ref path>. Zum Beispiel: repo:n-username/ node_express:ref:refs/heads/my-branch oder repo:n-username/ node_express:ref:refs/tags/my-tag.
  • Für Workflows, die durch ein Pull Request-Ereignis ausgelöst werden: repo:< Organization/Repository >:pull_request.

New-AzADAppFederatedCredential -ApplicationObjectId APPLICATION-OBJECT-ID -Audience api://AzureADTokenExchange -Issuer 'https://token.actions.githubusercontent.com/' -Name 'GitHub-Actions-Test' -Subject 'repo:octo-org/octo-repo:environment:Production'

Eine ausführlichere Übersicht finden Sie unter Konfigurieren einer Vertrauensstellung zwischen einer App und einem GitHub-Repository (Vorschauversion).

Erstellen von GitHub-Geheimnissen

Sie müssen die Client-ID Ihrer Anwendung, die Mandanten-ID und die Abonnement-ID für die Anmeldeaktion bereitstellen. Diese Werte können entweder direkt im Workflow bereitgestellt werden oder in GitHub-Geheimnissen gespeichert und darauf in Ihrem Workflow verwiesen werden. Das Speichern der Werte als GitHub-Geheimnisse ist die sicherere Option.

1. Öffnen Sie Ihr GitHub-Repository, und navigieren Sie zu Einstellungen.

   

2. Wählen Sie Security > Secrets and variables > Actions (Sicherheit > Geheimnisse und Variablen > Aktionen) aus.

   

3. Erstellen Sie Geheimnisse für AZURE_CLIENT_ID, AZURE_TENANT_ID und AZURE_SUBSCRIPTION_ID. Verwenden Sie diese Werte aus Ihrer Azure Active Directory-Anwendung für Ihre GitHub-Geheimnisse:

   GitHub-Geheimnis	Azure Active Directory-Anwendung
   AZURE_CLIENT_ID	Anwendungs-ID (Client)
   AZURE_TENANT_ID	Verzeichnis-ID (Mandant)
   AZURE_SUBSCRIPTION_ID	Abonnement-ID

4. Speichern Sie jedes Geheimnis, indem Sie Geheimnis hinzufügen auswählen.

Einrichten der Azure-Anmeldung mit OpenID Connect-Authentifizierung

Ihr GitHub Actions-Workflow verwendet OpenID Connect für die Authentifizierung bei Azure. Weitere Informationen zu dieser Interaktion finden Sie in der Dokumentation zu GitHub Actions.

In diesem Beispiel verwenden Sie OpenID Verbinden Azure CLI, um sich mit Azure mit der Azure-Anmeldeaktion zu authentifizieren. Im Beispiel werden GitHub-Geheimnisse für die Werte client-id, tenant-id und subscription-id verwendet. Sie können diese Werte auch direkt in der Anmeldeaktion übergeben.

Die Azure-Anmeldeaktion enthält einen optionalen audience Eingabeparameter, der standardmäßig auf api://AzureADTokenExchange. Sie können diesen Parameter für benutzerdefinierte Zielgruppenwerte aktualisieren.

Linux

Dieser Workflow authentifiziert sich mit OpenID Verbinden und verwendet Azure CLI, um die Details der verbundenen Abonnement- und Listenressourcengruppe abzurufen.

name: Run Azure Login with OpenID Connect
on: [push]

permissions:
      id-token: write
      contents: read
      
jobs: 
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    - name: 'Az CLI login'
      uses: azure/login@v1
      with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
  
    - name: 'Run Azure CLI commands'
      run: |
          az account show
          az group list
          pwd 

Windows

Dieser Workflow authentifiziert sich mit OpenID Verbinden und verwendet PowerShell zum Ausgeben einer Liste von Ressourcengruppen, die mit dem verbundenen Azure-Abonnement verknüpft sind.

name: Run Azure Login with OpenID Connect and PowerShell
on: [push]

permissions:
  id-token: write
  contents: read
      
jobs: 
  Windows-latest:
    runs-on: windows-latest
    steps:
      - name: OIDC Login to Azure Public Cloud with AzPowershell (enableAzPSSession true)
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }} 
          enable-AzPSSession: true

      - name: 'Get resource group with PowerShell action'
        uses: azure/powershell@v1
        with:
          inlineScript: |
            Get-AzResourceGroup
          azPSVersion: "latest"

Überprüfen der erfolgreichen Azure-Anmeldung mit OpenID

Öffnen Sie die Aktion Az CLI login, und überprüfen Sie, ob sie erfolgreich ausgeführt wurde. Die Meldung Login successful sollte angezeigt werden. Wenn Ihre Anmeldung nicht erfolgreich ist, wird die Meldung Az CLI Login failed. angezeigt.

Verwenden der Azure-Anmeldeaktion mit einem Dienstprinzipalgeheimnis

Zur Verwendung der Azure-Anmeldung mit einem Dienstprinzipal müssen Sie Ihren Azure-Dienstprinzipal zunächst Ihrem GitHub-Repository als Geheimnis hinzufügen.

Erstellen eines Dienstprinzipals

In diesem Beispiel erstellen Sie ein Geheimnis mit dem Namen AZURE_CREDENTIALS, das Sie für die Authentifizierung bei Azure verwenden können.

1. Öffnen Sie Azure Cloud Shell im Azure-Portal oder lokal die Azure CLI.

   Hinweis

   Bei Verwendung von Azure Stack Hub müssen Sie Ihren SQL Management-Endpunkt auf not supported festlegen. az cloud update -n {environmentName} --endpoint-sql-management https://notsupported

2. Erstellen Sie im Azure-Portal für Ihre App einen neuen Dienstprinzipal. Der Dienstprinzipal muss einer entsprechenden Rolle zugewiesen werden.

       az ad sp create-for-rbac --name "myApp" --role contributor \
                                   --scopes /subscriptions/{subscription-id}/resourceGroups/{resource-group} \
                                   --json-auth
   

   Der Parameter --json-auth gibt das Von der Anmeldeaktion akzeptierte Ergebniswörterbuch aus, auf das in Azure CLI-Versionen >zugegriffen werden kann = 2.51.0. Frühere Versionen nutzen --sdk-auth mit einer Einstellungswarnung.

3. Kopieren Sie das JSON-Objekt für Ihren Dienstprinzipal.

   {
       "clientId": "<GUID>",
       "clientSecret": "<GUID>",
       "subscriptionId": "<GUID>",
       "tenantId": "<GUID>",
       (...)
   }
   

Hinzufügen des Dienstprinzipals als GitHub-Geheimschlüssel

1. Wechseln Sie in GitHub zu Ihrem Repository.

2. Gehen Sie im Navigationsmenü auf Einstellungen.

3. Wählen Sie Security > Secrets and variables > Actions (Sicherheit > Geheimnisse und Variablen > Aktionen) aus.

   

4. Wählen Sie New repository secret (Neues Repositorygeheimnis) aus.

5. Fügen Sie die gesamte JSON-Ausgabe aus dem Azure CLI-Befehl in das Wertfeld des Geheimnisses ein. Geben Sie dem Geheimnis den Namen AZURE_CREDENTIALS.

6. Klicken Sie auf Add secret (Geheimnis hinzufügen).

Verwenden der Aktion „Azure-Anmeldung“

Verwenden Sie das Dienstprinzipalgeheimnis mit der Aktion „Azure-Anmeldung“, um die Authentifizierung bei Azure durchzuführen.

In diesem Workflow authentifizieren Sie sich mit der Aktion „Azure-Anmeldung“ und den Dienstprinzipaldetails, die in secrets.AZURE_CREDENTIALS gespeichert sind. Anschließend führen Sie eine Azure CLI-Aktion aus. Weitere Informationen zum Verweisen auf GitHub-Geheimnisse in einer Workflowdatei finden Sie in den GitHub-Dokumentationen unter Verwenden verschlüsselter Geheimnisse in einem Workflow.

Wenn Sie über einen funktionierenden Schritt zur Azure-Anmeldung verfügen, können Sie die Azure PowerShell- oder Azure CLI-Aktionen verwenden. Sie können auch andere Azure-Aktionen wie die Azure-Web-App-Bereitstellung und Azure-Funktionen verwenden.

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'

Verwenden der Azure PowerShell-Aktion

In diesem Beispiel melden Sie sich mit der Aktion „Azure-Anmeldung“ an und rufen dann mit der Azure PowerShell-Aktion eine Ressourcengruppe ab.

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'
          enable-AzPSSession: true
      - name: Azure PowerShell Action
        uses: Azure/powershell@v1
        with:
          inlineScript: Get-AzResourceGroup -Name "< YOUR RESOURCE GROUP >"
          azPSVersion: "latest"

Verwenden der Azure CLI-Aktion

In diesem Beispiel melden Sie sich mit der Aktion „Azure-Anmeldung“ an und rufen dann mit der Azure CLI-Aktion eine Ressourcengruppe ab.

on: [push]

name: AzureLoginSample

jobs:
build-and-deploy:
  runs-on: ubuntu-latest
  steps:

    - name: Log in with Azure
      uses: azure/login@v1
      with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

    - name: Azure CLI script
      uses: azure/CLI@v1
      with:
          azcliversion: 2.0.72
          inlineScript: |
            az account show
            az storage -h

Herstellen einer Verbindung mit Azure Government- und Azure Stack Hub-Clouds

Legen Sie für die Anmeldung bei einer Azure Government-Cloud die optionale Parameterumgebung mit den unterstützten Cloudnamen AzureUSGovernment oder AzureChinaCloud fest. Wenn dieser Parameter nicht angegeben ist, wird der Standardwert AzureCloud verwendet und eine Verbindung mit der öffentlichen Azure-Cloud hergestellt.

   - name: Login to Azure US Gov Cloud with CLI
     uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: false
   - name: Login to Azure US Gov Cloud with Az Powershell
      uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: true

Herstellen einer Verbindung mit anderen Azure-Diensten

In den folgenden Artikeln finden Sie ausführliche Informationen zum Herstellen einer Verbindung mit GitHub aus Azure und anderen Diensten.

Microsoft Entra ID

• Anmelden bei GitHub Enterprise mit Microsoft Entra ID (einmaliges Anmelden)

Power BI

• Herstellen einer Verbindung mit GitHub mithilfe von Power BI

Connectors

• GitHub-Connector für Azure Logic Apps, Power Automate und Power Apps

Azure Databricks

• GitHub-Versionskontrolle

Bereitstellen von Apps von GitHub in Azure