Crear y configurar manualmente una conexión del servicio de identidad de carga de trabajo de Azure Resource Manager

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Nota:

Estamos implementando la nueva experiencia de creación de conexiones de servicio de Azure. Recibirlo en su organización depende de varios factores y es posible que todavía vea la experiencia de usuario anterior.

Al solucionar problemas de una conexión del servicio de identidad de carga de trabajo de Azure Resource Manager, podría necesitar configurar manualmente la conexión en lugar de usar la herramienta automatizada que está disponible en Azure DevOps.

Se recomienda probar el método automatizado antes de realizar una configuración manual.

Hay dos opciones para la autenticación: usar una identidad administrada o usar un registro de aplicaciones. La ventaja de la opción de identidad administrada es que puede usarla cuando no tienes los permisos para crear entidades de servicio o si va a usar un inquilino distinto de Microsoft Entra de su usuario de Azure DevOps.

Configuración de una conexión del servicio de identidad de carga de trabajo

Identidad administrada

Para configurar manualmente la autenticación de identidad administrada para las canalizaciones de Azure, siga estos pasos para crear una identidad administrada en Azure Portal, establecer una conexión de servicio en Azure DevOps, agregar credenciales federadas y conceder los permisos necesarios. Debes seguir estos pasos, en el orden indicado:

1. Cree la identidad administrada en Azure Portal.
2. Cree la conexión de servicio en Azure DevOps y guárdela como borrador.
3. Agregue una credencial federada a la identidad administrada en Azure Portal.
4. Concesión de permisos a la identidad administrada en el portal de Azure.
5. Guarde la conexión de servicio en Azure DevOps.

También puede usar la API REST para este proceso.

Requisitos previos para la autenticación de identidad administrada

• Para crear una identidad administrada asignada por el usuario, la cuenta de Azure requiere la asignación del rol Colaborador de identidades administradas o superior.
• Para usar una identidad administrada para acceder a los recursos de Azure de la canalización, asigne el acceso de identidad administrada al recurso.

Cree una identidad administrada en el portal de Azure

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda, escriba Identidades administradas.

3. Seleccione Crear.

4. En el panel Crear identidad administrada asignada por el usuario, introduzca o seleccione los valores para los siguientes elementos:

   • Suscripción: elija la suscripción en la que crear la identidad administrada asignada por el usuario.
   • Grupo de recursos: elija un grupo de recursos en el que crear la identidad administrada asignada por el usuario, o bien seleccione Crear nuevo para crear un nuevo grupo de recursos.
   • Región: elija una región para implementar la identidad administrada asignada por el usuario (por ejemplo, Este de EE. UU.).
   • Nombre: escriba el nombre de la identidad administrada asignada por el usuario (por ejemplo, UADEVOPS).

5. Seleccione Revisar y crear para crear una nueva identidad administrada. Una vez finalizada la implementación, seleccione Ir al recurso.

6. Copie los valores de Suscripción, ID de suscripción e ID de cliente para la identidad administrada, para usarlos más adelante.

7. En la identidad administrada en Azure Portal, vaya a Configuración>Propiedades.

8. Copie el valor de Id. de inquilino para usarlo más adelante.

Crear una conexión de servicio para la autenticación de identidad administrada en Azure DevOps

1. En Azure DevOps, abra su proyecto y vaya a >Pipelines> Conexiones de servicio.

2. Seleccione Nueva conexión de servicio.

3. Seleccione Azure Resource Manager.

4. Seleccione el tipo de identidad Registro de aplicaciones o Identidad administrada (manual) para la credencial de federación de identidades de carga de trabajo.

   

5. En Nombre de la conexión de servicio, escriba un valor como uamanagedidentity. Usará este valor en el identificador del firmante de credenciales federado.

6. Seleccione Siguiente.

7. En el Paso 2: Detalles del registro de aplicaciones:

   Paso 2: Detalles del registro de aplicaciones contiene los parámetros siguientes. Puede introducir o seleccionar los siguientes parámetros:

   Parámetro	Descripción
   Emisor	Necesario. DevOps crea automáticamente la URL del emisor.
   Identificador de sujeto	Necesario. DevOps crea automáticamente el identificador del firmante.
   Entorno	Necesario. Elija un entorno de nube al que conectarse. Si selecciona Azure Stack, escriba la dirección URL del entorno, que es algo parecido a https://management.local.azurestack.external.

   1. Seleccione el Nivel de ámbito. Seleccione Suscripción, Grupo de administración o Área de trabajo de Machine Learning. Los grupos de administración son contenedores que ayudan a administran el acceso, las directivas y el cumplimiento de varias suscripciones. Una área de trabajo de Machine Learning es un lugar para crear artefactos de aprendizaje automático.

      • En el ámbito de Suscripción, escriba los siguientes parámetros:

        Parámetro	Descripción
        Id. de suscripción	Necesario. Escriba el ID de suscripción de Azure.
        Subscription Name	Necesario. Escriba el nombre de la suscripción de Azure.

      • En el ámbito Grupo de administración, escriba los parámetros siguientes:

        Parámetro	Descripción
        ID de grupo de administración	Necesario. Escriba el identificador del grupo de administración de Azure.
        Nombre del grupo de administración	Necesario. Escriba el nombre del grupo de administración de Azure.

      • En el ámbito Área de trabajo de Machine Learning, escriba los parámetros siguientes:

        Parámetro	Descripción
        Id. de suscripción	Necesario. Escriba el ID de suscripción de Azure.
        Subscription Name	Necesario. Escriba el nombre de la suscripción de Azure.
        Grupo de recursos	Necesario. Seleccione el grupo de recursos que contiene el área de trabajo.
        Nombre del área de trabajo de ML	Necesario. Escriba el nombre del área de trabajo de Azure Machine Learning existente.
        Ubicación del área de trabajo de ML	Necesario. Escriba la ubicación del área de trabajo de Azure Machine Learning existente.

   2. En la sección Autenticación, escriba o seleccione los parámetros siguientes:

      Parámetro	Descripción
      Id. de la aplicación (cliente)	Necesario. Introduzca el ID de cliente de la identidad administrada.
      Id. de directorio (inquilino)	Necesario. Escriba el ID de inquilino de la identidad administrada.

   3. En la sección Seguridad, seleccione Conceder permiso de acceso a todas las canalizaciones para permitir que todas las canalizaciones usen esta conexión de servicio. Si no selecciona esta opción, debe conceder manualmente acceso a cada canalización que use esta conexión de servicio.

8. En Azure DevOps, copie los valores generados para el emisor y el ID de sujeto.

   

9. Seleccione Mantener como borrador para guardar una credencial de borrador. No se puede completar la configuración hasta que la identidad administrada tenga una credencial federada en Azure Portal.

Adición de una credencial federada en Azure Portal

1. En una ventana nueva del explorador, dentro de la identidad administrada en Azure Portal, vaya a Configuración>Credenciales federadas.

2. Seleccione Agregar credenciales.

3. Seleccione el escenario Otro emisor.

4. Pegue los valores del emisor y el ID de sujeto copiados del proyecto de Azure DevOps en las credenciales federadas en Azure Portal.

   

5. Escriba el Nombre de la credencial federada.

6. Seleccione Agregar.

Concesión de permisos a la identidad administrada en el portal de Azure

1. En el portal de Azure, vaya al recurso de Azure para el que desee conceder los permisos (por ejemplo, un grupo de recursos).

2. Seleccione Control de acceso (IAM).

   

3. Seleccione Agregar asignación de roles. Asigne el rol correspondiente a la identidad administrada (por ejemplo, Colaborador).

4. Seleccione Revisar y asignar.

Guarde la conexión de servicio de Azure DevOps

1. En Azure DevOps, vuelva a la conexión de servicio de borrador.

2. Seleccione Finalizar configuración.

3. Seleccione Comprobar y guardar. Una vez completado correctamente este paso, la identidad administrada está totalmente configurada.

Registro de aplicación

Esta sección le guía por la configuración de un registro de aplicaciones y las credenciales federadas en Azure Portal, la creación de una conexión de servicio para la autenticación de entidad de servicio en Azure DevOps, la adición de credenciales federadas al registro de la aplicación y la concesión de los permisos necesarios. El registro de aplicaciones usa la autenticación de entidad de servicio. Deberá completar estos pasos en el siguiente orden:

1. Cree el registro de aplicaciones con la autenticación de entidad de servicio en Azure Portal.
2. Cree la conexión de servicio en Azure DevOps y guárdela como borrador.
3. Agregue una credencial federada a su registro de aplicación en el portal de Azure.
4. Conceda permisos al registro de la aplicación en el portal de Azure.
5. Guarde la conexión de servicio en Azure DevOps.

También puede usar la API REST para este proceso.

Requisitos previos para la autenticación de registro de aplicaciones

• Para crear una conexión de servicio, la cuenta de Azure debe poder crear registros de aplicaciones.
  • Si la creación de registros de aplicaciones está deshabilitada en el inquilino, debe tener el rol de Desarrollador de aplicaciones para crear registros de aplicaciones.

Crear un registro de aplicación y credenciales federadas en el portal de Azure

1. En el portal de Azure, busque Registros de aplicaciones.

2. Seleccione Nuevo registro.

   

3. En Nombre, escriba un nombre para el registro de aplicación y seleccione Quién puede usar esta aplicación o acceder a esta API.

4. Seleccione Registrar.

5. Cuando se cargue el nuevo registro de aplicación, copie los valores del ID de aplicación (cliente) y el ID de directorio (inquilino) para usarlos más adelante.

   

Creación de una conexión de servicio para la autenticación de registro de aplicaciones en Azure DevOps

1. En Azure DevOps, abra su proyecto y vaya a >Pipelines> Conexiones de servicio.

2. Seleccione Nueva conexión de servicio.

3. Seleccione Azure Resource Manager.

4. Seleccione el tipo de identidad Registro de aplicaciones o Identidad administrada (manual) para la credencial de federación de identidades de carga de trabajo.

   

5. En Nombre de la conexión de servicio, escriba un valor como uaappregistration. Usará este valor en el identificador del firmante de credenciales federado.

6. Seleccione Siguiente.

7. En el Paso 2: Detalles del registro de aplicaciones:

   Paso 2: Detalles del registro de aplicaciones contiene los parámetros siguientes. Puede introducir o seleccionar los siguientes parámetros:

   Parámetro	Descripción
   Emisor	Necesario. DevOps crea automáticamente la URL del emisor.
   Identificador de sujeto	Necesario. DevOps crea automáticamente el identificador del firmante.
   Entorno	Necesario. Elija un entorno de nube al que conectarse. Si selecciona Azure Stack, escriba la dirección URL del entorno, que es algo parecido a https://management.local.azurestack.external.

   1. Seleccione el Nivel de ámbito. Seleccione Suscripción, Grupo de administración o Área de trabajo de Machine Learning. Los grupos de administración son contenedores que ayudan a administran el acceso, las directivas y el cumplimiento de varias suscripciones. Una área de trabajo de Machine Learning es un lugar para crear artefactos de aprendizaje automático.

      • En el ámbito de Suscripción, escriba los siguientes parámetros:

        Parámetro	Descripción
        Id. de suscripción	Necesario. Escriba el ID de suscripción de Azure.
        Subscription Name	Necesario. Escriba el nombre de la suscripción de Azure.

      • En el ámbito Grupo de administración, escriba los parámetros siguientes:

        Parámetro	Descripción
        ID de grupo de administración	Necesario. Escriba el identificador del grupo de administración de Azure.
        Nombre del grupo de administración	Necesario. Escriba el nombre del grupo de administración de Azure.

      • En el ámbito Área de trabajo de Machine Learning, escriba los parámetros siguientes:

        Parámetro	Descripción
        Id. de suscripción	Necesario. Escriba el ID de suscripción de Azure.
        Subscription Name	Necesario. Escriba el nombre de la suscripción de Azure.
        Grupo de recursos	Necesario. Seleccione el grupo de recursos que contiene el área de trabajo.
        Nombre del área de trabajo de ML	Necesario. Escriba el nombre del área de trabajo de Azure Machine Learning existente.
        Ubicación del área de trabajo de ML	Necesario. Escriba la ubicación del área de trabajo de Azure Machine Learning existente.

   2. En la sección Autenticación, escriba o seleccione los parámetros siguientes:

      Parámetro	Descripción
      Id. de la aplicación (cliente)	Necesario. Introduzca el ID de la aplicación (cliente) del registro de la aplicación.
      Id. de directorio (inquilino)	Necesario. Introduzca el ID de directorio (inquilino) del registro de la aplicación.

   3. En la sección Seguridad, seleccione Conceder permiso de acceso a todas las canalizaciones para permitir que todas las canalizaciones usen esta conexión de servicio. Si no selecciona esta opción, debe conceder manualmente acceso a cada canalización que use esta conexión de servicio.

8. En Azure DevOps, copie los valores generados para el emisor y el ID de sujeto.

9. Seleccione Mantener como borrador para guardar una credencial de borrador. No se puede completar la configuración hasta que la identidad administrada tenga una credencial federada en Azure Portal.

Agregar una credencial federada a su registro de aplicación en el portal de Azure

1. En el portal de Azure, abra el registro de aplicación y vaya a Administrar>Certificados y secretos.

2. Seleccione Credenciales federadas.

   

3. Seleccione Agregar credenciales.

4. Seleccione el escenario Otro emisor.

   

5. Pegue los valores del emisor y el ID de sujeto copiados del proyecto de Azure DevOps en las credenciales federadas en Azure Portal.

   

6. Seleccione Guardar.

Conceder permisos al registro de aplicación en el portal de Azure

1. En Azure Portal, vaya al recurso de Azure para el que desee conceder los permisos (por ejemplo, un grupo de recursos).

2. Seleccione Control de acceso (IAM).

   

3. Seleccione Agregar asignación de roles. Asigne el rol correspondiente al registro de la aplicación (por ejemplo, Colaborador).

4. Seleccione Revisar y asignar.

Guardar la conexión de servicio de Azure DevOps del registro de aplicación

1. En Azure DevOps, vuelva a la conexión de servicio de borrador.

2. Seleccione Finalizar configuración.

3. Seleccione Comprobar y guardar. Cuando este paso finalice correctamente, la conexión de servicio de Azure Resource Manager estará totalmente configurada.