Connettersi ad Azure con una connessione al servizio Azure Resource Manager
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Nota
Verrà implementata la nuova esperienza di creazione della connessione al servizio di Azure. La ricezione nell'organizzazione dipende da vari fattori e l'esperienza utente meno recente potrebbe essere ancora visualizzata.
Una connessione al servizio Azure Resource Manager consente di connettersi a risorse di Azure come Azure Key Vault dalla pipeline. Questa connessione consente di usare una pipeline per distribuire le risorse di Azure, ad esempio un'app del servizio app Azure, senza dover eseguire l'autenticazione ogni volta.
Sono disponibili più opzioni di autenticazione per la connessione ad Azure con una connessione al servizio Azure Resource Manager. Le opzioni consigliate sono l'uso della federazione dell'identità del carico di lavoro con una registrazione dell'app o un'identità gestita.
Le opzioni di connessione al servizio Azure Resource Manager consigliate sono:
- Registrazione dell'app (automatica) con una federazione dell'identità del carico di lavoro o un segreto
- Identità gestita che crea una credenziale di federazione dell'identità del carico di lavoro e si connette a un'identità gestita assegnata dall'utente esistente. Usare questa opzione quando non si dispone dell'autorizzazione per creare una registrazione dell'app.
In questo articolo non sono incluse altre opzioni di autenticazione della connessione al servizio Azure Resource Manager:
Creare una registrazione dell'app di Azure Resource Manager (automatica)
Quando si crea una connessione al servizio Azure Resource Manager, è possibile scegliere tra due tipi di credenziali diversi, ovvero la federazione dell'identità del carico di lavoro o un segreto.
Creare una registrazione dell'app azure Resource Manager con la federazione dell'identità del carico di lavoro (automatica)
È possibile usare questo approccio se tutti gli elementi seguenti sono veri per lo scenario:
- Si ha il ruolo di proprietario per la sottoscrizione di Azure.
- Non ci si connette ad Azure Stack o agli ambienti di Azure US Government.
- Tutte le attività delle estensioni del Marketplace usate vengono aggiornate per supportare la federazione delle identità del carico di lavoro.
Con questa selezione, Azure DevOps esegue automaticamente query per la sottoscrizione, il gruppo di gestione o l'area di lavoro di Machine Learning a cui connettersi e crea una federazione dell'identità del carico di lavoro per l'autenticazione.
Nel progetto Azure DevOps passare a Impostazioni progetto>Connessioni del servizio.
Per altre informazioni, vedere Aprire le impostazioni del progetto.
Selezionare Nuova connessione al servizio, quindi selezionare Azure Resource Manager e Avanti.
Selezionare Registrazione app (automatica) con la federazione dell'identità del carico di lavoro delle credenziali.
Selezionare un livello ambito. Selezionare Sottoscrizione, Gruppo di gestione o Area di lavoro di Machine Learning. I gruppi di gestione sono contenitori che consentono di gestire l'accesso, i criteri e la conformità tra più sottoscrizioni. Un'area di lavoro di Machine Learning consente di creare artefatti di Machine Learning.
Per Ambito sottoscrizione immettere i parametri seguenti:
Parametro Descrizione Abbonamento Obbligatorio. Selezionare l’abbonamento di Azure. Gruppo di risorse Facoltativo. Selezionare il gruppo di risorse di Azure. Per l'ambito del gruppo di gestione selezionare il gruppo di gestione di Azure.
Per l'ambito dell'area di lavoro di Machine Learning, immettere i parametri seguenti:
Parametro Descrizione Abbonamento Obbligatorio. Selezionare l’abbonamento di Azure. Gruppo di risorse Obbligatorio. Selezionare il gruppo di risorse contenente l'area di lavoro. Area di lavoro di Machine Learning Obbligatorio. Selezionare l'area di lavoro di Azure Machine Learning.
Immettere un nome di connessione al servizio.
Facoltativamente, immettere una descrizione per la connessione al servizio.
Selezionare Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.
Seleziona Salva.
Dopo aver creato la nuova connessione al servizio, copiare il nome della connessione e incollarlo nel codice come valore per azureSubscription
.
Creare una registrazione dell'app Azure Resource Manager con un segreto (automatico)
Con questa selezione, Azure DevOps esegue automaticamente query per la sottoscrizione, il gruppo di gestione o l'area di lavoro di Machine Learning a cui connettersi e crea un segreto per l'autenticazione.
Avviso
L'uso di un segreto richiede rotazione e gestione manuali e non è consigliato. La federazione delle identità del carico di lavoro è il tipo di credenziale preferito.
È possibile usare questo approccio se tutti gli elementi seguenti sono veri per lo scenario:
- L'accesso è stato eseguito come proprietario dell'organizzazione di Azure Pipelines e della sottoscrizione di Azure.
- Non è necessario limitare ulteriormente le autorizzazioni per le risorse di Azure a cui gli utenti accedono tramite la connessione al servizio.
- Non ci si connette ad Azure Stack o agli ambienti di Azure US Government.
- Non ci si connette da Azure DevOps Server 2019 o versioni precedenti di Team Foundation Server .
Nel progetto Azure DevOps passare a Impostazioni progetto>Connessioni del servizio.
Per altre informazioni, vedere Aprire le impostazioni del progetto.
Selezionare Nuova connessione al servizio, quindi selezionare Azure Resource Manager e Avanti.
Selezionare Registrazione app (automatica) con il segreto delle credenziali.
Selezionare un livello ambito. Selezionare Sottoscrizione, Gruppo di gestione o Area di lavoro di Machine Learning. I gruppi di gestione sono contenitori che consentono di gestire l'accesso, i criteri e la conformità tra più sottoscrizioni. Un'area di lavoro di Machine Learning consente di creare artefatti di Machine Learning.
Per Ambito sottoscrizione immettere i parametri seguenti:
Parametro Descrizione Abbonamento Obbligatorio. Selezionare l’abbonamento di Azure. Gruppo di risorse Obbligatorio. Selezionare il gruppo di risorse di Azure. Per l'ambito del gruppo di gestione selezionare il gruppo di gestione di Azure.
Per l'ambito dell'area di lavoro di Machine Learning, immettere i parametri seguenti:
Parametro Descrizione Abbonamento Obbligatorio. Selezionare l’abbonamento di Azure. Gruppo di risorse Obbligatorio. Selezionare il gruppo di risorse contenente l'area di lavoro. Area di lavoro di Machine Learning Obbligatorio. Selezionare l'area di lavoro di Azure Machine Learning.
Immettere un nome di connessione al servizio.
Facoltativamente, immettere una descrizione per la connessione al servizio.
Selezionare Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.
Seleziona Salva.
Dopo aver creato la nuova connessione al servizio, copiare il nome della connessione e incollarlo nel codice come valore per azureSubscription
.
Creare una connessione al servizio Azure Resource Manager per un'identità gestita assegnata dall'utente esistente
Usare questa opzione per creare automaticamente le credenziali di identità del carico di lavoro per un'identità gestita assegnata dall'utente esistente. Prima di iniziare, è necessario avere un'identità gestita assegnata dall'utente esistente.
Nel progetto Azure DevOps passare a Impostazioni progetto>Connessioni del servizio.
Per altre informazioni, vedere Aprire le impostazioni del progetto.
Selezionare Nuova connessione al servizio, quindi selezionare Azure Resource Manager e Avanti.
Selezionare Identità gestita.
Nel passaggio 1: Dettagli identità gestita:
- Selezionare Sottoscrizione per Identità gestita. Si tratta della sottoscrizione di Azure che contiene l'identità gestita.
- Selezionare Gruppo di risorse per Identità gestita. Si tratta del gruppo di risorse che contiene l'identità gestita.
- Selezionare Identità gestita. Si tratta dell'identità gestita all'interno del gruppo di risorse che verrà usata per accedere alle risorse.
Nel passaggio 2: Ambito di Azure:
Selezionare il livello di ambito. Selezionare Sottoscrizione, Gruppo di gestione o Area di lavoro di Machine Learning. I gruppi di gestione sono contenitori che consentono di gestire l'accesso, i criteri e la conformità tra più sottoscrizioni. Un'area di lavoro di Machine Learning consente di creare artefatti di Machine Learning.
Per Ambito sottoscrizione immettere i parametri seguenti:
Parametro Descrizione Sottoscrizione per la connessione al servizio Obbligatorio. Selezionare il nome della sottoscrizione di Azure a cui si accederà l'identità gestita. Gruppo di risorse per la connessione al servizio Facoltativo. Immettere per limitare l'accesso all'identità gestita a un gruppo di risorse. Per l'ambito del gruppo di gestione immettere i parametri seguenti:
Parametro Descrizione Gruppo di gestione Obbligatorio. Selezionare il gruppo di gestione di Azure. Per l'ambito dell'area di lavoro di Machine Learning, immettere i parametri seguenti:
Parametro Descrizione Abbonamento Obbligatorio. Selezionare il nome della sottoscrizione di Azure. Gruppo di risorse per la connessione al servizio Facoltativo. Selezionare il gruppo di risorse contenente l'area di lavoro. Area di lavoro ml Obbligatorio. Immettere il nome dell'area di lavoro di Azure Machine Learning esistente.
Nella sezione Passaggio 3: Dettagli connessione al servizio immettere o selezionare i parametri seguenti:
Parametro Descrizione Nome connessione del servizio Obbligatorio. Nome usato per fare riferimento a questa connessione al servizio nelle proprietà dell'attività. Non il nome della sottoscrizione di Azure. Informazioni di riferimento sulla gestione dei servizi Facoltativo. Informazioni di contesto da un database ITSM. Descrizione Facoltativo. Immettere una descrizione della connessione al servizio. Nella sezione Sicurezza selezionare Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.
Selezionare Salva per convalidare e creare la connessione al servizio.
Convertire una connessione al servizio Azure Resource Manager esistente per usare la federazione dell'identità del carico di lavoro
È possibile convertire rapidamente una connessione al servizio Azure Resource Manager esistente per usare la federazione dell'identità del carico di lavoro per l'autenticazione anziché un segreto. È possibile usare lo strumento di conversione della connessione al servizio in Azure DevOps se la connessione al servizio soddisfa questi requisiti:
- Azure DevOps ha originariamente creato la connessione al servizio. Se si crea manualmente la connessione al servizio, non è possibile convertire la connessione al servizio usando lo strumento di conversione della connessione al servizio perché Azure DevOps non dispone delle autorizzazioni per modificare le proprie credenziali.
- Solo un progetto usa la connessione al servizio. Non è possibile convertire connessioni tra servizio di progetto.
Per convertire una connessione al servizio:
Nel progetto Azure DevOps passare a Impostazioni progetto>Connessioni del servizio.
Per altre informazioni, vedere Aprire le impostazioni del progetto.
Selezionare la connessione al servizio da convertire per usare l'identità del carico di lavoro.
Seleziona Converti.
Se si dispone di credenziali esistenti con un segreto scaduto, viene visualizzata un'opzione diversa da convertire.
Selezionare di nuovo Converti per confermare di voler creare una nuova connessione al servizio.
La conversione potrebbe richiedere alcuni minuti. Se si desidera ripristinare la connessione, è necessario ripristinarla entro sette giorni.
Convertire più connessioni al servizio Azure Resource Manager con uno script
Usare uno script per aggiornare più connessioni al servizio contemporaneamente per usare ora la federazione dell'identità del carico di lavoro per l'autenticazione.
Questo script di PowerShell di esempio richiede due parametri: l'organizzazione Azure DevOps (ad esempio) https://dev.azure.com/fabrikam-tailspin
e il progetto Azure DevOps (ad esempio: Space game web agent
). Lo script recupera quindi le connessioni al servizio associate per il progetto e l'organizzazione di Azure DevOps.
Quando si convertono le connessioni al servizio per l'uso della federazione dell'identità del carico di lavoro, viene richiesto di confermare l'aggiornamento per ogni connessione non già in uso. Dopo la conferma, lo script aggiorna queste connessioni al servizio tramite l'API REST di Azure DevOps per usare la federazione delle identità del carico di lavoro.
Lo script richiede l'esecuzione di PowerShell 7.3 o versione successiva e dell'interfaccia della riga di comando di Azure. Salvare lo script in un .ps1
file ed eseguirlo usando PowerShell 7.
#!/usr/bin/env pwsh
<#
.SYNOPSIS
Convert multiple Azure Resource Manager service connection(s) to use Workload identity federation
.LINK
https://aka.ms/azdo-rm-workload-identity-conversion
.EXAMPLE
./convert_azurerm_service_connection_to_oidc_simple.ps1 -Project <project> -OrganizationUrl https://dev.azure.com/<organization>
#>
#Requires -Version 7.3
param (
[parameter(Mandatory=$true,HelpMessage="Name of the Azure DevOps Project")]
[string]
[ValidateNotNullOrEmpty()]
$Project,
[parameter(Mandatory=$true,HelpMessage="Url of the Azure DevOps Organization")]
[uri]
[ValidateNotNullOrEmpty()]
$OrganizationUrl
)
$apiVersion = "7.1"
$PSNativeCommandArgumentPassing = "Standard"
#-----------------------------------------------------------
# Log in to Azure
$azdoResource = "499b84ac-1321-427f-aa17-267ca6975798" # application id of Azure DevOps
az login --allow-no-subscriptions --scope ${azdoResource}/.default
$OrganizationUrl = $OrganizationUrl.ToString().Trim('/')
#-----------------------------------------------------------
# Retrieve the service connection
$getApiUrl = "${OrganizationUrl}/${Project}/_apis/serviceendpoint/endpoints?authSchemes=ServicePrincipal&type=azurerm&includeFailed=false&includeDetails=true&api-version=${apiVersion}"
az rest --resource $azdoResource -u "${getApiUrl} " -m GET --query "sort_by(value[?authorization.scheme=='ServicePrincipal' && data.creationMode=='Automatic' && !(isShared && serviceEndpointProjectReferences[0].projectReference.name!='${Project}')],&name)" -o json `
| Tee-Object -Variable rawResponse | ConvertFrom-Json | Tee-Object -Variable serviceEndpoints | Format-List | Out-String | Write-Debug
if (!$serviceEndpoints -or ($serviceEndpoints.count-eq 0)) {
Write-Warning "No convertible service connections found"
exit 1
}
foreach ($serviceEndpoint in $serviceEndpoints) {
# Prompt user to confirm conversion
$choices = @(
[System.Management.Automation.Host.ChoiceDescription]::new("&Convert", "Converting service connection '$($serviceEndpoint.name)'...")
[System.Management.Automation.Host.ChoiceDescription]::new("&Skip", "Skipping service connection '$($serviceEndpoint.name)'...")
[System.Management.Automation.Host.ChoiceDescription]::new("&Exit", "Exit script")
)
$prompt = $serviceEndpoint.isShared ? "Convert shared service connection '$($serviceEndpoint.name)'?" : "Convert service connection '$($serviceEndpoint.name)'?"
$decision = $Host.UI.PromptForChoice([string]::Empty, $prompt, $choices, $serviceEndpoint.isShared ? 1 : 0)
if ($decision -eq 0) {
Write-Host "$($choices[$decision].HelpMessage)"
} elseif ($decision -eq 1) {
Write-Host "$($PSStyle.Formatting.Warning)$($choices[$decision].HelpMessage)$($PSStyle.Reset)"
continue
} elseif ($decision -ge 2) {
Write-Host "$($PSStyle.Formatting.Warning)$($choices[$decision].HelpMessage)$($PSStyle.Reset)"
exit
}
# Prepare request body
$serviceEndpoint.authorization.scheme = "WorkloadIdentityFederation"
$serviceEndpoint.data.PSObject.Properties.Remove('revertSchemeDeadline')
$serviceEndpoint | ConvertTo-Json -Depth 4 | Write-Debug
$serviceEndpoint | ConvertTo-Json -Depth 4 -Compress | Set-Variable serviceEndpointRequest
$putApiUrl = "${OrganizationUrl}/${Project}/_apis/serviceendpoint/endpoints/$($serviceEndpoint.id)?operation=ConvertAuthenticationScheme&api-version=${apiVersion}"
# Convert service connection
az rest -u "${putApiUrl} " -m PUT -b $serviceEndpointRequest --headers content-type=application/json --resource $azdoResource -o json `
| ConvertFrom-Json | Set-Variable updatedServiceEndpoint
$updatedServiceEndpoint | ConvertTo-Json -Depth 4 | Write-Debug
if (!$updatedServiceEndpoint) {
Write-Debug "Empty response"
Write-Error "Failed to convert service connection '$($serviceEndpoint.name)'"
exit 1
}
Write-Host "Successfully converted service connection '$($serviceEndpoint.name)'"
}
Ripristinare una connessione al servizio Azure Resource Manager esistente che usa un segreto
È possibile ripristinare una connessione automatica del servizio convertita con il relativo segreto per sette giorni. Dopo sette giorni, creare manualmente un nuovo segreto.
Se si crea e si converte manualmente la connessione al servizio, non è possibile ripristinare la connessione al servizio usando lo strumento di conversione della connessione al servizio perché Azure DevOps non dispone delle autorizzazioni per modificare le proprie credenziali.
Per ripristinare una connessione al servizio:
Nel progetto Azure DevOps passare a Connessioni al>servizio pipeline.
Selezionare una connessione al servizio esistente da ripristinare.
Selezionare Ripristina conversione nello schema originale.
Selezionare Di nuovo Ripristina per confermare la scelta.
Creare una connessione al servizio Azure Resource Manager che usa un'entità servizio esistente
Se si vuole usare un set predefinito di autorizzazioni di accesso e non si dispone già di un'entità servizio definita a questo scopo, seguire una di queste esercitazioni per creare una nuova entità servizio:
- Usare il portale per creare un'applicazione Microsoft Entra e un'entità servizio in grado di accedere alle risorse
- Usare Azure PowerShell per creare un'entità servizio di Azure con un certificato
Per creare una connessione al servizio che usa un'entità servizio esistente:
Nel progetto Azure DevOps passare a Impostazioni progetto>Connessioni del servizio.
Per altre informazioni, vedere Aprire le impostazioni del progetto.
Selezionare Nuova connessione al servizio, quindi selezionare Azure Resource Manager e Avanti.
Selezionare Entità servizio (manuale) e Avanti.
Nella finestra di dialogo Nuova connessione al servizio di Azure selezionare Ambiente. Se si seleziona Azure Stack, immettere l'URL dell'ambiente, che è simile a
https://management.local.azurestack.external
.Selezionare il livello di ambito. Selezionare Sottoscrizione o Gruppo di gestione. I gruppi di gestione sono contenitori che consentono di gestire l'accesso, i criteri e la conformità tra più sottoscrizioni.
Per Ambito sottoscrizione immettere i parametri seguenti:
Parametro Descrizione ID sottoscrizione Obbligatorio. Immettere l'ID sottoscrizione di Azure. Nome sottoscrizione Obbligatorio. Immettere il nome della sottoscrizione di Azure. Per l'ambito del gruppo di gestione immettere i parametri seguenti:
Parametro Descrizione ID gruppo di gestione Obbligatorio. Immettere l'ID del gruppo di gestione di Azure. Nome gruppo di gestione Obbligatorio. Immettere il nome del gruppo di gestione di Azure.
Nella sezione Autenticazione immettere o selezionare i parametri seguenti:
Parametro Descrizione ID entità servizio Obbligatorio. Immettere l'ID entità servizio. Credenziali Selezionare Chiave dell'entità servizio o Certificato. Se è stata selezionata la chiave dell'entità servizio, immettere la chiave (password). Se è stato selezionato Certificato, immettere il certificato. Tenant Id Obbligatorio. Immetti l'ID tenant. Verificare Selezionare questa opzione per convalidare le impostazioni immesse. Nella sezione Dettagli immettere i parametri seguenti:
Parametro Descrizione Nome connessione Obbligatorio. Nome usato per fare riferimento a questa connessione al servizio nelle proprietà dell'attività. Non il nome della sottoscrizione di Azure. Descrizione Facoltativo. Immettere una descrizione della connessione al servizio. Sicurezza Selezionare Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio. Selezionare Verifica e salva per convalidare e creare la connessione al servizio.
Nel progetto Azure DevOps passare a Impostazioni progetto>Connessioni del servizio.
Per altre informazioni, vedere Aprire le impostazioni del progetto.
Selezionare Nuova connessione al servizio e quindi Selezionare Azure Resource Manager.
Nella finestra di dialogo Aggiungi una connessione al servizio Azure Resource Manager compilare i campi come indicato di seguito:
Immettere il nome connessione.
Selezionare l'ambiente. Se si seleziona Azure Stack, immettere l'URL dell'ambiente, che è simile a
https://management.local.azurestack.external
.Selezionare il livello ambito, **Sottoscrizione o Gruppo di gestione. I gruppi di gestione sono contenitori che consentono di gestire l'accesso, i criteri e la conformità tra più sottoscrizioni.
Per Ambito sottoscrizione immettere i parametri seguenti:
Parametro Descrizione ID sottoscrizione Obbligatorio. Immettere l'ID sottoscrizione di Azure. Nome sottoscrizione Obbligatorio. Immettere il nome della sottoscrizione di Azure. Per l'ambito del gruppo di gestione immettere i parametri seguenti:
Parametro Descrizione ID gruppo di gestione Obbligatorio. Immettere l'ID del gruppo di gestione di Azure. Nome gruppo di gestione Obbligatorio. Immettere il nome del gruppo di gestione di Azure.
Immettere l'ID entità servizio.
Selezionare il tipo di credenziale:
- Chiave dell'entità servizio: immettere la chiave dell'entità servizio (password).
- Certificato: immettere il contenuto del file con estensione perm , incluse le sezioni del certificato e della chiave privata.
Immettere l'ID tenant.
Selezionare Verifica connessione per convalidare la connessione al servizio.
Facoltativamente, selezionare Consenti a tutte le pipeline di usare questa connessione. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.
Selezionare Salva per creare la connessione al servizio.
Dopo aver creato la nuova connessione al servizio:
- Se si usa la connessione al servizio nell'interfaccia utente, selezionare il nome della connessione assegnato nell'impostazione della sottoscrizione di Azure della pipeline.
- Se si usa la connessione al servizio in un file YAML, copiare il nome della connessione e incollarlo nel codice come valore per
azureSubscription
.
Se necessario, modificare l'entità servizio per esporre le autorizzazioni appropriate.
Per altre informazioni sull'autenticazione tramite un'entità servizio, vedere Usare il controllo degli accessi in base al ruolo per gestire l'accesso alle risorse della sottoscrizione di Azure o il post di blog Automatizzare una distribuzione di un gruppo di risorse di Azure usando un'entità servizio in Visual Studio.
Per altre informazioni, vedere Risolvere i problemi relativi alle connessioni al servizio Azure Resource Manager.
Assistenza e supporto
- Esplorare i suggerimenti per la risoluzione dei problemi.
- Ottenere consigli su Stack Overflow.
- Pubblicare domande, cercare risposte o suggerire una funzionalità nella community di sviluppatori di Azure DevOps.
- Ottenere supporto per Azure DevOps.