Azure Resource Manager Workload Identity サービス接続を手動で設定

Azure Resource Manager Workload Identity サービス接続のトラブルシューティングを行う場合、Azure DevOps で利用可能な自動ツールを使用する代わりに、接続を手動で構成することが必要になる場合があります。

手動構成を開始する前に、自動化されたアプローチを試すことをお勧めします。

認証には、マネージド ID を使用するか、アプリの登録を使用するかの 2 つのオプションがあります。 マネージド ID オプションの利点は、サービス プリンシパルを作成するアクセス許可がない場合、または Azure DevOps ユーザーとは異なる Microsoft Entra テナントを使用している場合でも、マネージド ID オプションを使用できます。

ワークロード ID サービス接続を設定する

マネージド ID

Azure Pipelines のマネージド ID 認証を手動で設定するには、次の手順を実行して Azure portal でマネージド ID を作成し、Azure DevOps でサービス接続を確立し、フェデレーション資格情報を追加して、必要な権限を付与します。 これを行うには、この順番で次の手順を実行します。

1. Azure Portal でマネージド ID を作成します。
2. Azure DevOps のサービス接続を作成して下書きとして保存します。
3. Azure Portal で、マネージド ID にフェデレーション資格情報を追加します。
4. Azure Portal で、マネージド ID に権限を付与します。
5. Azure DevOps にサービス接続を保存します。

このプロセスには REST API を使用することもできます。

マネージド ID 認証の前提条件

• ユーザー割り当てマネージド ID を作成するには、お使いの Azure アカウントにマネージド ID 共同作成者以上のロールの割り当てが必要です。
• マネージド ID を使用してパイプライン内の Azure リソースにアクセスするには、マネージド ID にリソースへのアクセスを割り当てます。

Azure Portal で、マネージド ID を作成します。

1. Azure portal にサインインします。

2. 検索ボックスに、「マネージド ID」と入力します。

3. ［作成］ を選択します

4. ユーザー割り当てマネージド ID の作成 ペインで、次の項目の値を入力または選択します。

   • サブスクリプション: ユーザー割り当てマネージド ID を作成するサブスクリプションを選択します。
   • リソース グループ: ユーザー割り当てマネージド ID を作成するリソース グループを選択するか、 新規作成を選択して新しいリソース グループを作成します。
   • リージョン: ユーザー割り当てのマネージド ID をデプロイするリージョンを選択します (米国東部 など)。
   • 名前: ユーザー割り当てのマネージド ID の名前を入力します (UADEVOPS など)。

5. [レビューして作成] を選択し、新しいマネージド ID を作成します。 デプロイが完了したら、[リソースに移動] を選択します。

6. 後で使用するために、マネージド ID のサブスクリプション、サブスクリプション ID、クライアント ID の値をコピーします。

7. Azure Portal でマネージド ID を使用して、[設定]>[プロパティ] の順に選択します。

8. 後で使用する [テナント ID] の値をコピーします。

Azure DevOps でマネージド ID 認証用のサービス接続を作成する

1. Azure DevOps でプロジェクトを開き、>[パイプライン]>[サービス接続] に移動します。

2. [新しいサービス接続] を選択します。

3. [Azure Resource Manager] を選択します。

4. ID の種類として [アプリの登録またはマネージド ID (手動)]、資格情報として [ワークロード ID フェデレーション] を選択します。

   

5. [サービス接続名] の場合は、uamanagedidentity などの値を入力します。 この値は、フェデレーション資格情報サブジェクト識別子で使用します。

6. [次へ] を選択します。

7. [ステップ 2: アプリの登録の詳細] での指定:

   [ステップ 2: アプリ登録の詳細] には、次のパラメーターが含まれています。 次のパラメータを入力または選択できます。

   パラメーター	説明
   発行者	必須。 DevOps により発行者 URL が自動的に作成されます。
   サブジェクト識別子	必須。 DevOps によってサブジェクト識別子が自動的に作成されます。
   Environment	必須。 接続先のクラウド環境を選択します。 Azure Stack を選択した場合は、https://management.local.azurestack.external のような環境 URL を入力します。

   1. [スコープ レベル] を選択します。 [サブスクリプション]、[管理グループ]、または [Machine Learning ワークスペース] を選択します。 管理グループは、複数のサブスクリプションのアクセス、ポリシー、コンプライアンスを管理するのに役立つコンテナーです。 Machine Learning ワークスペースは機械学習アーティファクトを作成するための場所です。

      • [サブスクリプション] スコープに次のパラメーターを入力します。

        パラメーター	説明
        サブスクリプション ID	必須。 Azure サブスクリプション ID を入力します。
        サブスクリプション名	必須。 Azure サブスクリプション名を入力します。

      • [管理グループ] スコープに次のパラメーターを入力します。

        パラメーター	説明
        管理グループ ID	必須。 Azure 管理グループ ID を入力します。
        管理グループ名	必須。 Azure 管理グループ名を入力します。

      • [Machine Learning ワークスペース] スコープに次のパラメーターを入力します。

        パラメーター	説明
        サブスクリプション ID	必須。 Azure サブスクリプション ID を入力します。
        サブスクリプション名	必須。 Azure サブスクリプション名を入力します。
        リソース グループ	必須。 ワークスペースを含むリソース グループを選択します。
        ML ワークスペース名	必須。 既存の Azure Machine Learning ワークスペースの名前を入力します。
        ML ワークスペースの場所	必須。 既存の Azure Machine Learning ワークスペースの場所を入力します。

   2. [認証] セクションで次のパラメーターを入力または選択します。

      パラメーター	説明
      アプリケーション (クライアント) ID	必須。 マネージド ID の クライアント ID を入力します。
      ディレクトリ (テナント) ID	必須。 マネージド ID のテナント ID を入力します。

   3. [セキュリティ] セクションで、[すべてのパイプラインへのアクセス許可を与える] を選択してすべてのパイプラインがこのサービス接続を使用できるようにします。 このオプションを選択しない場合は、このサービス接続を使用する各パイプラインへのアクセス権を手動で付与する必要があります。

8. Azure DevOps で、[発行者] と [サブジェクト識別子] に対して生成された値をコピーします。

   

9. [下書きとして保存] を選択し、下書きの資格情報を保存します。 Azure Portal でマネージド ID にフェデレーション資格情報が紐づけられるまで、設定を完了できません。

Azure Portal で、フェデレーション資格情報を追加する

1. 新しいブラウザ ウィンドウで、Azure Portal でマネージド ID を使用して、[設定]>[フェデレーション資格情報] の順に選択します。

2. [Add Credentials] (資格情報の追加) を選択します。

3. [Other issuer] (その他の発行者) シナリオを選択します。

4. Azure DevOps プロジェクトからコピーした 発行者とサブジェクト識別子の値を、Azure portal のフェデレーション資格情報に貼り付けます。

   

5. フェデレーション資格情報の名前を入力します。

6. [追加] を選択します。

Azure Portal で、マネージド ID に権限を付与する

1. Azure Portal で、権限を付与する Azure リソースに移動します (リソース グループなど)。

2. [アクセス制御 (IAM)] を選択します。

   

3. [ロールの割り当ての追加] を選択します。 必要なロールをマネージド ID に割り当てます (例: 共同作成者)。

4. [確認と作成] を選択します。

Azure DevOps サービス接続を保存する

1. Azure DevOps で、ドラフト サービス接続に戻ります。

2. [セットアップの終了] を選択します。

3. [Verify and save] を選択します。 この手順が正常に完了すると、マネージド ID が完全に構成されます。

アプリの登録

このセクションでは、Azure Portal でアプリの登録とフェデレーション資格情報を設定し、Azure DevOps でサービス プリンシパル認証用のサービス接続を作成し、フェデレーション資格情報をアプリの登録に追加し、必要な権限を付与する方法について説明します。 アプリの登録では、サービス プリンシパル認証が使用されます。 この手順は次の順番で完了する必要があります。

1. Azure Portal で、サービス プリンシパル認証を使用してアプリの登録を作成します。
2. Azure DevOps のサービス接続を作成して下書きとして保存します。
3. Azure Portal で、アプリの登録に対してフェデレーション資格情報を追加します。
4. Azure Portal で、アプリの登録に対して権限を付与します。
5. Azure DevOps にサービス接続を保存します。

このプロセスには REST API を使用することもできます。

アプリ登録認証の前提条件

• サービス接続を作成するには、Azure アカウントでアプリの登録を作成できる必要があります。
  • テナントでアプリ登録の作成が無効になっている場合、アプリケーション登録を作成するにはアプリケーション開発者ロールが必要です。

Azure Portal で、アプリの登録とフェデレーション資格情報を作成します。

1. Azure Portal で、アプリの登録と検索します。

2. [新規登録] を選択します。

   

3. 名前にアプリ登録の名前を入力し、このアプリケーションを使用できるユーザー、またはこの API にアクセスできるユーザー を選択します。

4. 登録 を選択します。

5. 新しいアプリの登録が読み込まれたら、後で使用するために Application (client) ID および Directory (tenant) ID の値をコピーします。

   

Azure DevOps でアプリ登録認証用のサービス接続を作成する

1. Azure DevOps でプロジェクトを開き、>[パイプライン]>[サービス接続] に移動します。

2. [新しいサービス接続] を選択します。

3. [Azure Resource Manager] を選択します。

4. ID の種類として [アプリの登録またはマネージド ID (手動)]、資格情報として [ワークロード ID フェデレーション] を選択します。

   

5. [サービス接続名] の場合は、uaappregistration などの値を入力します。 この値は、フェデレーション資格情報サブジェクト識別子で使用します。

6. [次へ] を選択します。

7. [ステップ 2: アプリの登録の詳細] での指定:

   [ステップ 2: アプリ登録の詳細] には、次のパラメーターが含まれています。 次のパラメータを入力または選択できます。

   パラメーター	説明
   発行者	必須。 DevOps により発行者 URL が自動的に作成されます。
   サブジェクト識別子	必須。 DevOps によってサブジェクト識別子が自動的に作成されます。
   Environment	必須。 接続先のクラウド環境を選択します。 Azure Stack を選択した場合は、https://management.local.azurestack.external のような環境 URL を入力します。

   1. [スコープ レベル] を選択します。 [サブスクリプション]、[管理グループ]、または [Machine Learning ワークスペース] を選択します。 管理グループは、複数のサブスクリプションのアクセス、ポリシー、コンプライアンスを管理するのに役立つコンテナーです。 Machine Learning ワークスペースは機械学習アーティファクトを作成するための場所です。

      • [サブスクリプション] スコープに次のパラメーターを入力します。

        パラメーター	説明
        サブスクリプション ID	必須。 Azure サブスクリプション ID を入力します。
        サブスクリプション名	必須。 Azure サブスクリプション名を入力します。

      • [管理グループ] スコープに次のパラメーターを入力します。

        パラメーター	説明
        管理グループ ID	必須。 Azure 管理グループ ID を入力します。
        管理グループ名	必須。 Azure 管理グループ名を入力します。

      • [Machine Learning ワークスペース] スコープに次のパラメーターを入力します。

        パラメーター	説明
        サブスクリプション ID	必須。 Azure サブスクリプション ID を入力します。
        サブスクリプション名	必須。 Azure サブスクリプション名を入力します。
        リソース グループ	必須。 ワークスペースを含むリソース グループを選択します。
        ML ワークスペース名	必須。 既存の Azure Machine Learning ワークスペースの名前を入力します。
        ML ワークスペースの場所	必須。 既存の Azure Machine Learning ワークスペースの場所を入力します。

   2. [認証] セクションで次のパラメーターを入力または選択します。

      パラメーター	説明
      アプリケーション (クライアント) ID	必須。 アプリ登録用のアプリケーション (クライアント) ID を入力します。
      ディレクトリ (テナント) ID	必須。 アプリ登録用のディレクトリ (テナント) ID を入力します。

   3. [セキュリティ] セクションで、[すべてのパイプラインへのアクセス許可を与える] を選択してすべてのパイプラインがこのサービス接続を使用できるようにします。 このオプションを選択しない場合は、このサービス接続を使用する各パイプラインへのアクセス権を手動で付与する必要があります。

8. Azure DevOps で、[発行者] と [サブジェクト識別子] に対して生成された値をコピーします。

9. [下書きとして保存] を選択し、下書きの資格情報を保存します。 Azure Portal でマネージド ID にフェデレーション資格情報が紐づけられるまで、設定を完了できません。

Azure Portal で、アプリの登録に対してフェデレーション資格情報を追加する

1. Azure Portal で、アプリの登録を開き、[管理]>[証明書 & シークレット] の順に選択します。

2. [フェデレーション資格情報] を選択します。

   

3. [Add Credentials] (資格情報の追加) を選択します。

4. [Other issuer] (その他の発行者) シナリオを選択します。

   

5. Azure DevOps プロジェクトからコピーした 発行者とサブジェクト識別子の値を、Azure portal のフェデレーション資格情報に貼り付けます。

   

6. [保存] を選択します。

Azure Portal で、アプリの登録に対して権限を付与する

1. Azure portal で、アクセス許可を付与する Azure リソース (リソース グループなど) に移動します。

2. [アクセス制御 (IAM)] を選択します。

   

3. [ロールの割り当ての追加] を選択します。 必要なロールをアプリ登録に割り当てます (例: 共同作成者)。

4. [確認と作成] を選択します。

app registration Azure DevOps サービス接続を保存する

1. Azure DevOps で、ドラフト サービス接続に戻ります。

2. [セットアップの終了] を選択します。

3. [Verify and save] を選択します。 この手順が正常に完了すると、Azure Resource Manager サービス接続が完全に構成されます。