Ręczne ustawianie połączenia usługi tożsamości obciążenia usługi Azure Resource Manager

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Uwaga

Wprowadzamy nowe środowisko tworzenia połączenia z usługą platformy Azure. Odbieranie go w organizacji zależy od różnych czynników i nadal może być widoczne starsze środowisko użytkownika.

Podczas rozwiązywania problemów z połączeniem usługi tożsamości obciążenia usługi azure Resource Manager może być konieczne ręczne skonfigurowanie połączenia zamiast używania zautomatyzowanego narzędzia dostępnego w usłudze Azure DevOps.

Zalecamy wypróbowanie zautomatyzowanego podejścia przed rozpoczęciem konfiguracji ręcznej.

Istnieją dwie opcje uwierzytelniania: użyj tożsamości zarządzanej lub użyj rejestracji aplikacji. Zaletą opcji tożsamości zarządzanej jest to, że możesz jej użyć, jeśli nie masz uprawnień do tworzenia jednostek usługi lub jeśli używasz innej dzierżawy usługi Microsoft Entra niż użytkownik usługi Azure DevOps.

Ustawianie połączenia usługi tożsamości obciążenia

Tożsamość zarządzana

Aby ręcznie skonfigurować uwierzytelnianie tożsamości zarządzanej dla usługi Azure Pipelines, wykonaj następujące kroki, aby utworzyć tożsamość zarządzaną w witrynie Azure Portal, nawiązać połączenie z usługą w usłudze Azure DevOps, dodać poświadczenia federacyjne i udzielić niezbędnych uprawnień. Należy wykonać następujące kroki w następującej kolejności:

1. Utwórz tożsamość zarządzaną w witrynie Azure Portal.
2. Utwórz połączenie usługi w usłudze Azure DevOps i zapisz je jako wersję roboczą.
3. Dodaj poświadczenia federacyjne do tożsamości zarządzanej w witrynie Azure Portal.
4. Udzielanie uprawnień tożsamości zarządzanej w witrynie Azure Portal.
5. Zapisz połączenie usługi w usłudze Azure DevOps.

W tym procesie można również użyć interfejsu API REST.

Wymagania wstępne dotyczące uwierzytelniania tożsamości zarządzanej

• Aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika, twoje konto platformy Azure wymaga przypisania roli Współautor tożsamości zarządzanej lub wyższego.
• Aby użyć tożsamości zarządzanej w celu uzyskania dostępu do zasobów platformy Azure w potoku, przypisz tożsamość zarządzaną do zasobu.

Tworzenie tożsamości zarządzanej w witrynie Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania wprowadź tożsamości zarządzane.

3. Wybierz pozycję Utwórz.

4. W okienku Tworzenie tożsamości zarządzanej przypisanej przez użytkownika wprowadź lub wybierz wartości następujących elementów:

   • Subskrypcja: wybierz subskrypcję, w której ma zostać utworzona tożsamość zarządzana przypisana przez użytkownika.
   • Grupa zasobów: wybierz grupę zasobów, aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika, lub wybierz pozycję Utwórz nową , aby utworzyć nową grupę zasobów.
   • Region: Wybierz region, aby wdrożyć tożsamość zarządzaną przypisaną przez użytkownika (na przykład: Wschodnie stany USA).
   • Nazwa: wprowadź nazwę tożsamości zarządzanej przypisanej przez użytkownika (na przykład: UADEVOPS).

5. Wybierz pozycję Przejrzyj i utwórz , aby utworzyć nową tożsamość zarządzaną. Po zakończeniu wdrożenia wybierz pozycję Przejdź do zasobu.

6. Skopiuj wartości Subskrypcja, Identyfikator subskrypcji i Identyfikator klienta tożsamości zarządzanej, aby użyć ich później.

7. W ramach tożsamości zarządzanej w witrynie Azure Portal przejdź do pozycji Właściwości ustawień>.

8. Skopiuj wartość Identyfikator dzierżawy, aby użyć jej później.

Tworzenie połączenia usługi na potrzeby uwierzytelniania tożsamości zarządzanej w usłudze Azure DevOps

1. W usłudze Azure DevOps otwórz projekt i przejdź do >pozycji Połączenia usługi Pipelines>Service.

2. Wybierz pozycję Nowe połączenie z usługą.

3. Wybierz pozycję Azure Resource Manager.

4. Wybierz typ tożsamości Rejestracja aplikacji lub Tożsamość zarządzana (ręcznie) poświadczeń federacji tożsamości obciążenia.

   

5. W polu Nazwa połączenia z usługą wprowadź wartość, taką jak uamanagedidentity. Użyjesz tej wartości w identyfikatorze podmiotu poświadczeń federacyjnych.

6. Wybierz Dalej.

7. W kroku 2. Szczegóły rejestracji aplikacji:

   Krok 2. Szczegóły rejestracji aplikacji zawierają następujące parametry. Możesz wprowadzić lub wybrać następujące parametry:

   Parametr	Opis
   Emitenta	Wymagany. Metodyka DevOps automatycznie tworzy adres URL wystawcy.
   Identyfikator podmiotu	Wymagany. Metodyka DevOps automatycznie tworzy identyfikator podmiotu.
   Środowisko	Wymagany. Wybierz środowisko chmury do nawiązania połączenia. Jeśli wybierzesz usługę Azure Stack, wprowadź adres URL środowiska, który jest podobny do https://management.local.azurestack.external.

   1. Wybierz poziom zakresu. Wybierz pozycję Subskrypcja, Grupa zarządzania lub Obszar roboczy usługi Machine Learning. Grupy zarządzania to kontenery, które ułatwiają zarządzanie dostępem, zasadami i zgodnością w wielu subskrypcjach. Obszar roboczy usługi Machine Learning to miejsce do tworzenia artefaktów uczenia maszynowego.

      • W polu Zakres subskrypcji wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator subskrypcji	Wymagany. Wprowadź identyfikator subskrypcji platformy Azure.
        Nazwa subskrypcji	Wymagany. Wprowadź nazwę subskrypcji platformy Azure.

      • W obszarze Zakres grupy zarządzania wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator grupy zarządzania	Wymagany. Wprowadź identyfikator grupy zarządzania platformy Azure.
        Nazwa grupy zarządzania	Wymagany. Wprowadź nazwę grupy zarządzania platformy Azure.

      • W zakresie obszaru roboczego usługi Machine Learning wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator subskrypcji	Wymagany. Wprowadź identyfikator subskrypcji platformy Azure.
        Nazwa subskrypcji	Wymagany. Wprowadź nazwę subskrypcji platformy Azure.
        Grupa zasobów	Wymagany. Wybierz grupę zasobów zawierającą obszar roboczy.
        Nazwa obszaru roboczego uczenia maszynowego	Wymagany. Wprowadź nazwę istniejącego obszaru roboczego usługi Azure Machine Learning.
        Lokalizacja obszaru roboczego uczenia maszynowego	Wymagany. Wprowadź lokalizację istniejącego obszaru roboczego usługi Azure Machine Learning.

   2. W sekcji Uwierzytelnianie wprowadź lub wybierz następujące parametry:

      Parametr	Opis
      Identyfikator aplikacji (klienta)	Wymagany. Wprowadź identyfikator klienta tożsamości zarządzanej.
      Identyfikator katalogu (dzierżawy)	Wymagany. Wprowadź identyfikator dzierżawy z tożsamości zarządzanej.

   3. W sekcji Zabezpieczenia wybierz pozycję Udziel uprawnień dostępu do wszystkich potoków, aby zezwolić wszystkim potokom na korzystanie z tego połączenia z usługą. Jeśli nie wybierzesz tej opcji, musisz ręcznie udzielić dostępu do każdego potoku korzystającego z tego połączenia z usługą.

8. W usłudze Azure DevOps skopiuj wygenerowane wartości dla wystawcy i identyfikatora podmiotu.

   

9. Wybierz pozycję Zachowaj jako wersję roboczą , aby zapisać poświadczenia wersji roboczej. Nie można ukończyć instalacji, dopóki tożsamość zarządzana nie będzie mieć poświadczeń federacyjnych w witrynie Azure Portal.

Dodawanie poświadczeń federacyjnych w witrynie Azure Portal

1. W nowym oknie przeglądarki w ramach tożsamości zarządzanej w witrynie Azure Portal przejdź do pozycji Ustawienia>Poświadczenia federacyjne.

2. Wybierz pozycję Dodaj poświadczenia.

3. Wybierz inny scenariusz wystawcy.

4. Wklej wartości identyfikatora wystawcy i podmiotu skopiowane z projektu usługi Azure DevOps do poświadczeń federacyjnych w witrynie Azure Portal.

   

5. Wprowadź nazwę poświadczeń federacyjnych.

6. Wybierz Dodaj.

Udzielanie uprawnień tożsamości zarządzanej w witrynie Azure Portal

1. W witrynie Azure Portal przejdź do zasobu platformy Azure, dla którego chcesz udzielić uprawnień (na przykład do grupy zasobów).

2. Wybierz pozycję Kontrola dostępu (IAM).

   

3. Wybierz pozycję Dodaj przypisanie roli. Przypisz wymaganą rolę do tożsamości zarządzanej (na przykład Współautor).

4. Wybierz pozycję Przejrzyj i przypisz.

Zapisywanie połączenia usługi Azure DevOps

1. W usłudze Azure DevOps wróć do wersji roboczej połączenia usługi.

2. Wybierz pozycję Zakończ konfigurację.

3. Wybierz pozycję Weryfikuj i zapisz. Po pomyślnym zakończeniu tego kroku tożsamość zarządzana jest w pełni skonfigurowana.

Rejestracja aplikacji

Ta sekcja przeprowadzi Cię przez proces konfigurowania rejestracji aplikacji i poświadczeń federacyjnych w witrynie Azure Portal, tworzenia połączenia usługi na potrzeby uwierzytelniania jednostki usługi w usłudze Azure DevOps, dodawania poświadczeń federacyjnych do rejestracji aplikacji i udzielania niezbędnych uprawnień. Rejestracja aplikacji używa uwierzytelniania jednostki usługi. Należy wykonać następujące kroki w następującej kolejności:

1. Utwórz rejestrację aplikacji przy użyciu uwierzytelniania jednostki usługi w witrynie Azure Portal.
2. Utwórz połączenie usługi w usłudze Azure DevOps i zapisz je jako wersję roboczą.
3. Dodaj poświadczenia federacyjne do rejestracji aplikacji w witrynie Azure Portal.
4. Udziel uprawnień do rejestracji aplikacji w witrynie Azure Portal.
5. Zapisz połączenie usługi w usłudze Azure DevOps.

W tym procesie można również użyć interfejsu API REST.

Wymagania wstępne dotyczące uwierzytelniania rejestracji aplikacji

• Aby utworzyć połączenie z usługą, twoje konto platformy Azure musi mieć możliwość tworzenia rejestracji aplikacji.
  • Jeśli tworzenie rejestracji aplikacji jest wyłączone w dzierżawie, musisz mieć rolę dewelopera aplikacji, aby utworzyć rejestracje aplikacji.

Tworzenie rejestracji aplikacji i poświadczeń federacyjnych w witrynie Azure Portal

1. W witrynie Azure Portal wyszukaj rejestracje aplikacji.

2. Wybierz opcjęNowa rejestracja.

   

3. W polu Nazwa wprowadź nazwę rejestracji aplikacji, a następnie wybierz pozycję Kto może używać tej aplikacji lub uzyskać dostęp do tego interfejsu API.

4. Wybierz pozycję Zarejestruj.

5. Po załadowaniu nowej rejestracji aplikacji skopiuj wartości identyfikatora aplikacji (klienta) i identyfikatora katalogu (dzierżawy), aby użyć ich później.

   

Tworzenie połączenia usługi na potrzeby uwierzytelniania rejestracji aplikacji w usłudze Azure DevOps

1. W usłudze Azure DevOps otwórz projekt i przejdź do >pozycji Połączenia usługi Pipelines>Service.

2. Wybierz pozycję Nowe połączenie z usługą.

3. Wybierz pozycję Azure Resource Manager.

4. Wybierz typ tożsamości Rejestracja aplikacji lub Tożsamość zarządzana (ręcznie) poświadczeń federacji tożsamości obciążenia.

   

5. W polu Nazwa połączenia z usługą wprowadź wartość, taką jak uaappregistration. Użyjesz tej wartości w identyfikatorze podmiotu poświadczeń federacyjnych.

6. Wybierz Dalej.

7. W kroku 2. Szczegóły rejestracji aplikacji:

   Krok 2. Szczegóły rejestracji aplikacji zawierają następujące parametry. Możesz wprowadzić lub wybrać następujące parametry:

   Parametr	Opis
   Emitenta	Wymagany. Metodyka DevOps automatycznie tworzy adres URL wystawcy.
   Identyfikator podmiotu	Wymagany. Metodyka DevOps automatycznie tworzy identyfikator podmiotu.
   Środowisko	Wymagany. Wybierz środowisko chmury do nawiązania połączenia. Jeśli wybierzesz usługę Azure Stack, wprowadź adres URL środowiska, który jest podobny do https://management.local.azurestack.external.

   1. Wybierz poziom zakresu. Wybierz pozycję Subskrypcja, Grupa zarządzania lub Obszar roboczy usługi Machine Learning. Grupy zarządzania to kontenery, które ułatwiają zarządzanie dostępem, zasadami i zgodnością w wielu subskrypcjach. Obszar roboczy usługi Machine Learning to miejsce do tworzenia artefaktów uczenia maszynowego.

      • W polu Zakres subskrypcji wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator subskrypcji	Wymagany. Wprowadź identyfikator subskrypcji platformy Azure.
        Nazwa subskrypcji	Wymagany. Wprowadź nazwę subskrypcji platformy Azure.

      • W obszarze Zakres grupy zarządzania wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator grupy zarządzania	Wymagany. Wprowadź identyfikator grupy zarządzania platformy Azure.
        Nazwa grupy zarządzania	Wymagany. Wprowadź nazwę grupy zarządzania platformy Azure.

      • W zakresie obszaru roboczego usługi Machine Learning wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator subskrypcji	Wymagany. Wprowadź identyfikator subskrypcji platformy Azure.
        Nazwa subskrypcji	Wymagany. Wprowadź nazwę subskrypcji platformy Azure.
        Grupa zasobów	Wymagany. Wybierz grupę zasobów zawierającą obszar roboczy.
        Nazwa obszaru roboczego uczenia maszynowego	Wymagany. Wprowadź nazwę istniejącego obszaru roboczego usługi Azure Machine Learning.
        Lokalizacja obszaru roboczego uczenia maszynowego	Wymagany. Wprowadź lokalizację istniejącego obszaru roboczego usługi Azure Machine Learning.

   2. W sekcji Uwierzytelnianie wprowadź lub wybierz następujące parametry:

      Parametr	Opis
      Identyfikator aplikacji (klienta)	Wymagany. Wprowadź identyfikator aplikacji (klienta) dla rejestracji aplikacji.
      Identyfikator katalogu (dzierżawy)	Wymagany. Wprowadź identyfikator katalogu (dzierżawy) dla rejestracji aplikacji.

   3. W sekcji Zabezpieczenia wybierz pozycję Udziel uprawnień dostępu do wszystkich potoków, aby zezwolić wszystkim potokom na korzystanie z tego połączenia z usługą. Jeśli nie wybierzesz tej opcji, musisz ręcznie udzielić dostępu do każdego potoku korzystającego z tego połączenia z usługą.

8. W usłudze Azure DevOps skopiuj wygenerowane wartości dla wystawcy i identyfikatora podmiotu.

9. Wybierz pozycję Zachowaj jako wersję roboczą , aby zapisać poświadczenia wersji roboczej. Nie można ukończyć instalacji, dopóki tożsamość zarządzana nie będzie mieć poświadczeń federacyjnych w witrynie Azure Portal.

Dodawanie poświadczeń federacyjnych do rejestracji aplikacji w witrynie Azure Portal

1. W witrynie Azure Portal otwórz rejestrację aplikacji i przejdź do pozycji Zarządzanie>certyfikatami i wpisami tajnymi.

2. Wybierz pozycję Poświadczenia federacyjne.

   

3. Wybierz pozycję Dodaj poświadczenia.

4. Wybierz inny scenariusz wystawcy.

   

5. Wklej wartości identyfikatora wystawcy i podmiotu skopiowane z projektu usługi Azure DevOps do poświadczeń federacyjnych w witrynie Azure Portal.

   

6. Wybierz pozycję Zapisz.

Udzielanie uprawnień do rejestracji aplikacji w witrynie Azure Portal

1. W witrynie Azure Portal przejdź do zasobu platformy Azure, dla którego chcesz udzielić uprawnień (na przykład do grupy zasobów).

2. Wybierz pozycję Kontrola dostępu (IAM).

   

3. Wybierz pozycję Dodaj przypisanie roli. Przypisz wymaganą rolę do rejestracji aplikacji (na przykład Współautor).

4. Wybierz pozycję Przejrzyj i przypisz.

Zapisywanie połączenia usługi Azure DevOps rejestracji aplikacji

1. W usłudze Azure DevOps wróć do wersji roboczej połączenia usługi.

2. Wybierz pozycję Zakończ konfigurację.

3. Wybierz pozycję Weryfikuj i zapisz. Po pomyślnym zakończeniu tego kroku połączenie usługi Azure Resource Manager jest w pełni skonfigurowane.