Ręczne ustawianie połączenia usługi tożsamości dla obciążenia w Azure Resource Manager

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Uwaga

Wprowadzamy nowe środowisko tworzenia połączenia z usługą platformy Azure. Otrzymywanie go w organizacji zależy od różnych czynników i wciąż możesz widzieć starszą wersję interfejsu użytkownika.

Podczas rozwiązywania problemów z połączeniem usługi tożsamości obciążenia Azure Resource Manager, może zajść potrzeba ręcznej konfiguracji połączenia, zamiast korzystania z dostępnego w Azure DevOps zautomatyzowanego narzędzia.

Zalecamy wypróbowanie zautomatyzowanego podejścia przed rozpoczęciem konfiguracji ręcznej.

Istnieją dwie opcje uwierzytelniania: użyj tożsamości zarządzanej lub użyj rejestracji aplikacji. Zaletą opcji tożsamości zarządzanej jest to, że możesz jej użyć, jeśli nie masz uprawnień do tworzenia głównych zasobów usługi lub jeśli używasz innej dzierżawy Microsoft Entra niż użytkownik usługi Azure DevOps.

Ustaw połączenie usługi tożsamości dla obciążeń roboczych

Tożsamość zarządzana

Aby ręcznie skonfigurować uwierzytelnianie tożsamości zarządzanej dla usługi Azure Pipelines, wykonaj następujące kroki, aby utworzyć tożsamość zarządzaną w witrynie Azure Portal, nawiązać połączenie z usługą w usłudze Azure DevOps, dodać poświadczenia federacyjne i udzielić niezbędnych uprawnień. Należy wykonać następujące kroki w następującej kolejności:

1. Utwórz tożsamość zarządzaną w witrynie Azure Portal.
2. Utwórz połączenie usługi w usłudze Azure DevOps i zapisz je jako wersję roboczą.
3. Dodaj poświadczenie federacyjne do zarządzanej tożsamości w Azure Portal.
4. Udziel uprawnień tożsamości zarządzanej w portalu Azure.
5. Zapisz połączenie usługi w usłudze Azure DevOps.

W tym procesie można również użyć interfejsu API REST.

Wymagania wstępne dotyczące uwierzytelniania tożsamości zarządzanej

• Aby utworzyć przypisaną przez użytkownika tożsamość zarządzaną, twoje konto platformy Azure wymaga przypisania roli Współtwórca tożsamości zarządzanej lub wyższego.
• Aby użyć tożsamości zarządzanej w celu uzyskania dostępu do zasobów platformy Azure w potoku, przypisz dostęp tożsamości zarządzanej do zasobu.

Tworzenie tożsamości zarządzanej w witrynie Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania wprowadź Tożsamości Zarządzane.

3. Wybierz pozycję Utwórz.

4. W okienku Tworzenie tożsamości zarządzanej przypisanej przez użytkownika wprowadź lub wybierz wartości następujących elementów:

   • Subskrypcja: wybierz subskrypcję, w której ma zostać utworzona tożsamość zarządzana przypisana przez użytkownika.
   • Grupa zasobów: wybierz grupę zasobów, aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika, lub wybierz pozycję Utwórz nową , aby utworzyć nową grupę zasobów.
   • Region: Wybierz region, aby wdrożyć tożsamość zarządzaną przypisaną przez użytkownika (na przykład: Wschodnie stany USA).
   • Nazwa: wprowadź nazwę tożsamości zarządzanej przypisanej przez użytkownika (na przykład: UADEVOPS).

5. Wybierz pozycję Zweryfikuj i utwórz, aby utworzyć nową tożsamość zarządzaną. Po zakończeniu wdrożenia wybierz pozycję Przejdź do zasobu.

6. Skopiuj wartości Subskrypcji, Identyfikatora subskrypcji i Identyfikatora klienta, aby użyć ich później.

7. W ramach tożsamości zarządzanej w portalu Azure przejdź do Ustawienia>Właściwości.

8. Skopiuj wartość Identyfikator dzierżawy, aby użyć jej później.

Utwórz połączenie z usługą do uwierzytelniania zarządzaną tożsamością w Azure DevOps

1. W usłudze Azure DevOps otwórz projekt i przejdź do >Pipelines>Połączenia usługi.

2. Wybierz pozycję Nowe połączenie z usługą.

3. Wybierz pozycję Azure Resource Manager.

4. Wybierz typ tożsamości Rejestracja aplikacji lub Tożsamość zarządzana (ręcznie) poświadczenie Federacji tożsamości obciążeń.

   

5. W polu Nazwa połączenia z usługą wprowadź wartość, taką jak uamanagedidentity. Użyjesz tej wartości w identyfikatorze podmiotu poświadczeń federacyjnych.

6. Wybierz Dalej.

7. W kroku 2. Szczegóły rejestracji aplikacji:

   Krok 2. Szczegóły rejestracji aplikacji zawierają następujące parametry. Możesz wprowadzić lub wybrać następujące parametry:

   Parametr	Opis
   Emitent	Wymagany. Metodyka DevOps automatycznie tworzy adres URL wystawcy.
   Identyfikator podmiotu	Wymagany. Metodyka DevOps automatycznie tworzy identyfikator podmiotu.
   Środowisko	Wymagany. Wybierz środowisko chmury do nawiązania połączenia. Jeśli wybierzesz usługę Azure Stack, wprowadź adres URL środowiska, który jest podobny do https://management.local.azurestack.external.

   1. Wybierz poziom zakresu. Wybierz pozycję Subskrypcja, Grupa zarządzania lub Obszar roboczy usługi Machine Learning. Grupy zarządzania to kontenery, które ułatwiają zarządzanie dostępem, zasadami i zgodnością w wielu subskrypcjach. Obszar roboczy usługi Machine Learning to miejsce do tworzenia artefaktów uczenia maszynowego.

      • W polu Zakres subskrypcji wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator subskrypcji	Wymagany. Wprowadź identyfikator subskrypcji platformy Azure.
        Nazwa subskrypcji	Wymagany. Wprowadź nazwę subskrypcji platformy Azure.

      • Dla zakresu grupy zarządzania wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator grupy zarządzania	Wymagany. Wprowadź identyfikator grupy zarządzania platformy Azure.
        Nazwa grupy zarządzania	Wymagany. Wprowadź nazwę grupy zarządzania platformy Azure.

      • W zakresie obszaru roboczego usługi Machine Learning wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator subskrypcji	Wymagany. Wprowadź identyfikator subskrypcji platformy Azure.
        Nazwa subskrypcji	Wymagany. Wprowadź nazwę subskrypcji platformy Azure.
        Grupa zasobów	Wymagany. Wybierz grupę zasobów zawierającą obszar roboczy.
        Nazwa obszaru roboczego uczenia maszynowego	Wymagany. Wprowadź nazwę istniejącego obszaru roboczego usługi Azure Machine Learning.
        Lokalizacja obszaru roboczego uczenia maszynowego	Wymagany. Wprowadź lokalizację istniejącego obszaru roboczego usługi Azure Machine Learning.

   2. W sekcji Uwierzytelnianie wprowadź lub wybierz następujące parametry:

      Parametr	Opis
      Identyfikator aplikacji (klienta)	Wymagany. Wprowadź identyfikator tożsamości zarządzanej klienta.
      Identyfikator katalogu (dzierżawy)	Wymagany. Wprowadź Identyfikator dzierżawcy z twojej tożsamości zarządzanej.

   3. W sekcji Zabezpieczenia wybierz pozycję Udziel uprawnień dostępu do wszystkich potoków, aby zezwolić wszystkim potokom na korzystanie z tego połączenia z usługą. Jeśli nie wybierzesz tej opcji, musisz ręcznie udzielić dostępu do każdego potoku korzystającego z tego połączenia z usługą.

8. W usłudze Azure DevOps skopiuj wygenerowane wartości dla wystawcy i identyfikatora podmiotu.

   

9. Wybierz Zachowaj jako wersję roboczą, aby zapisać wersję roboczą poświadczenia. Nie można ukończyć konfiguracji, dopóki tożsamość zarządzana nie będzie mieć poświadczeń federacyjnych w portalu Azure.

Dodawanie poświadczeń federacyjnych w witrynie Azure Portal

1. W nowym oknie przeglądarki, w ramach Twojej tożsamości zarządzanej w Azure Portal, przejdź do Ustawienia>Poświadczenia federacyjne.

2. Wybierz pozycję Dodaj poświadczenia.

3. Wybierz scenariusz innego wystawcy.

4. Wklej wartości dla wystawcy i identyfikatora podmiotu, które skopiowałeś z projektu Azure DevOps, do poświadczeń federacyjnych w portalu Azure.

   

5. Wprowadź nazwę poświadczenia federacyjnego.

6. Wybierz Dodaj.

Przyznaj uprawnienia tożsamości zarządzanej w portalu Azure

1. W witrynie Azure Portal przejdź do zasobu platformy Azure, dla którego chcesz udzielić uprawnień (na przykład do grupy zasobów).

2. Wybierz pozycję Kontrola dostępu (IAM).

   

3. Wybierz pozycję Dodaj przypisanie roli. Przypisz wymaganą rolę dla tożsamości zarządzanej (na przykład Współtwórca).

4. Wybierz pozycję Przejrzyj i przypisz.

Zapisywanie połączenia usługi Azure DevOps

1. W usłudze Azure DevOps wróć do wersji roboczej połączenia usługi.

2. Wybierz pozycję Zakończ konfigurację.

3. Wybierz pozycję Weryfikuj i zapisz. Po pomyślnym zakończeniu tego kroku tożsamość zarządzana jest w pełni skonfigurowana.

Rejestracja aplikacji

Ta sekcja przeprowadzi Cię przez proces konfigurowania rejestracji aplikacji i poświadczeń federacyjnych w witrynie Azure Portal, tworzenia połączenia usługi na potrzeby uwierzytelniania jednostki usługi w usłudze Azure DevOps, dodawania poświadczeń federacyjnych do rejestracji aplikacji i udzielania niezbędnych uprawnień. Rejestracja aplikacji używa uwierzytelniania jednostki usługi. Należy wykonać następujące kroki w następującej kolejności:

1. Utwórz rejestrację aplikacji przy użyciu uwierzytelniania jednostki usługi w witrynie Azure Portal.
2. Utwórz połączenie usługi w usłudze Azure DevOps i zapisz je jako wersję roboczą.
3. Dodaj poświadczenie federacyjne do rejestracji aplikacji w portalu Azure.
4. Udziel uprawnień do rejestracji aplikacji w witrynie Azure Portal.
5. Zapisz połączenie usługi w usłudze Azure DevOps.

W tym procesie można również użyć interfejsu API REST.

Wymagania wstępne dotyczące uwierzytelniania rejestracji aplikacji

• Aby utworzyć połączenie z usługą, twoje konto platformy Azure musi mieć możliwość tworzenia rejestracji aplikacji.
  • Jeśli tworzenie rejestracji aplikacji jest wyłączone w twojej dzierżawie, musisz mieć rolę Dewelopera Aplikacji, aby utworzyć rejestracje aplikacji.

Tworzenie rejestracji aplikacji i poświadczeń federacyjnych w witrynie Azure Portal

1. W witrynie Azure Portal wyszukaj rejestracje aplikacji.

2. Wybierz opcjęNowa rejestracja.

   

3. W polu Nazwa wprowadź nazwę rejestracji aplikacji, a następnie wybierz pozycję Kto może używać tej aplikacji lub uzyskać dostęp do tego interfejsu API.

4. Wybierz pozycję Zarejestruj.

5. Po załadowaniu nowej rejestracji aplikacji skopiuj wartości identyfikatora aplikacji (klienta) i identyfikatora katalogu (dzierżawy), aby użyć ich później.

   

Tworzenie połączenia usługi na potrzeby uwierzytelniania rejestracji aplikacji w usłudze Azure DevOps

1. W Azure DevOps otwórz projekt i przejdź do >Pipelines>Połączenia usług.

2. Wybierz pozycję Nowe połączenie z usługą.

3. Wybierz pozycję Azure Resource Manager.

4. Wybierz typ tożsamości Rejestracja aplikacji lub Tożsamość zarządzana (ręcznie) dla poświadczenia Federacja tożsamości obciążenia.

   

5. W polu Nazwa połączenia z usługą wprowadź wartość, taką jak uaappregistration. Użyjesz tej wartości w identyfikatorze podmiotu poświadczeń federacyjnych.

6. Wybierz Dalej.

7. W kroku 2. Szczegóły rejestracji aplikacji:

   Krok 2. Szczegóły rejestracji aplikacji zawierają następujące parametry. Możesz wprowadzić lub wybrać następujące parametry:

   Parametr	Opis
   Emitent	Wymagany. Metodyka DevOps automatycznie tworzy adres URL wystawcy.
   Identyfikator podmiotu	Wymagany. Metodyka DevOps automatycznie tworzy identyfikator podmiotu.
   Środowisko	Wymagany. Wybierz środowisko chmury do nawiązania połączenia. Jeśli wybierzesz usługę Azure Stack, wprowadź adres URL środowiska, który jest podobny do https://management.local.azurestack.external.

   1. Wybierz poziom zakresu. Wybierz Subskrypcja, Grupa zarządzania lub Obszar roboczy Machine Learning. Grupy zarządzania to kontenery, które ułatwiają zarządzanie dostępem, zasadami i zgodnością w wielu subskrypcjach. Obszar roboczy usługi Machine Learning to miejsce do tworzenia artefaktów uczenia maszynowego.

      • W polu Zakres subskrypcji wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator subskrypcji	Wymagany. Wprowadź identyfikator subskrypcji platformy Azure.
        Nazwa subskrypcji	Wymagany. Wprowadź nazwę subskrypcji platformy Azure.

      • W obszarze Grupy zarządzania wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator grupy zarządzania	Wymagany. Wprowadź identyfikator grupy zarządzania platformy Azure.
        Nazwa grupy zarządzania	Wymagany. Wprowadź nazwę grupy zarządzania platformy Azure.

      • W zakresie obszaru roboczego usługi Machine Learning wprowadź następujące parametry:

        Parametr	Opis
        Identyfikator subskrypcji	Wymagany. Wprowadź identyfikator subskrypcji platformy Azure.
        Nazwa subskrypcji	Wymagany. Wprowadź nazwę subskrypcji platformy Azure.
        Grupa zasobów	Wymagany. Wybierz grupę zasobów zawierającą obszar roboczy.
        Nazwa obszaru roboczego uczenia maszynowego	Wymagany. Wprowadź nazwę istniejącego obszaru roboczego usługi Azure Machine Learning.
        Lokalizacja obszaru roboczego uczenia maszynowego	Wymagany. Wprowadź lokalizację istniejącego obszaru roboczego usługi Azure Machine Learning.

   2. W sekcji Uwierzytelnianie wprowadź lub wybierz następujące parametry:

      Parametr	Opis
      Identyfikator aplikacji (klienta)	Wymagany. Wprowadź identyfikator aplikacji (klienta) dla rejestracji aplikacji.
      Identyfikator katalogu (dzierżawcy)	Wymagany. Wprowadź identyfikator katalogu (dzierżawy) dla rejestracji aplikacji.

   3. W sekcji Zabezpieczenia wybierz pozycję Udziel uprawnień dostępu do wszystkich potoków, aby zezwolić wszystkim potokom na korzystanie z tego połączenia z usługą. Jeśli nie wybierzesz tej opcji, musisz ręcznie udzielić dostępu do każdego potoku korzystającego z tego połączenia z usługą.

8. W usłudze Azure DevOps skopiuj wygenerowane wartości dla wystawcy i identyfikatora podmiotu.

9. Wybierz Zachowaj jako wersję roboczą, aby zapisać wersję roboczą dokumentu. Nie można ukończyć konfiguracji, dopóki tożsamość zarządzana nie będzie mieć poświadczenia federacyjnego w portalu Azure.

Dodawanie poświadczeń federacyjnych do rejestracji aplikacji w witrynie Azure Portal

1. W witrynie Azure Portal otwórz rejestrację aplikacji i przejdź do pozycji Zarządzanie>certyfikatami i wpisami tajnymi.

2. Wybierz Poświadczenia federacyjne.

   

3. Wybierz pozycję Dodaj poświadczenia.

4. Wybierz scenariusz innego wystawcy.

   

5. Wklej wartości dla wystawcy i identyfikatora podmiotu, które skopiowałeś z projektu w Azure DevOps, do poświadczeń federacyjnych w portalu Azure.

   

6. Wybierz pozycję Zapisz.

Udzielanie uprawnień do rejestracji aplikacji w witrynie Azure Portal

1. W witrynie Azure Portal przejdź do zasobu platformy Azure, dla którego chcesz udzielić uprawnień (na przykład do grupy zasobów).

2. Wybierz pozycję Kontrola dostępu (IAM).

   

3. Wybierz pozycję Dodaj przypisanie roli. Przypisz wymaganą rolę do rejestracji aplikacji (na przykład Współautor).

4. Wybierz pozycję Przejrzyj i przypisz.

Zapisz połączenie usługi Azure DevOps dla rejestracji aplikacji

1. W usłudze Azure DevOps wróć do wersji roboczej połączenia usługi.

2. Wybierz pozycję Zakończ konfigurację.

3. Wybierz pozycję Weryfikuj i zapisz. Po pomyślnym zakończeniu tego kroku połączenie usługi Azure Resource Manager jest w pełni skonfigurowane.