Rozwiązywanie problemów z połączeniem usługi tożsamości obciążenia usługi Azure Resource Manager
Uzyskaj pomoc przy debugowaniu typowych problemów z połączeniami usługi tożsamości obciążenia. Dowiesz się również, jak ręcznie utworzyć połączenie z usługą, jeśli jest to konieczne.
Lista kontrolna rozwiązywania problemów
Skorzystaj z poniższej listy kontrolnej, aby rozwiązać problemy z połączeniami usługi tożsamości obciążenia:
- Przejrzyj zadania potoku, aby upewnić się, że obsługują one tożsamość obciążenia.
- Sprawdź, czy federacja tożsamości obciążenia jest aktywna dla dzierżawy.
- Sprawdź adres URL wystawcy i temat federacji, aby uzyskać dokładność.
W poniższych sekcjach opisano problemy i sposoby ich rozwiązywania.
Przeglądanie zadań potoku
Nie wszystkie zadania potoków obsługują tożsamość obciążenia. W szczególności tylko właściwości połączenia usługi Azure Resource Manager w zadaniach używają federacji tożsamości obciążenia. W poniższej tabeli wymieniono obsługę federacji tożsamości obciążenia dla zadań uwzględnionych w usłudze Azure DevOps. W przypadku zadań zainstalowanych z witryny Marketplace skontaktuj się z wydawcą rozszerzenia, aby uzyskać wsparcie.
| Zadanie | Obsługa federacji tożsamości obciążenia |
|---|---|
| AutomatedAnalysis@0 | Y |
| AzureAppServiceManage@0 | Y |
| AzureAppServiceSettings@1 | Y |
| AzureCLI@1 | Y |
| AzureCLI@2 | Y |
| AzureCloudPowerShellDeployment@1 | Korzystanie z AzureCloudPowerShellDeployment@2 |
| AzureCloudPowerShellDeployment@2 | Y |
| AzureContainerApps@0 | Y |
| AzureContainerApps@1 | Y |
| AzureFileCopy@1 | Korzystanie z AzureFileCopy@6 |
| AzureFileCopy@2 | Korzystanie z AzureFileCopy@6 |
| AzureFileCopy@3 | Korzystanie z AzureFileCopy@6 |
| AzureFileCopy@4 | Korzystanie z AzureFileCopy@6 |
| AzureFileCopy@5 | Korzystanie z AzureFileCopy@6 |
| AzureFileCopy@6 | Y |
| AzureFunctionApp@1 | Y |
| AzureFunctionApp@2 | Y |
| AzureFunctionAppContainer@1 | Y |
| AzureFunctionOnKubernetes@0 | Korzystanie z AzureFunctionOnKubernetes@1 |
| AzureFunctionOnKubernetes@1 | Y |
| AzureIoTEdge@2 | Y |
| AzureKeyVault@1 | Y |
| AzureKeyVault@2 | Y |
| AzureMonitor@0 | Korzystanie z AzureMonitor@1 |
| AzureMonitor@1 | Y |
| AzureMysqlDeployment@1 | Y |
| AzureNLBManagement@1 | N |
| AzurePolicyCheckGate@0 | Y |
| AzurePowerShell@2 | Y |
| AzurePowerShell@3 | Y |
| AzurePowerShell@4 | Y |
| AzurePowerShell@5 | Y |
| AzureResourceGroupDeployment@2 | Y |
| AzureResourceManagerTemplateDeployment@3 | Y |
| AzureRmWebAppDeployment@3 | Y |
| AzureRmWebAppDeployment@4 | Y |
| AzureSpringCloud@0 | Y |
| AzureVmssDeployment@0 | Y |
| AzureWebApp@1 | Y |
| AzureWebAppContainer@1 | Y |
| ContainerBuild@0 | Y |
| ContainerStructureTest@0 | Y |
| Docker@0 | Y |
| Docker@1 | Połączenie z usługą platformy Azure: Y Połączenie usługi Rejestru platformy Docker: N |
| Docker@2 | Y |
| DockerCompose@0 | Y |
| DockerCompose@1 | Y |
| DotNetCoreCLI@2 | Y |
| HelmDeploy@0 | Połączenie z usługą platformy Azure: Y |
| HelmDeploy@1 | Połączenie z usługą platformy Azure: Y |
| InvokeRESTAPI@1 | Y |
| JavaToolInstaller@0 | Y |
| JenkinsDownloadArtifacts@1 | Y |
| Kubernetes@0 | Korzystanie z Kubernetes@1 |
| Kubernetes@1 | Y |
| KubernetesManifest@0 | Korzystanie z KubernetesManifest@1 |
| KubernetesManifest@1 | Y |
| Maven@4 | Y |
| Notation@0 | Y |
| PackerBuild@0 | Korzystanie z PackerBuild@1 |
| PackerBuild@1 | Y |
| PublishToAzureServiceBus@1 | Używanie PublishToAzureServiceBus@2 z połączeniem usługi platformy Azure |
| PublishToAzureServiceBus@2 | Y |
| ServiceFabricComposeDeploy@0 | N |
| ServiceFabricDeploy@1 | N |
| SqlAzureDacpacDeployment@1 | Y |
| VSTest@3 | Y |
Sprawdź, czy federacja tożsamości obciążenia jest aktywna
Jeśli w dzierżawie firmy Microsoft Entra są wyświetlane komunikaty o błędach AADSTS700223 lub AADSTS700238, federacja tożsamości obciążenia została wyłączona.
Sprawdź, czy nie ma żadnych zasad Microsoft Entra, które blokują poświadczenia federacyjne.
Sprawdź adres URL wystawcy pod kątem dokładności
Jeśli zostanie wyświetlony komunikat wskazujący , że nie znaleziono pasującego rekordu tożsamości federacyjnej, adres URL wystawcy lub podmiot federacji nie jest zgodny. Prawidłowy adres URL wystawcy zaczyna się od https://vstoken.dev.azure.com.
Adres URL wystawcy można naprawić, edytując i zapisując połączenie usługi w celu zaktualizowania adresu URL wystawcy. Jeśli usługa Azure DevOps nie utworzyła tożsamości, adres URL wystawcy musi zostać zaktualizowany ręcznie. W przypadku tożsamości platformy Azure adres URL wystawcy jest automatycznie aktualizowany.
Typowe problemy
W następnych sekcjach opisano typowe problemy i opisano przyczyny i rozwiązania.
Nie mam uprawnień do tworzenia jednostki usługi w dzierżawie Microsoft Entra
Nie możesz użyć narzędzia do konfiguracji połączenia usługi Azure DevOps, jeśli nie masz odpowiednich uprawnień. Poziom uprawnień jest niewystarczający do korzystania z narzędzia, jeśli nie masz uprawnień do tworzenia jednostek usługi lub jeśli używasz innej dzierżawy Microsoft Entra niż użytkownik usługi Azure DevOps.
Musisz mieć uprawnienia do tworzenia rejestracji aplikacji w identyfikatorze Microsoft Entra ID lub mieć odpowiednią rolę (na przykład Deweloper aplikacji).
Dostępne są dwie opcje rozwiązania problemu:
- Rozwiązanie 1. Ręczne konfigurowanie tożsamości obciążenia przy użyciu uwierzytelniania tożsamości zarządzanej
- Rozwiązanie 2. Ręczne konfigurowanie tożsamości obciążenia przy użyciu uwierzytelniania rejestracji aplikacji
Komunikaty o błędach
W poniższej tabeli przedstawiono typowe komunikaty o błędach i problemy, które mogą je wygenerować:
| Komunikat | Możliwy problem |
|---|---|
nie można zażądać tokenu: Pobierz ?audience=api://AzureADTokenExchange: unsupported protocol scheme |
Zadanie nie obsługuje federacji tożsamości obciążenia. |
| Nie można odnaleźć tożsamości | Zadanie nie obsługuje federacji tożsamości obciążenia. |
| Nie można pobrać tokenu dostępu dla platformy Azure | Zadanie nie obsługuje federacji tożsamości obciążenia. |
| AADSTS700016: Nie odnaleziono aplikacji o identyfikatorze "****" | Tożsamość używana do połączenia z usługą już nie istnieje, mogła zostać usunięta z połączenia z usługą lub jest niepoprawnie skonfigurowana. Jeśli połączenie usługi skonfigurowano ręcznie przy użyciu wstępnie utworzonej tożsamości, upewnij się, że appID/clientId jest poprawnie skonfigurowany. |
| AADSTS7000215: podano nieprawidłowy klucz tajny klienta. | Używasz połączenia z usługą, które ma wygasły wpis tajny. Przekonwertuj połączenie usługi na federację tożsamości obciążenia i zastąp wygasły wpis tajny poświadczeniami federacyjnymi. |
| AADSTS700024: Aseracja klienta nie mieści się w prawidłowym zakresie czasu | Jeśli błąd wystąpi po około 1 godzinie, zamiast tego użyj połączenia usługi z federacją tożsamości obciążenia i tożsamością zarządzaną. Tokeny tożsamości zarządzanej mają okres istnienia około 24 godzin. Jeśli błąd wystąpi przed 1 godziną, ale po 10 minutach, przenieś polecenia, które (niejawnie) żądają tokenu dostępu, na przykład uzyskiwania dostępu do usługi Azure Storage na początku skryptu. Token dostępu zostanie buforowany dla kolejnych poleceń. |
AADSTS70021: nie znaleziono pasującego rekordu tożsamości federacyjnej dla przedstawionej asercji. Wystawca asercji: https://app.vstoken.visualstudio.com. |
Nie utworzono poświadczeń federacyjnych lub adres URL wystawcy nie jest poprawny. Prawidłowy adres URL wystawcy ma format https://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX. Adres URL wystawcy można naprawić, edytując, a następnie zapisując połączenie z usługą. Jeśli usługa Azure DevOps nie utworzyła tożsamości, musisz ręcznie zaktualizować wystawcę. Prawidłowy wystawca można znaleźć w oknie dialogowym edycji połączenia z usługą lub w odpowiedzi (w obszarze parametrów autoryzacji), jeśli używasz interfejsu API REST. |
AADSTS70021: nie znaleziono pasującego rekordu tożsamości federacyjnej dla przedstawionej asercji. Wystawca asercji: https://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX. Temat asercji: sc://<org>/<project>/<service-connection>. |
Adres URL wystawcy lub podmiot federacji nie jest zgodny. Nazwa organizacji lub projektu usługi Azure DevOps została zmieniona lub zmieniono nazwę ręcznie utworzonego połączenia usługi bez aktualizowania podmiotu federacji w tożsamości. |
| AADSTS700211: nie znaleziono pasującego rekordu tożsamości federacyjnej dla przedstawionego wystawcy asercji | Nie utworzono poświadczeń federacyjnych lub adres URL wystawcy nie jest poprawny. |
| AADSTS700213: Nie znaleziono pasującego rekordu tożsamości federacyjnej dla przedstawionego podmiotu asercji | Nie utworzono poświadczeń federacyjnych lub temat nie jest poprawny. |
| AADSTS700223 | Federacja tożsamości obciążenia jest ograniczona lub wyłączona w dzierżawie firmy Microsoft Entra. W tym scenariuszu można zamiast tego użyć tożsamości zarządzanej dla federacji. Aby uzyskać więcej informacji, zobacz temat Tożsamość obciążenia z tożsamością zarządzaną. |
| AADSTS70025: Aplikacja kliencka nie ma skonfigurowanych poświadczeń tożsamości federacyjnej | Upewnij się, że poświadczenia federacyjne są skonfigurowane w rejestracji aplikacji lub tożsamości zarządzanej. |
| Firma Microsoft Entra odrzuciła token wystawiony przez usługę Azure DevOps z kodem błędu AADSTS700238 | Federacja tożsamości obciążenia została ograniczona w dzierżawie firmy Microsoft Entra. Wystawca organizacji (https://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX) nie może używać federacji tożsamości obciążenia. Poproś administratora dzierżawy firmy Microsoft lub zespół administracyjny o zezwolenie na federację tożsamości obciążenia dla organizacji usługi Azure DevOps. |
| AADSTS900382: Poufny klient nie jest obsługiwany w usłudze Cross Cloud | Niektóre suwerenne chmury blokują federację tożsamości obciążenia. |
| Nie można uzyskać tokenu internetowego JSON (JWT) przy użyciu identyfikatora klienta jednostki usługi | Poświadczenia tożsamości federacji są błędnie skonfigurowane lub dzierżawa firmy Microsoft Entra blokuje openID Connect (OIDC). |
| Skrypt nie powiódł się z powodu błędu: UnrecognizedArgumentError: unrecognized arguments: --federated-token | Używasz zadania AzureCLI na agencie, który ma zainstalowaną wcześniejszą wersję interfejsu wiersza polecenia platformy Azure. Federacja tożsamości obciążenia wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.30 lub nowszej. |
| Nie można utworzyć aplikacji w identyfikatorze Entra firmy Microsoft. Błąd: Niewystarczające uprawnienia do ukończenia operacji w programie Microsoft Graph. Upewnij się, że użytkownik ma uprawnienia do tworzenia aplikacji Firmy Microsoft Entra. | Możliwość tworzenia rejestracji aplikacji została wyłączona w dzierżawie firmy Microsoft Entra. Przypisz użytkownika, który tworzy połączenie z usługą, rolę Deweloper aplikacji firmy Microsoft Entra. Alternatywnie utwórz połączenie usługi ręcznie przy użyciu tożsamości zarządzanej. Aby uzyskać więcej informacji, zobacz temat Tożsamość obciążenia z tożsamością zarządzaną. |
Czy błąd AADSTS, którego nie ma na powyższej liście? Sprawdź kody błędów uwierzytelniania i autoryzacji firmy Microsoft Entra.