Configurar manualmente conexões do serviço de identidade de workload do Azure Resource Manager

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Observação

Estamos lançando a nova experiência de criação de conexão de serviço do Azure. Recebê-lo em sua organização depende de vários fatores, e você ainda pode ver a experiência do usuário mais antigo.

Quando você soluciona problemas de uma conexão de serviço de identidade de carga de trabalho do Azure Resource Manager, pode ser preciso configurar manualmente a conexão em vez de usar a ferramenta automatizada que está disponível no Azure DevOps.

Recomendamos experimentar a abordagem automatizada antes de iniciar uma configuração manual.

Há duas opções para autenticação: usar uma identidade gerenciada ou usar um registro de aplicativo. A vantagem da opção de identidade gerenciada é que você pode usá-la se não tiver permissões para criar entidades de serviço ou se estiver usando um locatário do Microsoft Entra diferente do usuário do Azure DevOps.

Definir uma conexão de serviço de identidade de carga de trabalho

Identidade gerenciada

Para configurar manualmente a autenticação de identidade gerenciada para seus Azure Pipelines, siga estas etapas para criar uma identidade gerenciada no portal do Azure, estabelecer uma conexão de serviço no Azure DevOps, adicionar credenciais federadas e conceder as permissões necessárias. Você precisará seguir estas etapas nesta ordem:

1. Crie a identidade gerenciada no portal do Azure.
2. Crie a conexão de serviço no Azure DevOps e salve como rascunho.
3. Adicione uma credencial federada à sua identidade gerenciada no portal do Azure.
4. Conceda permissões a uma identidade gerenciada no portal do Azure.
5. Salve sua conexão de serviço no Azure DevOps.

Você também pode usar a API REST para esse processo.

Pré-requisitos para autenticação de identidade gerenciada

• Para criar uma identidade gerenciada atribuída pelo usuário, sua conta do Azure precisa da atribuição de função Colaborador de identidade gerenciada ou superior.
• Para usar uma identidade gerenciada para acessar recursos do Azure em seu Pipeline, atribua o acesso de identidade gerenciada ao recurso.

Crie uma identidade gerenciada no portal do Azure.

1. Entre no portal do Azure.

2. Na caixa de busca, insira Identidades gerenciadas.

3. Selecione Criar.

4. No painel Criar identidade gerenciada atribuída pelo usuário, insira ou selecione valores para os seguintes itens:

   • Assinatura:: selecione a assinatura onde criar a identidade gerenciada atribuída pelo usuário.
   • Grupo de recursos: selecione um grupo de recursos para criar a identidade gerenciada atribuída pelo usuário ou clique em Criar para criar um grupo de recursos.
   • Região: selecione uma região para implantar a identidade gerenciada atribuída pelo usuário (por exemplo: Leste dos EUA).
   • Nome: insira o nome da identidade gerenciada atribuída pelo usuário (por exemplo: UADEVOPS).

5. Selecione Revisar + criar para criar uma nova identidade gerenciada. Quando a implantação for concluída, selecione Ir para o recurso.

6. Copie os valores Assinatura, ID da Assinatura, e ID do cliente para sua identidade gerenciada para usar posteriormente.

7. Em sua identidade gerenciada no portal do Azure, acesse Configurações>Propriedades.

8. Copie o valor da ID do locatário para usar posteriormente.

Crie uma conexão de serviço para autenticação de identidade gerenciada no Azure DevOps

1. No Azure DevOps, abra seu projeto e acesse >Pipelines>Conexões de serviço.

2. Selecione Nova conexão de serviço.

3. Selecione Azure Resource Manager.

4. Selecione o tipo de Registro do aplicativo ou Identidade gerenciada (manual) a credencial da Federação de identidade de carga de trabalho.

   

5. Em Nome da conexão de serviço, insira um valor como uamanagedidentity. Você usará esse valor em seu identificador de entidade de credencial federada.

6. Selecione Avançar.

7. Na Etapa 2: detalhes de registro do aplicativo:

   Etapa 2: detalhes de registro do aplicativo contêm os seguintes parâmetros. Você pode inserir ou selecionar os seguintes parâmetros:

   Parâmetro	Descrição
   emissor	Obrigatória. O DevOps cria automaticamente a URL do emissor.
   Identificador de Assunto	Obrigatória. O DevOps cria automaticamente o identificador de entidade.
   Ambiente	Obrigatória. Escolha um ambiente de nuvem para se conectar. Se você selecionar Azure Stack, insira a URL do ambiente, que é algo como https://management.local.azurestack.external.

   1. Selecione o Nível de escopo. Selecione Assinatura, Grupo de Gerenciamento ou Workspace do Machine Learning. Grupos de gerenciamento são contêineres que ajudarão você a gerenciar o acesso, a política e a conformidade entre várias assinaturas. O workspace do Machine Learning é um local para criar artefatos de Machine Learning.

      • Para o escopo da Assinatura, insira os seguintes parâmetros:

        Parâmetro	Descrição
        ID da assinatura	Obrigatória. Insira a ID da assinatura do Azure.
        Nome da assinatura	Obrigatória. Insira o nome da assinatura do Azure.

      • Para o escopo do Grupo de Gerenciamento, insira os seguintes parâmetros:

        Parâmetro	Descrição
        ID do Grupo de Gerenciamento	Obrigatória. Insira a ID do grupo de gerenciamento do Azure.
        Nome do Grupo de Gerenciamento	Obrigatória. Insira o nome do grupo de gerenciamento do Azure.

      • Para o escopo do Workspace do Machine Learning, insira os seguintes parâmetros:

        Parâmetro	Descrição
        ID da assinatura	Obrigatória. Insira a ID da assinatura do Azure.
        Nome da assinatura	Obrigatória. Insira o nome da assinatura do Azure.
        Grupo de Recursos	Obrigatória. Selecione o grupo de recursos que contém o workspace.
        Nome do Workspace do ML	Obrigatória. Insira o nome do workspace existente do Azure Machine Learning.
        Localização do Workspace do ML	Obrigatória. Insira a localização do workspace existente do Azure Machine Learning.

   2. Na seção Autenticação, insira ou selecione os seguintes parâmetros:

      Parâmetro	Descrição
      ID do aplicativo (cliente)	Obrigatória. Insira a ID do cliente para sua identidade gerenciada.
      ID do Diretório (locatário)	Obrigatória. Insira a ID do locatário da sua identidade gerenciada.

   3. Na seção Segurança, selecione Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder acesso manualmente a cada pipeline que usa essa conexão de serviço.

8. No Azure DevOps, copie os valores gerados para Emissor e Identificador de Assunto.

   

9. Selecione Manter como rascunho para salvar uma credencial de rascunho. Você não pode concluir a instalação até que sua identidade gerenciada tenha uma credencial federada no portal do Azure.

Adicione uma credencial federada no portal do Azure

1. Em uma nova janela do navegador, em sua identidade gerenciada no portal do Azure, acesse Configurações>Credenciais federadas.

2. Selecione Adicionar Credenciais.

3. Selecione o cenário Outro emissor.

4. Cole os valores para Issuer e Identificador de Assunto que você copiou do seu projeto Azure DevOps nas suas credenciais federadas no portal do Azure.

   

5. Insira o Nome da sua credencial federada.

6. Selecione Adicionar.

Conceda permissões a uma identidade gerenciada no portal do Azure

1. No portal do Azure, acesse o recurso do Azure para o qual você deseja conceder permissões (por exemplo, um grupo de recursos).

2. Selecione IAM (Controle de acesso) .

   

3. Selecione Adicionar atribuição de função. Atribua a função requerida à sua identidade gerenciada (exemplo, Colaborador).

4. Selecione Examinar e atribuir.

Salve sua conexão de serviço do Azure DevOps

1. No Azure DevOps, retorne à sua conexão de serviço de rascunho.

2. Selecione Concluir configuração.

3. Selecione Verificar e salvar. Depois que essa etapa for concluída com êxito, sua identidade gerenciada estará totalmente configurada.

Registro do aplicativo

Esta seção orienta você na configuração de um registro de aplicativo e credenciais federadas no portal do Azure, na criação de uma conexão de serviço para autenticação de entidade de serviço no Azure DevOps, na adição de credenciais federadas ao registro do aplicativo e na concessão das permissões necessárias. O registro do aplicativo usa a autenticação da entidade de serviço. Você precisará concluir estas etapas na seguinte ordem:

1. Crie o registro do aplicativo com autenticação de entidade de serviço no portal do Azure.
2. Crie a conexão de serviço no Azure DevOps e salve como rascunho.
3. Adicione uma credencial federada ao registro de aplicativo no portal do Azure.
4. Conceda permissões ao registro de aplicativo no portal do Azure.
5. Salve sua conexão de serviço no Azure DevOps.

Você também pode usar a API REST para esse processo.

Pré-requisitos para autenticação de registro de aplicativo

• Para criar uma conexão de serviço, sua conta do Azure precisa ser capaz de criar registros de aplicativo.
  • Se a criação de registros de aplicativo estiver desabilitada em seu locatário, você precisará ter a função de Desenvolvedor de Aplicativos para criar registros de aplicativo.

Crie um registro de aplicativo e credenciais federadas no portal do Azure.

1. No portal do Azure, pesquise por Registros de aplicativo.

2. Selecione Novo registro.

   

3. Para Nome, insira um nome para o registro do aplicativo e selecione Quem pode usar esse aplicativo ou acessar essa API.

4. Selecione Registrar.

5. Quando o registro do seu novo aplicativo for carregado, copie os valores para ID do Aplicativo (cliente) e ID do Diretório (locatário) para usar depois.

   

Criar uma conexão de serviço para autenticação de registro de aplicativo no Azure DevOps

1. No Azure DevOps, abra seu projeto e acesse >Pipelines>Conexões de serviço.

2. Selecione Nova conexão de serviço.

3. Selecione Azure Resource Manager.

4. Selecione o tipo de Registro do aplicativo ou Identidade gerenciada (manual) a credencial da Federação de identidade de carga de trabalho.

   

5. Em Nome da conexão de serviço, insira um valor como uaappregistration. Você usará esse valor em seu identificador de entidade de credencial federada.

6. Selecione Avançar.

7. Na Etapa 2: detalhes de registro do aplicativo:

   Etapa 2: detalhes de registro do aplicativo contêm os seguintes parâmetros. Você pode inserir ou selecionar os seguintes parâmetros:

   Parâmetro	Descrição
   emissor	Obrigatória. O DevOps cria automaticamente a URL do emissor.
   Identificador de Assunto	Obrigatória. O DevOps cria automaticamente o identificador de entidade.
   Ambiente	Obrigatória. Escolha um ambiente de nuvem para se conectar. Se você selecionar Azure Stack, insira a URL do ambiente, que é algo como https://management.local.azurestack.external.

   1. Selecione o Nível de escopo. Selecione Assinatura, Grupo de Gerenciamento ou Workspace do Machine Learning. Grupos de gerenciamento são contêineres que ajudarão você a gerenciar o acesso, a política e a conformidade entre várias assinaturas. O workspace do Machine Learning é um local para criar artefatos de Machine Learning.

      • Para o escopo da Assinatura, insira os seguintes parâmetros:

        Parâmetro	Descrição
        ID da assinatura	Obrigatória. Insira a ID da assinatura do Azure.
        Nome da assinatura	Obrigatória. Insira o nome da assinatura do Azure.

      • Para o escopo do Grupo de Gerenciamento, insira os seguintes parâmetros:

        Parâmetro	Descrição
        ID do Grupo de Gerenciamento	Obrigatória. Insira a ID do grupo de gerenciamento do Azure.
        Nome do Grupo de Gerenciamento	Obrigatória. Insira o nome do grupo de gerenciamento do Azure.

      • Para o escopo do Workspace do Machine Learning, insira os seguintes parâmetros:

        Parâmetro	Descrição
        ID da assinatura	Obrigatória. Insira a ID da assinatura do Azure.
        Nome da assinatura	Obrigatória. Insira o nome da assinatura do Azure.
        Grupo de Recursos	Obrigatória. Selecione o grupo de recursos que contém o workspace.
        Nome do Workspace do ML	Obrigatória. Insira o nome do workspace existente do Azure Machine Learning.
        Localização do Workspace do ML	Obrigatória. Insira a localização do workspace existente do Azure Machine Learning.

   2. Na seção Autenticação, insira ou selecione os seguintes parâmetros:

      Parâmetro	Descrição
      ID do aplicativo (cliente)	Obrigatória. Digite o ID do aplicativo (cliente) para o registro do seu aplicativo.
      ID do Diretório (locatário)	Obrigatória. Digite o ID do diretório (locatário) para o registro do aplicativo.

   3. Na seção Segurança, selecione Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder acesso manualmente a cada pipeline que usa essa conexão de serviço.

8. No Azure DevOps, copie os valores gerados para Emissor e Identificador de Assunto.

9. Selecione Manter como rascunho para salvar uma credencial de rascunho. Você não pode concluir a instalação até que sua identidade gerenciada tenha uma credencial federada no portal do Azure.

Adicione uma credencial federada ao registro de aplicativo no portal do Azure

1. No portal do Azure, abra o registro de aplicativo e acesse Gerenciar> certificados & segredos.

2. Selecione Credenciais federadas.

   

3. Selecione Adicionar Credenciais.

4. Selecione o cenário Outro emissor.

   

5. Cole os valores para Issuer e Identificador de Assunto que você copiou do seu projeto Azure DevOps nas suas credenciais federadas no portal do Azure.

   

6. Selecione Salvar.

Conceda permissões ao registro de aplicativo no portal do Azure

1. No portal do Azure, acesse o recurso do Azure para o qual você deseja conceder permissões (por exemplo, um grupo de recursos).

2. Selecione IAM (Controle de acesso) .

   

3. Selecione Adicionar atribuição de função. Atribua a função requerida ao registro do aplicativo (exemplo, Colaborador).

4. Selecione Examinar e atribuir.

Salvar o registro do seu aplicativo Conexão do serviço Azure DevOps

1. No Azure DevOps, retorne à sua conexão de serviço de rascunho.

2. Selecione Concluir configuração.

3. Selecione Verificar e salvar. Quando essa etapa for concluída com êxito, sua conexão de serviço do Azure Resource Manager estará totalmente configurada.