Настройка подключения службы удостоверений рабочей нагрузки Azure Resource Manager вручную

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Примечание.

Мы развертываем новый интерфейс создания подключения к службе Azure. Получение его в вашей организации зависит от различных факторов, и вы можете по-прежнему видеть более старый интерфейс пользователя.

При устранении неполадок с подключением службы удостоверений рабочей нагрузки Azure Resource Manager может потребоваться вручную настроить подключение, а не использовать автоматизированное средство, доступное в Azure DevOps.

Перед началом настройки вручную рекомендуется попробовать автоматизированное средство.

Существует два варианта проверки подлинности: использование управляемого удостоверения или регистрация приложения. Преимущество параметра управляемого удостоверения заключается в том, что его можно использовать, если у вас нет разрешений на создание субъектов-служб или если вы используете другой клиент Microsoft Entra, отличный от пользователя Azure DevOps.

Настройка подключения службы удостоверений рабочей нагрузки

Управляемое удостоверение

Чтобы вручную настроить проверку подлинности управляемого удостоверения для Azure Pipelines, выполните следующие действия, чтобы создать управляемое удостоверение в портал Azure, установить подключение к службе в Azure DevOps, добавить федеративные учетные данные и предоставить необходимые разрешения. В этом порядке вам потребуется выполнить следующие действия.

1. Создайте управляемое удостоверение в портал Azure.
2. Создайте подключение к службе в Azure DevOps и сохраните его в виде черновика.
3. Добавьте федеративные учетные данные в управляемое удостоверение в портал Azure.
4. Предоставьте разрешения управляемому удостоверению в портал Azure.
5. Сохраните подключение к службе в Azure DevOps.

Для этого процесса также можно использовать REST API.

Предварительные требования для проверки подлинности управляемого удостоверения

• Чтобы создать управляемое удостоверение, назначаемое пользователем, учетная запись Azure требует назначения управляемого удостоверения или более поздней роли.
• Чтобы использовать управляемое удостоверение для доступа к ресурсам Azure в конвейере, назначьте управляемому удостоверению доступ к ресурсу.

Создание управляемого удостоверения в портал Azure

1. Войдите на портал Azure.

2. В поле поиска введите Управляемые удостоверения.

3. Нажмите кнопку создания.

4. В области создания управляемого удостоверения, назначаемого пользователем, введите или выберите значения для следующих элементов:

   • Подписка: выберите подписку, в которой необходимо создать управляемое удостоверение, назначаемое пользователем.
   • Группа ресурсов: выберите группу ресурсов, чтобы создать управляемое удостоверение, назначаемое пользователем, или нажмите кнопку "Создать" , чтобы создать новую группу ресурсов.
   • Регион: выберите регион для развертывания управляемого удостоверения, назначаемого пользователем (например, восточная часть США).
   • Имя: введите имя управляемого удостоверения, назначаемого пользователем (например, UADEVOPS).

5. Выберите "Проверка и создание ", чтобы создать новое управляемое удостоверение. По завершении развертывания выберите элемент Перейти к ресурсу.

6. Скопируйте значения подписки, идентификатора подписки и идентификатора клиента для управляемого удостоверения, который будет использоваться позже.

7. В управляемом удостоверении в портал Azure перейдите к свойствам> параметров.

8. Скопируйте значение идентификатора клиента для последующего использования.

Создание подключения службы для проверки подлинности управляемого удостоверения в Azure DevOps

1. В Azure DevOps откройте проект и перейдите к >подключениям к службе Pipelines.>

2. Выберите новое подключение к службе.

3. Выберите Azure Resource Manager.

4. Выберите регистрацию приложения типа удостоверения или управляемое удостоверение (вручную) учетные данные федерации удостоверений рабочей нагрузки.

   

5. В поле "Имя подключения службы" введите такое значение, как uamanagedidentity. Это значение будет использоваться в идентификаторе субъекта федеративных учетных данных.

6. Выберите Далее.

7. На шаге 2. Сведения о регистрации приложений:

   Шаг 2. Сведения о регистрации приложения содержат следующие параметры. Можно ввести или выбрать следующие параметры:

   Параметр	Описание
   Издатель	Обязательный. DevOps автоматически создает URL-адрес издателя.
   Идентификатор субъекта	Обязательный. DevOps автоматически создает идентификатор субъекта.
   Среда	Обязательный. Выберите облачную среду для подключения. Если выбрать Azure Stack, введите URL-адрес среды, который похож https://management.local.azurestack.externalна .

   1. Выберите уровень области. Выберите подписку, группу управления или Машинное обучение рабочую область. Группы управления — это контейнеры, которые помогают управлять доступом, политикой и соответствием в нескольких подписках. Рабочая область Машинное обучение — это место для создания артефактов машинного обучения.

      • В области подписки введите следующие параметры:

        Параметр	Описание
        Идентификатор подписки	Обязательный. Введите идентификатор подписки Azure.
        Имя подписки	Обязательный. Введите имя подписки Azure.

      • В области группы управления введите следующие параметры:

        Параметр	Описание
        Идентификатор группы управления	Обязательный. Введите идентификатор группы управления Azure.
        Имя группы управления	Обязательный. Введите имя группы управления Azure.

      • В области Машинное обучение рабочей области введите следующие параметры:

        Параметр	Описание
        Идентификатор подписки	Обязательный. Введите идентификатор подписки Azure.
        Имя подписки	Обязательный. Введите имя подписки Azure.
        Группа ресурсов	Обязательный. Выберите группу ресурсов, содержащую рабочую область.
        Имя рабочей области машинного обучения	Обязательный. Введите имя существующей рабочей области Машинное обучение Azure.
        Расположение рабочей области машинного обучения	Обязательный. Введите расположение существующей рабочей области Машинное обучение Azure.

   2. В разделе "Проверка подлинности" введите или выберите следующие параметры:

      Параметр	Описание
      Application (client) ID (Идентификатор приложения (клиент))	Обязательный. Введите идентификатор клиента для управляемого удостоверения.
      Идентификатор каталога (клиент)	Обязательный. Введите идентификатор клиента из управляемого удостоверения.

   3. В разделе "Безопасность" выберите "Предоставить разрешение на доступ ко всем конвейерам", чтобы разрешить всем конвейерам использовать это подключение к службе. Если этот параметр не выбран, необходимо вручную предоставить доступ к каждому конвейеру, использующего это подключение к службе.

8. В Azure DevOps скопируйте созданные значения для идентификатора издателя и субъекта.

   

9. Нажмите кнопку "Сохранить как черновик ", чтобы сохранить черновик учетных данных. Невозможно завершить настройку, пока управляемое удостоверение не имеет федеративных учетных данных в портал Azure.

Добавление федеративных учетных данных в портал Azure

1. В новом окне браузера в управляемом удостоверении в портал Azure перейдите в раздел "Параметры федеративных учетных> данных".

2. Выберите " Добавить учетные данные".

3. Выберите сценарий другого издателя .

4. Вставьте значения для идентификатора издателя и субъекта, скопированного из проекта Azure DevOps, в федеративные учетные данные в портал Azure.

   

5. Введите имя федеративных учетных данных.

6. Выберите Добавить.

Предоставление разрешений управляемому удостоверению в портал Azure

1. В портал Azure перейдите к ресурсу Azure, для которого требуется предоставить разрешения (например, группа ресурсов).

2. Выберите Управление доступом (IAM).

   

3. выберите Добавить назначение ролей. Назначьте необходимую роль управляемому удостоверению (например, участник).

4. Выберите "Рецензирование" и "Назначить".

Сохранение подключения службы Azure DevOps

1. В Azure DevOps вернитесь к подключению к черновику службы.

2. Нажмите кнопку "Готово".

3. Выберите " Проверить и сохранить". После успешного завершения этого шага полностью настроено управляемое удостоверение.

Регистрация приложения

В этом разделе описано, как настроить регистрацию приложения и федеративные учетные данные в портал Azure, создать подключение службы для проверки подлинности субъекта-службы в Azure DevOps, добавить федеративные учетные данные в регистрацию приложения и предоставить необходимые разрешения. Регистрация приложения использует проверку подлинности субъекта-службы. Эти действия необходимо выполнить в следующем порядке:

1. Создайте регистрацию приложения с проверкой подлинности субъекта-службы в портал Azure.
2. Создайте подключение к службе в Azure DevOps и сохраните его в виде черновика.
3. Добавьте федеративные учетные данные в регистрацию приложения в портал Azure.
4. Предоставьте разрешения регистрации приложения в портал Azure.
5. Сохраните подключение к службе в Azure DevOps.

Для этого процесса также можно использовать REST API.

Предварительные требования для проверки подлинности регистрации приложений

• Чтобы создать подключение к службе, учетная запись Azure должна иметь возможность создавать регистрации приложений.
  • Если создание регистраций приложений отключено в клиенте, необходимо иметь роль разработчика приложений для создания регистраций приложений.

Создание регистрации приложений и федеративных учетных данных в портал Azure

1. В портал Azure найдите регистрацию приложений.

2. Выберите Создать регистрацию.

   

3. В поле "Имя" введите имя регистрации приложения и выберите "Кто может использовать это приложение" или получить доступ к этому API.

4. Выберите Зарегистрировать.

5. При загрузке новой регистрации приложения скопируйте значения идентификатора приложения (клиента) и идентификатор каталога (клиента), чтобы использовать его позже.

   

Создание подключения службы для проверки подлинности регистрации приложений в Azure DevOps

1. В Azure DevOps откройте проект и перейдите к >подключениям к службе Pipelines.>

2. Выберите новое подключение к службе.

3. Выберите Azure Resource Manager.

4. Выберите регистрацию приложения типа удостоверения или управляемое удостоверение (вручную) учетные данные федерации удостоверений рабочей нагрузки.

   

5. В поле "Имя подключения службы" введите такое значение, как uaappregistration. Это значение будет использоваться в идентификаторе субъекта федеративных учетных данных.

6. Выберите Далее.

7. На шаге 2. Сведения о регистрации приложений:

   Шаг 2. Сведения о регистрации приложения содержат следующие параметры. Можно ввести или выбрать следующие параметры:

   Параметр	Описание
   Издатель	Обязательный. DevOps автоматически создает URL-адрес издателя.
   Идентификатор субъекта	Обязательный. DevOps автоматически создает идентификатор субъекта.
   Среда	Обязательный. Выберите облачную среду для подключения. Если выбрать Azure Stack, введите URL-адрес среды, который похож https://management.local.azurestack.externalна .

   1. Выберите уровень области. Выберите подписку, группу управления или Машинное обучение рабочую область. Группы управления — это контейнеры, которые помогают управлять доступом, политикой и соответствием в нескольких подписках. Рабочая область Машинное обучение — это место для создания артефактов машинного обучения.

      • В области подписки введите следующие параметры:

        Параметр	Описание
        Идентификатор подписки	Обязательный. Введите идентификатор подписки Azure.
        Имя подписки	Обязательный. Введите имя подписки Azure.

      • В области группы управления введите следующие параметры:

        Параметр	Описание
        Идентификатор группы управления	Обязательный. Введите идентификатор группы управления Azure.
        Имя группы управления	Обязательный. Введите имя группы управления Azure.

      • В области Машинное обучение рабочей области введите следующие параметры:

        Параметр	Описание
        Идентификатор подписки	Обязательный. Введите идентификатор подписки Azure.
        Имя подписки	Обязательный. Введите имя подписки Azure.
        Группа ресурсов	Обязательный. Выберите группу ресурсов, содержащую рабочую область.
        Имя рабочей области машинного обучения	Обязательный. Введите имя существующей рабочей области Машинное обучение Azure.
        Расположение рабочей области машинного обучения	Обязательный. Введите расположение существующей рабочей области Машинное обучение Azure.

   2. В разделе "Проверка подлинности" введите или выберите следующие параметры:

      Параметр	Описание
      Application (client) ID (Идентификатор приложения (клиент))	Обязательный. Введите идентификатор приложения (клиента) для регистрации приложения.
      Идентификатор каталога (клиент)	Обязательный. Введите идентификатор каталога (клиента) для регистрации приложения.

   3. В разделе "Безопасность" выберите "Предоставить разрешение на доступ ко всем конвейерам", чтобы разрешить всем конвейерам использовать это подключение к службе. Если этот параметр не выбран, необходимо вручную предоставить доступ к каждому конвейеру, использующего это подключение к службе.

8. В Azure DevOps скопируйте созданные значения для идентификатора издателя и субъекта.

9. Нажмите кнопку "Сохранить как черновик ", чтобы сохранить черновик учетных данных. Невозможно завершить настройку, пока управляемое удостоверение не имеет федеративных учетных данных в портал Azure.

Добавление федеративных учетных данных в регистрацию приложения в портал Azure

1. В портал Azure откройте регистрацию приложения и перейдите к разделу "Управление>сертификатами и секретами".

2. Выберите элемент Федеративные учетные данные.

   

3. Выберите " Добавить учетные данные".

4. Выберите сценарий другого издателя .

   

5. Вставьте значения для идентификатора издателя и субъекта, скопированного из проекта Azure DevOps, в федеративные учетные данные в портал Azure.

   

6. Выберите Сохранить.

Предоставление разрешений регистрации приложения в портал Azure

1. В портал Azure перейдите к ресурсу Azure, для которого требуется предоставить разрешения (например, группа ресурсов).

2. Выберите Управление доступом (IAM).

   

3. выберите Добавить назначение ролей. Назначьте необходимую роль регистрации приложения (например, участник).

4. Выберите "Рецензирование" и "Назначить".

Сохранение подключения службы Azure DevOps для регистрации приложения

1. В Azure DevOps вернитесь к подключению к черновику службы.

2. Нажмите кнопку "Готово".

3. Выберите " Проверить и сохранить". После успешного завершения этого шага подключение службы Azure Resource Manager полностью настроено.