Nasazení vlastních zásad pomocí GitHub Actions

Důležité

Od 1. května 2025 už nebude Azure AD B2C k dispozici k nákupu pro nové zákazníky. Další informace najdete v našich nejčastějších dotazech.

GitHub Actions umožňuje vytvářet vlastní pracovní postupy kontinuální integrace (CI) a průběžného nasazování (CD) přímo v úložišti GitHub. Tento článek popisuje, jak automatizovat nasazení vlastních zásad Azure Active Directory B2C (Azure AD B2C) pomocí GitHub Actions.

Pokud chcete automatizovat proces nasazení vlastních zásad, použijte akci GitHubu k nasazení vlastních zásad Azure AD B2C. Tato akce GitHubu vyvinula komunita Azure AD B2C.

Tato akce nasadí vlastní zásady Azure AD B2C do tenanta Azure AD B2C pomocí rozhraní Microsoft Graph API. Pokud zásady ve vašem tenantovi ještě neexistují, vytvoří se. Jinak se nahradí.

Důležité

Správa vlastních zásad Azure AD B2C pomocí Azure Pipelines v současné době využívá operace ve verzi Preview, které jsou dostupné na koncovém bodu rozhraní Microsoft Graph API. Použití těchto rozhraní API v produkčních aplikacích se nepodporuje. Další informace najdete v referenčních informacích k beta koncovému bodu rozhraní Microsoft Graph REST API.

Požadavky

• Dokončete kroky v Začněte s vlastními zásadami ve službě Azure Active Directory B2C.
• Pokud jste nevytvořili úložiště GitHub, vytvořte ho.

Výběr složky vlastních zásad

Vaše úložiště GitHub může obsahovat všechny soubory zásad Azure AD B2C a další prostředky. V kořenovém adresáři úložiště vytvořte nebo zvolte existující složku, která obsahuje vaše vlastní zásady.

Vyberte například složku s názvem zásady. Přidejte soubory vlastních zásad Azure AD B2C do složky zásad . Pak potvrďte změny.

Změny nenasdílejte . Provedete to později po nastavení pracovního postupu nasazení.

Registrace aplikace Microsoft Graph

Pokud chcete akci GitHubu povolit interakci s rozhraním Microsoft Graph API, vytvořte registraci aplikace v tenantovi Azure AD B2C. Pokud jste to ještě neudělali, zaregistrujte aplikaci Microsoft Graph.

Aby akce GitHubu přistupovala k datům v Microsoft Graphu, udělte zaregistrované aplikaci příslušná oprávnění aplikace. Udělte oprávnění Microsoft Graph>Policy>Policy.ReadWrite.TrustFramework v rámci oprávnění API při registraci aplikace.

Vytvoření šifrovaného tajného kódu GitHubu

Tajnosti GitHubu jsou šifrované proměnné prostředí, které vytvoříte v organizaci, úložišti nebo prostředí úložiště. V tomto kroku uložíte tajný kód aplikace pro aplikaci, kterou jste zaregistrovali dříve v kroku Registrace aplikace MS Graph .

Akce GitHubu pro nasazení vlastních zásad Azure AD B2C používá tajný kód k získání přístupového tokenu, který se používá k interakci s rozhraním Microsoft Graph API. Další informace najdete v tématu Vytváření šifrovaných tajných kódů pro úložiště.

Pokud chcete vytvořit tajný kód GitHubu, postupujte takto:

1. Na GitHubu přejděte na hlavní stránku úložiště.
2. Pod názvem úložiště vyberte Nastavení.
3. Na levém bočním panelu vyberte Tajné kódy.
4. Vyberte Nový tajný klíč úložiště.
5. Jako název zadejte ClientSecret.
6. Jako hodnotu zadejte tajný kód aplikace, který jste vytvořili dříve.
7. Vyberte Přidat tajný klíč.

Vytvoření pracovního postupu GitHubu

Pracovní postup GitHubu je automatizovaný postup, který přidáte do úložiště. Pracovní postupy se skládají z jedné nebo více úloh a dají se naplánovat nebo aktivovat událostí. V tomto kroku vytvoříte pracovní postup, který nasadí vaši vlastní zásadu.

Chcete-li vytvořit pracovní postup, postupujte takto:

1. Na GitHubu přejděte na hlavní stránku úložiště.

2. Pod názvem úložiště vyberte Akce.

   

3. Pokud jste pracovní postup ještě nenakonfigurovali, vyberte nastavit pracovní postup sami. V opačném případě vyberte Nový pracovní postup.

   

4. GitHub nabízí vytvoření souboru pracovního postupu pojmenovaného main.yml.github/workflows ve složce. Tento soubor obsahuje informace o pracovním postupu, včetně vašeho prostředí Azure AD B2C a vlastních zásad pro nasazení. Do webového editoru GitHubu přidejte následující kód YAML:

   on: push
   
   env:
     clientId: 00001111-aaaa-2222-bbbb-3333cccc4444
     tenant: your-tenant.onmicrosoft.com
   
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v2
   
       - name: 'Upload TrustFrameworkBase Policy'
         uses: azure-ad-b2c/deploy-trustframework-policy@v3
         with:
           folder: "./Policies"
           files: "TrustFrameworkBase.xml,TrustFrameworkLocalization.xml,TrustFrameworkExtensions.xml,SignUpOrSignin.xml"
           tenant: ${{ env.tenant }}
           clientId: ${{ env.clientId }}
           clientSecret: ${{ secrets.clientSecret }}
   

5. Aktualizujte následující vlastnosti souboru YAML:

   Oddíl	Název	Hodnota
   env	clientId	ID aplikace (klienta) aplikace, kterou jste zaregistrovali v kroku Registrace aplikace MS Graph
   env	tenant	Název vašeho klienta Azure AD B2C (například contoso.onmicrosoft.com).
   with	folder	Složka, ve které jsou uložené soubory vlastních zásad, ./Policiesnapříklad .
   with	files	Čárkami oddělený seznam souborů zásad, které se mají nasadit, TrustFrameworkBase.xml,TrustFrameworkLocalization.xml,TrustFrameworkExtensions.xml,SignUpOrSignin.xmlnapříklad .

   Důležité

   Při spouštění agentů a nahrávání souborů zásad se ujistěte, že jsou nahrané ve správném pořadí:

   1. TrustFrameworkBase.xml
   2. TrustFrameworkLocalization.xml
   3. TrustFrameworkExtensions.xml
   4. SignUpOrSignin.xml
   5. ProfileEdit.xml
   6. PasswordReset.xml

6. Vyberte Zahájit potvrzení.

7. Pod poli zprávy potvrzení určete, jestli chcete přidat potvrzení do aktuální větve nebo do nové větve. Vyberte Potvrdit nový soubor nebo Navrhnout nový soubor pro vytvoření žádosti o přijetí změn.

Otestování pracovního postupu

Aby bylo možno otestovat pracovní postup, který jste vytvořili, odešlete změny vlastních zásad. Jakmile se vaše úloha začne spouštět, můžete vidět graf průběhu běhu a zobrazit aktivitu jednotlivých kroků na GitHubu.

1. Na GitHubu přejděte na hlavní stránku úložiště.

2. Pod názvem úložiště vyberte Akce.

3. Na levém bočním panelu vyberte pracovní postup, který jste vytvořili.

4. Pod položkou Pracovní postupy vyberte název spuštění, které chcete zobrazit.

   

5. V části Úlohy nebo v grafu vizualizace vyberte úlohu, kterou chcete zobrazit.

6. Prohlédněte si výsledky jednotlivých kroků. Následující snímek obrazovky ukazuje protokol kroků pro nahrání vlastních zásad .

   

Volitelné: Naplánování pracovního postupu

Vytvořený pracovní postup se aktivuje událostí push . Pokud chcete, můžete zvolit jinou událost, která aktivuje pracovní postup, například žádost o přijetí změn.

Pomocí syntaxe POSIX cron můžete také naplánovat spuštění pracovního postupu v určitých časech UTC. Plánovaná událost umožňuje spustit pracovní postup v naplánovaném čase. Další informace naleznete v tématu Naplánované události.

Následující příklad spustí pracovní postup každý den v 5:30 a 17:30 UTC:

on:
  schedule:
    # * is a special character in YAML so you have to quote this string
    - cron:  '30 5,17 * * *'

Úprava pracovního postupu:

1. Na GitHubu přejděte na hlavní stránku úložiště.

2. Pod názvem úložiště vyberte Akce.

3. Na levém bočním panelu vyberte pracovní postup, který jste vytvořili.

4. Pod položkou Pracovní postupy vyberte název spuštění, které chcete zobrazit.

5. V nabídce vyberte tři tečky ... a pak vyberte Zobrazit soubor pracovního postupu.

   

6. Ve webovém editoru GitHubu vyberte Upravit.

7. Změňte on: push podle výše uvedeného příkladu.

8. Potvrďte provedené změny.

Další kroky

• Informace o konfiguraci událostí, které aktivují pracovní postupy