Sdílet prostřednictvím

Připojení k Azure pomocí připojení služby Azure Resource Manager

  • Článek

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Připojení služby Azure Resource Manager můžete použít k připojení k prostředkům Azure, jako je Azure Key Vault. Pokud používáte připojení služby Resource Manager, můžete kanál použít k nasazení do prostředku Azure, jako je aplikace služby Aplikace Azure Service, aniž byste museli pokaždé ověřovat.

Máte více možností ověřování pro připojení k Azure pomocí připojení služby Azure Resource Manager:

  • Instanční objekt s federací identit úloh
  • Instanční objekt s tajným kódem
  • Spravovaná identita přiřazená systémem
  • Veřejný profil

Připojení služby používá k ověřování pomocí prostředků Azure instanční objekt.

Vytvoření připojení služby Azure Resource Manager, které používá federaci identit úloh

Federace identit úloh používá OpenID Connect (OIDC) k ověřování s prostředky chráněnými microsoftem Entra bez použití tajných kódů. Pro ověřování můžete automaticky vytvořit federaci identit úloh nebo ji můžete vytvořit ručně.

Tento přístup doporučujeme použít, pokud jsou ve vašem scénáři splněné všechny následující položky:

  • Máte roli Vlastník vašeho předplatného Azure.
  • Nepřipojíte se ke službě Azure Stack ani k prostředím Azure US Government .
  • Všechny úlohy rozšíření z Marketplace, které používáte, se aktualizují, aby podporovaly federaci identit úloh.

Vytvoření připojení služby k federaci identit úloh (automatické)

Díky tomuto výběru se Azure DevOps automaticky dotazuje na předplatné, skupinu pro správu nebo pracovní prostor Machine Learning, ke kterému se chcete připojit, a vytvoří federaci identit úloh pro ověřování.

  1. V projektu Azure DevOps přejděte na připojení služby Project Settings>Service.

    Další informace najdete v tématu Otevření nastavení projektu.

  2. Vyberte Nové připojení služby a pak vyberte Azure Resource Manager a Další.

    Snímek obrazovky znázorňující volbu výběru Azure Resource Manageru

  3. Vyberte Federaci identit úloh (automatická) a Další.

    Snímek obrazovky s výběrem metody ověřování federace identit úloh (automatické)

  4. Vyberte úroveň oboru. Vyberte předplatné, skupinu pro správu nebo pracovní prostor Machine Learning. Skupiny pro správu jsou kontejnery, které pomáhají spravovat přístup, zásady a dodržování předpisů napříč několika předplatnými. Pracovní prostor Machine Learning je místo pro vytváření artefaktů strojového učení.

    • Do oboru předplatného zadejte následující parametry:

      Parametr Popis
      Předplatné Povinný: Vyberte předplatné Azure.
      Skupina prostředků Povinný: Zadejte název předplatného Azure.

    • V oboru skupiny pro správu vyberte skupinu pro správu Azure.

    • Jako obor pracovního prostoru machine learningu zadejte následující parametry:

      Parametr Popis
      Předplatné Povinný: Vyberte předplatné Azure.
      Skupina prostředků Povinný: Vyberte skupinu prostředků obsahující pracovní prostor.
      Pracovní prostor Machine Learning Povinný: Vyberte pracovní prostor Azure Machine Learning.

  5. Zadejte název připojení služby.

  6. Volitelně můžete zadat popis připojení služby.

  7. Výběrem možnosti Udělit oprávnění pro přístup ke všem kanálům povolte používání tohoto připojení služby všem kanálům. Pokud tuto možnost nevyberete, musíte ručně udělit přístup ke každému kanálu, který používá toto připojení služby.

  8. Zvolte Uložit.

Po vytvoření nového připojení služby zkopírujte název připojení a vložte ho do kódu jako hodnotu pro azureSubscription.

K nasazení do konkrétního prostředku Azure potřebuje úloha více dat o daném prostředku. Přejděte k prostředku na webu Azure Portal a zkopírujte data do kódu. Pokud chcete například nasadit webovou aplikaci, zkopírujte název aplikace Aplikace Azure Service a vložte ji do kódu jako hodnotu .WebAppName

Vytvoření připojení služby s federací identit úloh (ruční)

Pomocí této možnosti můžete ručně vytvořit připojení služby, které k ověřování používá existující federaci identit úloh.

  1. V projektu Azure DevOps přejděte na připojení služby Project Settings>Service.

    Další informace najdete v tématu Otevření nastavení projektu.

  2. Vyberte Nové připojení služby a pak vyberte Azure Resource Manager a Další.

    Snímek obrazovky s výběrem metody ověřování federace identit úloh (ruční)

  3. Vyberte Federaci identit úloh (ruční) a Další.

    Snímek obrazovky znázorňující výběr typu připojení služby identit úloh

  4. V kroku 1: Základy:

    1. Zadejte název připojení služby.
    2. Volitelně zadejte popis.
    3. Výběrem možnosti Udělit oprávnění pro přístup ke všem kanálům povolte používání tohoto připojení služby všem kanálům. Pokud tuto možnost nevyberete, musíte ručně udělit přístup ke každému kanálu, který používá toto připojení služby.
    4. Vyberte Další.

  5. V kroku 2: Podrobnosti instančního objektu:

    Krok 2: Podrobnosti instančního objektu obsahují následující parametry. Můžete zadat nebo vybrat následující parametry:

    Parametr Popis
    Emitent Povinný: DevOps automaticky vytvoří adresu URL vystavitele.
    Identifikátor subjektu Povinný: DevOps automaticky vytvoří identifikátor subjektu.
    Prostředí Povinný: Zvolte cloudové prostředí, ke kterému se chcete připojit. Pokud vyberete Azure Stack, zadejte adresu URL prostředí, což je něco jako https://management.local.azurestack.external.

    1. Vyberte úroveň oboru. Vyberte předplatné, skupinu pro správu nebo pracovní prostor Machine Learning. Skupiny pro správu jsou kontejnery, které pomáhají spravovat přístup, zásady a dodržování předpisů napříč několika předplatnými. Pracovní prostor Machine Learning je místo pro vytváření artefaktů strojového učení.

      • Do oboru předplatného zadejte následující parametry:

        Parametr Popis
        ID předplatného Povinný: Zadejte ID předplatného Azure.
        Název předplatného Povinný: Zadejte název předplatného Azure.

      • Pro obor skupiny pro správu zadejte následující parametry:

        Parametr Popis
        ID skupiny pro správu Povinný: Zadejte ID skupiny pro správu Azure.
        Název skupiny pro správu Povinný: Zadejte název skupiny pro správu Azure.

      • Jako obor pracovního prostoru machine learningu zadejte následující parametry:

        Parametr Popis
        ID předplatného Povinný: Zadejte ID předplatného Azure.
        Název předplatného Povinný: Zadejte název předplatného Azure.
        Skupina prostředků Povinný: Vyberte skupinu prostředků obsahující pracovní prostor.
        Název pracovního prostoru ML Povinný: Zadejte název existujícího pracovního prostoru Azure Machine Learning.
        Umístění pracovního prostoru ML Povinný: Zadejte umístění existujícího pracovního prostoru Služby Azure Machine Learning.

    2. V části Ověřování zadejte nebo vyberte následující parametry:

      Parametr Popis
      ID instančního objektu Povinný: Zadejte ID instančního objektu.
      ID tenanta Povinný: Zadejte ID klienta.

    3. V části Podrobnosti zadejte následující parametry:

      Parametr Popis
      Název připojení Povinný: Název, který použijete pro odkaz na toto připojení služby ve vlastnostech úlohy. Nejedná se o název vašeho předplatného Azure.
      Popis Nepovinné. Zadejte popis připojení služby.

    4. V části Zabezpečení vyberte Udělit přístupové oprávnění všem kanálům, aby bylo možné používat toto připojení ke službě všem kanálům. Pokud tuto možnost nevyberete, musíte ručně udělit přístup ke každému kanálu, který používá toto připojení služby.

    5. Vyberte Ověřit a uložit , abyste ověřili a vytvořili připojení služby.

Po vytvoření nového připojení služby zkopírujte název připojení a vložte ho do kódu jako hodnotu pro azureSubscription.

K nasazení do konkrétního prostředku Azure potřebuje úloha více dat o daném prostředku. Přejděte k prostředku na webu Azure Portal a zkopírujte data do kódu. Pokud chcete například nasadit webovou aplikaci, zkopírujte název aplikace Aplikace Azure Service a vložte ji do kódu jako hodnotu .WebAppName

Převod existujícího připojení služby Azure Resource Manager na použití federace identit úloh

Existující připojení služby Azure Resource Manager můžete rychle převést tak, aby místo instančního objektu používalo federaci identit úloh. Nástroj pro převod připojení služby v Azure DevOps můžete použít, pokud vaše připojení služby splňuje tyto požadavky:

  • Azure DevOps původně vytvořilo připojení služby. Pokud ručně vytvoříte připojení služby, nemůžete připojení služby převést pomocí nástroje pro převod připojení služby, protože Azure DevOps nemá oprávnění ke změně vlastních přihlašovacích údajů.
  • Připojení služby používá pouze jeden projekt. Připojení mezi projektové služby se nedají převést.

Převod připojení služby:

  1. V projektu Azure DevOps přejděte na připojení služby Project Settings>Service.

    Další informace najdete v tématu Otevření nastavení projektu.

  2. Vyberte připojení služby, které chcete převést na použití identity úlohy.

  3. Vyberte Převést.

    Snímek obrazovky znázorňující výběr možnosti Převést pro federované přihlašovací údaje

    Pokud máte existující přihlašovací údaje instančního objektu s tajným kódem, jehož platnost vypršela, zobrazí se jiná možnost převodu.

    Snímek obrazovky znázorňující možnost převodu na používání federovaných přihlašovacích údajů, pokud máte certifikát s vypršenou platností

  4. Opětovným výběrem možnosti Převést potvrďte, že chcete vytvořit nové připojení služby.

    Převod může trvat několik minut. Pokud chcete připojení vrátit zpět, musíte ho vrátit do sedmi dnů.

Převod několika připojení služby Azure Resource Manager pomocí skriptu

Pomocí skriptu můžete aktualizovat více připojení služeb najednou, aby teď pro ověřování používala federaci identit úloh.

Tento ukázkový skript PowerShellu vyžaduje dva parametry: organizace Azure DevOps (příklad: https://dev.azure.com/fabrikam-tailspin) a projekt Azure DevOps (příklad: Space game web agent). Skript pak načte přidružená připojení služeb pro váš projekt a organizaci Azure DevOps.

Při převodu připojení služeb na použití federace identit úloh se zobrazí výzva k potvrzení aktualizace pro každé připojení, které ho ještě nepoužívá. Po potvrzení skript aktualizuje tato připojení služby prostřednictvím rozhraní REST API Azure DevOps, aby využíval federaci identit úloh.

Skript vyžaduje ke spuštění PowerShellu 7.3 nebo novějšího a Azure CLI . Uložte skript do .ps1 souboru a spusťte ho pomocí PowerShellu 7.

#!/usr/bin/env pwsh
<# 
.SYNOPSIS 
    Convert multiple Azure Resource Manager service connection(s) to use Workload identity federation

.LINK
    https://aka.ms/azdo-rm-workload-identity-conversion

.EXAMPLE
    ./convert_azurerm_service_connection_to_oidc_simple.ps1 -Project <project> -OrganizationUrl https://dev.azure.com/<organization>
#> 

#Requires -Version 7.3

param ( 
    [parameter(Mandatory=$true,HelpMessage="Name of the Azure DevOps Project")]
    [string]
    [ValidateNotNullOrEmpty()]
    $Project,

    [parameter(Mandatory=$true,HelpMessage="Url of the Azure DevOps Organization")]
    [uri]
    [ValidateNotNullOrEmpty()]
    $OrganizationUrl
) 
$apiVersion = "7.1"
$PSNativeCommandArgumentPassing = "Standard" 

#-----------------------------------------------------------
# Log in to Azure
$azdoResource = "499b84ac-1321-427f-aa17-267ca6975798" # application id of Azure DevOps 
az login --allow-no-subscriptions --scope ${azdoResource}/.default
$OrganizationUrl = $OrganizationUrl.ToString().Trim('/')

#-----------------------------------------------------------
# Retrieve the service connection
$getApiUrl = "${OrganizationUrl}/${Project}/_apis/serviceendpoint/endpoints?authSchemes=ServicePrincipal&type=azurerm&includeFailed=false&includeDetails=true&api-version=${apiVersion}"
az rest --resource $azdoResource -u "${getApiUrl} " -m GET --query "sort_by(value[?authorization.scheme=='ServicePrincipal' && data.creationMode=='Automatic' && !(isShared && serviceEndpointProjectReferences[0].projectReference.name!='${Project}')],&name)" -o json `
        | Tee-Object -Variable rawResponse | ConvertFrom-Json | Tee-Object -Variable serviceEndpoints | Format-List | Out-String | Write-Debug
if (!$serviceEndpoints -or ($serviceEndpoints.count-eq 0)) {
    Write-Warning "No convertible service connections found"
    exit 1
}

foreach ($serviceEndpoint in $serviceEndpoints) {
    # Prompt user to confirm conversion
    $choices = @(
        [System.Management.Automation.Host.ChoiceDescription]::new("&Convert", "Converting service connection '$($serviceEndpoint.name)'...")
        [System.Management.Automation.Host.ChoiceDescription]::new("&Skip", "Skipping service connection '$($serviceEndpoint.name)'...")
        [System.Management.Automation.Host.ChoiceDescription]::new("&Exit", "Exit script")
    )
    $prompt = $serviceEndpoint.isShared ? "Convert shared service connection '$($serviceEndpoint.name)'?" : "Convert service connection '$($serviceEndpoint.name)'?"
    $decision = $Host.UI.PromptForChoice([string]::Empty, $prompt, $choices, $serviceEndpoint.isShared ? 1 : 0)

    if ($decision -eq 0) {

        Write-Host "$($choices[$decision].HelpMessage)"
    } elseif ($decision -eq 1) {
        Write-Host "$($PSStyle.Formatting.Warning)$($choices[$decision].HelpMessage)$($PSStyle.Reset)"
        continue 
    } elseif ($decision -ge 2) {
        Write-Host "$($PSStyle.Formatting.Warning)$($choices[$decision].HelpMessage)$($PSStyle.Reset)"
        exit 
    }

    # Prepare request body
    $serviceEndpoint.authorization.scheme = "WorkloadIdentityFederation"
    $serviceEndpoint.data.PSObject.Properties.Remove('revertSchemeDeadline')
    $serviceEndpoint | ConvertTo-Json -Depth 4 | Write-Debug
    $serviceEndpoint | ConvertTo-Json -Depth 4 -Compress | Set-Variable serviceEndpointRequest
    $putApiUrl = "${OrganizationUrl}/${Project}/_apis/serviceendpoint/endpoints/$($serviceEndpoint.id)?operation=ConvertAuthenticationScheme&api-version=${apiVersion}"
    # Convert service connection
    az rest -u "${putApiUrl} " -m PUT -b $serviceEndpointRequest --headers content-type=application/json --resource $azdoResource -o json `
            | ConvertFrom-Json | Set-Variable updatedServiceEndpoint

    $updatedServiceEndpoint | ConvertTo-Json -Depth 4 | Write-Debug
    if (!$updatedServiceEndpoint) {
        Write-Debug "Empty response"
        Write-Error "Failed to convert service connection '$($serviceEndpoint.name)'"
        exit 1
    }
    Write-Host "Successfully converted service connection '$($serviceEndpoint.name)'"
}

Vrácení existujícího připojení služby Azure Resource Manager, které používá tajný klíč instančního objektu

Převedené automatické připojení služby můžete vrátit se svým tajným kódem sedm dní. Po sedmi dnech ručně vytvořte nový tajný klíč.

Pokud připojení služby vytvoříte a převedete ručně, nemůžete připojení služby vrátit zpět pomocí nástroje pro převod připojení služby, protože Azure DevOps nemá oprávnění ke změně vlastních přihlašovacích údajů.

Vrácení připojení ke službě:

  1. V projektu Azure DevOps přejděte na připojení služby Pipelines>Service.

  2. Vyberte existující připojení služby, které se má vrátit.

  3. Vyberte Vrátit převod na původní schéma.

    Snímek obrazovky znázorňující výběr možnosti vrácení federovaných přihlašovacích údajů

  4. Výběrem možnosti Zpět potvrďte svoji volbu.

Vytvoření připojení služby Azure Resource Manager, které používá tajný klíč instančního objektu

Pomocí tajného klíče instančního objektu můžete nastavit připojení služby k ověřování pomocí prostředků Azure. Tento přístup je užitečný, když potřebujete další omezení oprávnění pro prostředky Azure, ke kterým uživatelé přistupují prostřednictvím připojení služby.

Připojení ke službě můžete nakonfigurovat ručně nebo automaticky. Osvědčeným postupem je použít automatický přístup, pokud jste se přihlásili jako vlastník organizace Azure Pipelines a předplatného Azure a nepotřebujete další omezení oprávnění pro prostředky Azure, ke kterým uživatelé přistupují prostřednictvím připojení služby.

Tento přístup doporučujeme použít, pokud jsou ve vašem scénáři splněné všechny následující položky:

  • Jste přihlášení jako vlastník organizace Azure Pipelines a předplatné Azure.
  • Pro prostředky Azure, ke kterým uživatelé přistupují prostřednictvím připojení služby, nemusíte dál omezovat oprávnění.
  • Nepřipojujete se ke službě Azure Stack ani ke cloudu Azure Government.
  • Nepřipojujete se z Azure DevOps Serveru 2019 nebo starších verzí Team Foundation Serveru.

Vytvoření připojení služby:

  1. V projektu Azure DevOps přejděte na připojení služby Project Settings>Service.

    Další informace najdete v tématu Otevření nastavení projektu.

  2. Vyberte Nové připojení služby a pak vyberte Azure Resource Manager a Další.

    Snímek obrazovky znázorňující výběr Azure Resource Manageru

  3. Vyberte Instanční objekt (automatický) a Další.

    Snímek obrazovky znázorňující výběr metody ověřování instančního objektu (automatického)

  4. Vyberte úroveň oboru. Vyberte předplatné, skupinu pro správu nebo pracovní prostor Machine Learning. Skupiny pro správu jsou kontejnery, které pomáhají spravovat přístup, zásady a dodržování předpisů napříč několika předplatnými. Pracovní prostor Machine Learning je místo pro vytváření artefaktů strojového učení.

    • Do oboru předplatného zadejte následující parametry:

      Parametr Popis
      ID předplatného Povinný: Zadejte ID předplatného Azure.
      Název předplatného Povinný: Zadejte název předplatného Azure.

    • V oboru skupiny pro správu zadejte následující parametry a vyberte skupinu pro správu Azure.

    • Jako obor pracovního prostoru machine learningu zadejte následující parametry:

      Parametr Popis
      ID předplatného Povinný: Zadejte ID předplatného Azure.
      Název předplatného Povinný: Zadejte název předplatného Azure.
      Skupina prostředků Povinný: Vyberte skupinu prostředků obsahující pracovní prostor.
      Název pracovního prostoru ML Povinný: Zadejte název existujícího pracovního prostoru Azure Machine Learning.
      Umístění pracovního prostoru ML Povinný: Zadejte umístění existujícího pracovního prostoru Služby Azure Machine Learning.

  5. Zadejte název připojení služby.

  6. Volitelně můžete zadat popis připojení služby.

  7. Výběrem možnosti Udělit oprávnění pro přístup ke všem kanálům povolte používání tohoto připojení služby všem kanálům. Pokud tuto možnost nevyberete, musíte ručně udělit přístup ke každému kanálu, který používá toto připojení služby.

  8. Zvolte Uložit.

Po vytvoření nového připojení služby:

  • Pokud používáte klasický editor, vyberte název připojení, který jste přiřadili v nastavení předplatného Azure kanálu.
  • Pokud používáte soubor YAML, zkopírujte název připojení do kódu jako hodnotu pro azureSubscription.

Pokud chcete provést nasazení do konkrétního prostředku Azure, přidejte do úkolu další informace o prostředku:

  • Pokud používáte klasický editor, vyberte data, která chcete přidat k úloze. Vyberte například název služby App Service.
  • Pokud používáte soubor YAML, přejděte k prostředku na webu Azure Portal. Zkopírujte potřebná data a vložte je do kódu úkolu. Pokud chcete například nasadit webovou aplikaci, zkopírujte název aplikace App Service a vložte ji jako hodnotu úlohy WebAppName YAML.

Poznámka:

Když použijete tento přístup, Azure DevOps se připojí k Microsoft Entra ID a vytvoří registraci aplikace s tajným kódem platným po dobu tří měsíců. Po vypršení platnosti připojení ke službě se zobrazí id Microsoft Entra s touto výzvou: Brzy vyprší platnost certifikátu nebo tajného klíče. Vytvořte nový. V tomto scénáři musíte aktualizovat připojení služby.

Pokud chcete aktualizovat připojení služby, na portálu Azure DevOps upravte připojení a pak vyberte Ověřit. Po uložení úpravy je připojení služby platné po dobu dalších tří měsíců.

Místo vytváření tajného kódu doporučujeme používat federaci identit úloh. Pokud používáte federaci identit úloh, nemusíte obměňovat tajné kódy a registrace aplikací udržuje zamýšlený účel. Pokud chcete začít používat federaci identit úloh, přejděte na stránku podrobností připojení služby a vyberte Převést. Připojení služby se převede tak, aby místo tajného kódu používalo federaci identit úloh. Další informace najdete v tématu Převod existujícího připojení služby Azure Resource Manager na použití federace identit úloh.

Další informace najdete v tématu Řešení potíží s připojením ke službě Azure Resource Manager.

Pokud máte potíže s používáním tohoto přístupu (například žádná předplatná zobrazená v rozevíracím seznamu) nebo pokud chcete omezit uživatelská oprávnění, můžete místo toho použít instanční objekt nebo virtuální počítač se spravovanou identitou.

Vytvoření připojení služby Azure Resource Manager, které používá existující instanční objekt

Pokud chcete použít předdefinovanou sadu přístupových oprávnění a pro tento účel ještě nemáte definovaný instanční objekt, vytvořte pomocí jednoho z těchto kurzů nový instanční objekt:

Vytvoření připojení služby, které používá existující instanční objekt:

  1. V projektu Azure DevOps přejděte na připojení služby Project Settings>Service.

    Další informace najdete v tématu Otevření nastavení projektu.

  2. Vyberte Nové připojení služby a pak vyberte Azure Resource Manager a Další.

    Snímek obrazovky znázorňující výběr Azure Resource Manageru

  3. Vyberte Instanční objekt (ruční) a Další.

    Snímek obrazovky znázorňující výběr metody ověřování instančního objektu (ruční)

  4. V dialogovém okně Připojení k nové službě Azure vyberte prostředí. Pokud vyberete Azure Stack, zadejte adresu URL prostředí, což je něco jako https://management.local.azurestack.external.

  5. Vyberte úroveň oboru. Vyberte předplatné, skupinu pro správu nebo pracovní prostor Machine Learning. Skupiny pro správu jsou kontejnery, které pomáhají spravovat přístup, zásady a dodržování předpisů napříč několika předplatnými. Pracovní prostor Machine Learning je místo pro vytváření artefaktů strojového učení.

    • Do oboru předplatného zadejte následující parametry:

      Parametr Popis
      ID předplatného Povinný: Zadejte ID předplatného Azure.
      Název předplatného Povinný: Zadejte název předplatného Azure.

    • Pro obor skupiny pro správu zadejte následující parametry:

      Parametr Popis
      ID skupiny pro správu Povinný: Zadejte ID skupiny pro správu Azure.
      Název skupiny pro správu Povinný: Zadejte název skupiny pro správu Azure.

    • Jako obor pracovního prostoru machine learningu zadejte následující parametry:

      Parametr Popis
      ID předplatného Povinný: Zadejte ID předplatného Azure.
      Název předplatného Povinný: Zadejte název předplatného Azure.
      Skupina prostředků Povinný: Vyberte skupinu prostředků obsahující pracovní prostor.
      Název pracovního prostoru ML Povinný: Zadejte název existujícího pracovního prostoru Azure Machine Learning.
      Umístění pracovního prostoru ML Povinný: Zadejte umístění existujícího pracovního prostoru Služby Azure Machine Learning.

  6. V části Ověřování zadejte nebo vyberte následující parametry:

    Parametr Popis
    ID instančního objektu Povinný: Zadejte ID instančního objektu.
    Pověření Vyberte klíč instančního objektu nebo certifikát. Pokud jste vybrali instanční klíč, zadejte klíč (heslo). Pokud jste vybrali Certifikát, zadejte certifikát.
    ID tenanta Povinný: Zadejte ID klienta.
    Ověřit Výběrem ověřte zadaná nastavení.

  7. V části Podrobnosti zadejte následující parametry:

    Parametr Popis
    Název připojení Povinný: Název, který použijete pro odkaz na toto připojení služby ve vlastnostech úlohy. Nejedná se o název vašeho předplatného Azure.
    Popis Nepovinné. Zadejte popis připojení služby.
    Zabezpečení Výběrem možnosti Udělit oprávnění pro přístup ke všem kanálům povolte používání tohoto připojení služby všem kanálům. Pokud tuto možnost nevyberete, musíte ručně udělit přístup ke každému kanálu, který používá toto připojení služby.

  8. Vyberte Ověřit a uložit , abyste ověřili a vytvořili připojení služby.

Po vytvoření nového připojení služby:

  • Pokud používáte připojení služby v uživatelském rozhraní, vyberte název připojení, který jste přiřadili v nastavení předplatného Azure vašeho kanálu.
  • Pokud používáte připojení služby v souboru YAML, zkopírujte název připojení a vložte ho do kódu jako hodnotu pro azureSubscription.

V případě potřeby upravte instanční objekt tak, aby zpřístupnil příslušná oprávnění.

Další informace o ověřování pomocí instančního objektu najdete v tématu Použití řízení přístupu na základě role ke správě přístupu k prostředkům předplatného Azure nebo blogový příspěvek Automatizace nasazení skupiny prostředků Azure pomocí instančního objektu v sadě Visual Studio.

Další informace najdete v tématu Řešení potíží s připojeními služeb Azure Resource Manageru.

Vytvoření připojení služby Azure Resource Manager k virtuálnímu počítači, který používá spravovanou identitu

Poznámka:

Pokud chcete použít spravovanou identitu k ověření, musíte na virtuálním počítači Azure použít agenta v místním prostředí.

Agenty v místním prostředí můžete na virtuálních počítačích Azure nakonfigurovat tak, aby používali spravovanou identitu Azure v Microsoft Entra ID. V tomto scénáři použijete spravovanou identitu přiřazenou systémem (instanční objekt) k udělení přístupu agentů k libovolnému prostředku Azure, který podporuje ID Microsoft Entra, jako je instance služby Azure Key Vault.

  1. V projektu Azure DevOps přejděte na připojení služby Project Settings>Service.

    Další informace najdete v tématu Otevření nastavení projektu.

  2. Vyberte Nové připojení služby a pak vyberte Azure Resource Manager a Další.

    Snímek obrazovky znázorňující výběr typu připojení služby

  3. Vyberte spravovanou identitu pro metodu ověřování.

    Snímek obrazovky znázorňující výběr metody ověřování identity spravované služby

  4. V části Prostředí vyberte název prostředí (možnosti cloudu Azure, Azure Stacku nebo cloudu pro státní správu).

  5. Vyberte úroveň oboru. Vyberte předplatné, skupinu pro správu nebo pracovní prostor Machine Learning. Skupiny pro správu jsou kontejnery, které pomáhají spravovat přístup, zásady a dodržování předpisů napříč několika předplatnými. Pracovní prostor Machine Learning je místo pro vytváření artefaktů strojového učení.

    • Do oboru předplatného zadejte následující parametry:

      Parametr Popis
      ID předplatného Povinný: Zadejte ID předplatného Azure.
      Název předplatného Povinný: Zadejte název předplatného Azure.

    • Pro obor skupiny pro správu zadejte následující parametry:

      Parametr Popis
      ID skupiny pro správu Povinný: Zadejte ID skupiny pro správu Azure.
      Název skupiny pro správu Povinný: Zadejte název skupiny pro správu Azure.

    • Jako obor pracovního prostoru machine learningu zadejte následující parametry:

      Parametr Popis
      ID předplatného Povinný: Zadejte ID předplatného Azure.
      Název předplatného Povinný: Zadejte název předplatného Azure.
      Skupina prostředků Povinný: Vyberte skupinu prostředků obsahující pracovní prostor.
      Název pracovního prostoru ML Povinný: Zadejte název existujícího pracovního prostoru Azure Machine Learning.
      Umístění pracovního prostoru ML Povinný: Zadejte umístění existujícího pracovního prostoru Služby Azure Machine Learning.

  6. Zadejte ID tenanta.

  7. Zadejte název připojení služby.

  8. Volitelně můžete zadat popis připojení služby.

  9. Výběrem možnosti Udělit oprávnění pro přístup ke všem kanálům povolte používání tohoto připojení služby všem kanálům. Pokud tuto možnost nevyberete, musíte ručně udělit přístup ke každému kanálu, který používá toto připojení služby.

  10. Zvolte Uložit.

  11. Po vytvoření nového připojení služby:

    • Pokud používáte připojení služby v uživatelském rozhraní, vyberte název připojení, který jste přiřadili v nastavení předplatného Azure vašeho kanálu.
    • Pokud používáte připojení služby v souboru YAML, zkopírujte název připojení do kódu jako hodnotu pro azureSubscription.

  12. Ujistěte se, že má virtuální počítač (agent) příslušná oprávnění.

    Pokud například váš kód potřebuje volat Azure Resource Manager, přiřaďte virtuálnímu počítači příslušnou roli pomocí řízení přístupu na základě role (RBAC) v Microsoft Entra ID.

    Další informace najdete v tématu Jak můžu používat spravované identity pro prostředky Azure? A řízení přístupu na základě role slouží ke správě přístupu k prostředkům předplatného Azure.

Další informace o procesu najdete v tématu Řešení potíží s připojeními služeb Azure Resource Manageru.

Vytvoření připojení služby pomocí profilu publikování

Připojení služby můžete vytvořit pomocí profilu publikování. Profil publikování můžete použít k vytvoření připojení služby ke službě Aplikace Azure Service.

  1. V projektu Azure DevOps přejděte na připojení služby Project Settings>Service.

    Další informace najdete v tématu Otevření nastavení projektu.

  2. Vyberte Nové připojení služby a pak vyberte Azure Resource Manager a Další.

    Snímek obrazovky s výběrem Azure Resource Manageru

  3. Vyberte Publikovat profil pro metodu ověřování a vyberte Další.

    Snímek obrazovky s výběrem možnosti Publikovat metodu ověřování profilu

  4. Zadejte následující parametry:

    Parametr Popis
    Předplatné Povinný: Vyberte existující předplatné Azure. Pokud se nezobrazí žádná předplatná Nebo instance Azure, přečtěte si téma Řešení potíží s připojeními služeb Azure Resource Manageru.
    WebApp Povinný: Zadejte název aplikace Aplikace Azure Service.
    Název připojení služby Povinný: Název, který použijete pro odkaz na toto připojení služby ve vlastnostech úlohy. Nejedná se o název vašeho předplatného Azure.
    Popis Nepovinné. Popis připojení služby.

  5. Výběrem možnosti Udělit oprávnění pro přístup ke všem kanálům povolte používání tohoto připojení služby všem kanálům. Pokud tuto možnost nevyberete, musíte ručně udělit přístup ke každému kanálu, který používá toto připojení služby.

  6. Zvolte Uložit.

Po vytvoření nového připojení služby:

  • Pokud používáte připojení služby v uživatelském rozhraní, vyberte název připojení, který jste přiřadili v nastavení předplatného Azure vašeho kanálu.
  • Pokud používáte připojení služby v souboru YAML, zkopírujte název připojení a vložte ho do kódu jako hodnotu pro azureSubscription.

Připojení ke cloudu Azure Government

Informace o připojení ke cloudu Azure Government najdete v tématu Připojení z Azure Pipelines (Cloud Azure Government).

Připojení ke službě Azure Stack

Informace o připojení ke službě Azure Stack najdete v těchto článcích:

Nápověda a podpora