Řešení potíží s připojením ke službě ARM

  • Článek

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Tento článek představuje běžné scénáře řešení potíží, které vám pomůžou vyřešit problémy, se kterými se můžete setkat při vytváření připojení služby Azure Resource Manager. Informace o vytváření, úpravách a zabezpečení připojení služeb najdete v tématu Správa připojení služeb.

Co se stane při vytváření připojení služby ARM?

Pokud nemáte připojení ke službě, můžete ho vytvořit následujícím způsobem:

  1. V projektu vyberte Nastavení projektu a pak vyberte Připojení služeb.

    Snímek obrazovky znázorňující přístup k připojením ke službám z nastavení projektu

  2. Pokud chcete přidat nové připojení služby, vyberte Nové připojení služby a pak vyberte Azure Resource Manager. Až budete hotovi, vyberte Další .

    Snímek obrazovky znázorňující typy připojení služby

  3. Vyberte instanční objekt (automatický) a pak vyberte **Další.

  4. V rozevíracím seznamu vyberte Předplatné a pak vyberte své předplatné. Vyplňte formulář a po dokončení vyberte Uložit .

    Snímek obrazovky znázorňující nový formulář připojení služby ARM

Když nové připojení služby ARM uložíte, Azure DevOps pak:

  1. Připojení do tenanta Microsoft Entra pro vybrané předplatné.
  2. Vytvoří jménem uživatele aplikaci v Microsoft Entra ID.
  3. Po úspěšném vytvoření aplikace ji přiřadí k vybranému předplatnému jako přispěvatele.
  4. S použitím podrobností o této aplikaci vytvoří připojení služby Azure Resource Manager.

Poznámka:

Pokud chcete vytvořit připojení služby, musíte být přidáni do skupiny Endpoint Creator v nastavení projektu: Zabezpečení připojení>služby projectu.> Přispěvatelé se do této skupiny ve výchozím nastavení přidají.

Scénáře řešení potíží

Tady jsou některé problémy, ke kterým může dojít při vytváření připojení služeb:

Nedostatečná oprávnění k dokončení operace

K tomu obvykle dochází, když se systém pokusí vytvořit aplikaci v Microsoft Entra ID vaším jménem.

Jedná se o problém s oprávněními, který může být způsoben následujícími příčinami:

Uživatel má v adresáři pouze oprávnění hosta.

Nejlepším přístupem k vyřešení tohoto problému a udělením pouze minimálních dalších oprávnění uživateli je zvýšit oprávnění uživatele typu host následujícím způsobem.

  1. Přihlaste se k webu Azure Portal pomocí účtu správce. Účet by měl být vlastník, globální správce nebo správce uživatelských účtů.

  2. V levém navigačním panelu vyberte MICROSOFT Entra ID .

  3. Ujistěte se, že upravujete příslušný adresář odpovídající předplatnému uživatele. Pokud ne, vyberte Přepínač adresáře a v případě potřeby se přihlaste pomocí příslušných přihlašovacích údajů.

  4. V části Spravovat vyberte Uživatele.

  5. Vyberte Nastavení uživatele.

  6. V části Externí uživatelé vyberte Spravovat nastavení externí spolupráce.

  7. Změna oprávnění uživatele typu host je omezená na ne.

Pokud jste také připraveni udělit uživateli další oprávnění (úroveň správce), můžete uživatele nastavit jako člena role globálního správce . Postupujte podle následujících kroků:

Upozorňující

Uživatelé, kteří jsou přiřazeni k roli globálního správce, mohou číst a upravovat všechna nastavení správy ve vaší organizaci Microsoft Entra. Osvědčeným postupem je přiřadit tuto roli méně než pěti lidem ve vaší organizaci.

  1. Přihlaste se k webu Azure Portal pomocí účtu správce. Účet by měl být vlastník, globální správce nebo správce uživatelských účtů.

  2. V levém navigačním podokně vyberte Microsoft Entra ID.

  3. Ujistěte se, že upravujete příslušný adresář odpovídající předplatnému uživatele. Pokud ne, vyberte Přepínač adresáře a v případě potřeby se přihlaste pomocí příslušných přihlašovacích údajů.

  4. V části Spravovat vyberte Uživatele.

  5. Pomocí vyhledávacího pole vyhledejte uživatele, kterého chcete spravovat.

  6. V části Spravovat vyberte roli Adresář a pak ji změňte na globálního správce. Po dokončení vyberte Uložit .

Použití změn obvykle trvá 15 až 20 minut. Uživatel pak může zkusit znovu vytvořit připojení služby.

Uživatel nemá oprávnění přidávat aplikace do adresáře.

Musíte mít oprávnění k přidání integrovaných aplikací do adresáře. Správce adresáře má oprávnění ke změně tohoto nastavení.

  1. V levém navigačním podokně vyberte ID Microsoft Entra.

  2. Ujistěte se, že upravujete příslušný adresář odpovídající předplatnému uživatele. Pokud ne, vyberte Přepínač adresáře a v případě potřeby se přihlaste pomocí příslušných přihlašovacích údajů.

  3. Vyberte Uživatelé a pak vyberte Uživatelská nastavení.

  4. V části Registrace aplikací a potom změňte možnost Uživatelé mohou registrovat aplikace na Ano.

Instanční objekt můžete vytvořit také s existujícím uživatelem, který už má požadovaná oprávnění v MICROSOFT Entra ID. Další informace najdete v tématu Vytvoření připojení služby Azure Resource Manager k existujícímu instančnímu objektu .

Nepodařilo se získat přístupový token nebo nebyl nalezen platný obnovovací token.

K těmto chybám obvykle dochází, když vypršela platnost relace. Řešení těchto problémů:

  1. Odhlaste se z Azure DevOps.
  2. Otevřete okno prohlížeče InPrivate nebo anonymní okno prohlížeče a přejděte na Azure DevOps.
  3. Přihlaste se pomocí příslušných přihlašovacích údajů.
  4. Vyberte svoji organizaci a projekt.
  5. Vytvořte připojení ke službě.

Přiřazení role Přispěvatel se nezdařilo.

K této chybě obvykle dochází v případě, že nemáte oprávnění k zápisu pro vybrané předplatné Azure.

Pokud chcete tento problém vyřešit, požádejte správce předplatného, aby vám přiřadil příslušnou roli v ID Microsoft Entra.

Předplatné není uvedené při vytváření připojení služby.

V různých rozevíracích nabídkách předplatného Azure (fakturace, připojení služby atd.) je uvedeno maximálně 50 předplatných Azure. Pokud nastavujete připojení služby a máte více než 50 předplatných Azure, některá z vašich předplatných nebudou uvedená. V tomto scénáři proveďte následující kroky:

  1. Vytvořte nového nativního uživatele Microsoft Entra v instanci Microsoft Entra vašeho předplatného Azure.

  2. Nastavte uživatele Microsoft Entra tak, aby měl správná oprávnění k nastavení fakturace nebo vytváření připojení služeb. Další informace najdete v tématu Přidání uživatele, který může nastavit fakturaci pro Azure DevOps.

  3. Přidejte uživatele Microsoft Entra do organizace Azure DevOps s úrovní přístupu účastníka a pak ho přidejte do skupiny kolekce projektů Správa istrators (pro fakturaci) nebo zajistěte, aby měl uživatel v týmovém projektu dostatečná oprávnění k vytváření připojení služeb.

  4. Přihlaste se k Azure DevOps pomocí nových přihlašovacích údajů uživatele a nastavte fakturaci. V seznamu se zobrazí pouze jedno předplatné Azure.

V seznamu předplatných chybí některá předplatná.

Tento problém je možné vyřešit změnou nastavení podporovaných typů účtů a definováním, kdo může vaši aplikaci používat. Chcete-li tak učinit, postupujte podle následujících kroků:

  1. Přihlaste se k portálu Azure.

  2. Pokud máte přístup k více tenantům, pomocí filtru Adresář a předplatné v horní nabídce vyberte tenanta, ve kterém chcete aplikaci zaregistrovat.

    Snímek obrazovky s ikonou adresáře a předplatných na webu Azure Portal

  3. V levém podokně vyberte MICROSOFT Entra ID .

  4. Vyberte Registrace aplikací.

  5. Vyberte aplikaci ze seznamu registrovaných aplikací.

  6. V části Ověřování vyberte Podporované typy účtů.

  7. V části Podporované typy účtů Kdo můžete použít tuto aplikaci nebo získat přístup k tomuto rozhraní API? Vyberte Účty v libovolném adresáři organizace.

    Snímek obrazovky s podporovanými typy účtů

  8. Po dokončení vyberte Uložit .

Platnost tokenu instančního objektu vypršela.

Problém, který často nastává u instančních objektů, které se automaticky vytvoří, je, že platnost tokenu instančního objektu vyprší a je potřeba ho obnovit. Pokud ale máte problém s aktualizací tokenu, podívejte se, jestli se nenašel platný obnovovací token.

Obnovení přístupového tokenu pro automaticky vytvořený instanční objekt:

  1. Přejděte na připojení služby Project Settings>Service a pak vyberte připojení služby, které chcete upravit.

  2. V pravém horním rohu vyberte Upravit a vyberte Ověřit.

  3. Zvolte Uložit.

Token vašeho instančního objektu se teď prodloužil na tři měsíce.

Poznámka:

Tato operace je dostupná i v případě, že nevypršela platnost tokenu instančního objektu.

Získání JWT pomocí ID klienta instančního objektu se nezdařilo.

K tomuto problému dochází, když se pokusíte ověřit připojení služby s prošlým tajným kódem.

Řešení tohoto problému:

  1. Přejděte na připojení služby Project Settings>Service a pak vyberte připojení služby, které chcete upravit.

  2. V pravém horním rohu vyberte Upravit a proveďte jakékoli změny připojení ke službě. Nejjednodušší a doporučenou změnou je přidat popis.

  3. Výběrem možnosti Uložit uložte připojení služby.

    Poznámka:

    Zvolte Uložit. V tomto kroku se nepokoušejte ověřit připojení služby.

  4. Ukončete okno úprav připojení služby a aktualizujte stránku připojení služby.

  5. V pravém horním rohu vyberte Upravit a teď vyberte Ověřit.

  6. Výběrem možnosti Uložit uložte připojení ke službě.

Předplatné Azure se nepředá z předchozího výstupu úlohy.

Když nastavíte předplatné Azure dynamicky pro váš kanál verze a chcete využívat výstupní proměnnou z předchozí úlohy, může dojít k tomuto problému.

Pokud chcete tento problém vyřešit, ujistěte se, že jsou hodnoty definované v oddílu proměnných vašeho kanálu. Tuto proměnnou pak můžete předat mezi úkoly kanálu.

Jaké mechanismy ověřování se podporují? Jak fungují spravované identity?

Připojení služby Azure Resource Manager se může připojit k předplatnému Azure pomocí ověřování instančního objektu (SPA) nebo ověřování spravované identity. Spravované identity pro prostředky Azure poskytují službám Azure automaticky spravovanou identitu v Microsoft Entra ID. Tuto identitu můžete použít k ověření ve všech službách, které podporují ověřování Microsoft Entra bez zachování přihlašovacích údajů v kódu nebo připojení služby.

Další informace o spravovaných identitách pro virtuální počítače najdete v tématu Přiřazení rolí.

Poznámka:

Spravované identity se nepodporují v agentech hostovaných Microsoftem. V tomto scénáři musíte nastavit agenta v místním prostředí na virtuálním počítači Azure a nakonfigurovat spravovanou identitu pro tento virtuální počítač.