Řešení potíží s připojeními služby Azure Resource Manager

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Tento článek představuje běžné scénáře řešení potíží, které vám pomůžou vyřešit problémy, se kterými se můžete setkat při vytváření připojení služby Azure Resource Manager. Informace o vytváření, úpravách a zabezpečení připojení služeb najdete v tématu Správa připojení služeb.

Co se stane při vytváření připojení služby Azure Resource Manager?

Pokud nemáte připojení ke službě, můžete ho vytvořit následujícím způsobem:

1. V projektu vyberte Nastavení projektu a pak vyberte Připojení služeb.

   

2. Pokud chcete přidat nové připojení služby, vyberte Nové připojení služby a pak vyberte Azure Resource Manager. Až budete hotovi, vyberte Další .

   

3. Jako přihlašovací údaje vyberte registraci aplikace (automatické) a federaci identit úloh.

4. V rozevíracím seznamu vyberte Předplatné a pak vyberte své předplatné. Vyplňte zbytek formuláře a po dokončení vyberte Uložit .

Když uložíte nové připojení služby Azure Resource Manager, Azure DevOps provede následující akce:

1. Připojí se k tenantovi Microsoft Entra pro vybrané předplatné.
2. Vytvoří jménem uživatele aplikaci v Microsoft Entra ID.
3. Přiřadí aplikaci jako přispěvatel k vybranému předplatnému.
4. S použitím podrobností o této aplikaci vytvoří připojení služby Azure Resource Manager.

Poznámka:

Pokud chcete vytvořit připojení služby, přidáte se do skupiny Endpoint Creator v nastavení projektu: Zabezpečení připojení>služby Projectu.> Přispěvatelé se do této skupiny ve výchozím nastavení přidají.

Scénáře řešení potíží

Při vytváření připojení služeb může dojít k následujícím problémům:

• Řešení potíží s připojeními služby Azure Resource Manager
  • Co se stane při vytváření připojení služby Azure Resource Manager?
  • Scénáře řešení potíží
    • Uživatel má v adresáři pouze oprávnění hosta.
    • Uživatel nemá oprávnění přidávat aplikace do adresáře.
    • Nepodařilo se získat přístupový token nebo nebyl nalezen platný obnovovací token.
    • Přiřazení role Přispěvatel se nezdařilo.
    • Předplatné není uvedené při vytváření připojení služby.
    • V seznamu předplatných chybí některá předplatná.
    • Platnost tokenu instančního objektu vypršela.
    • Získání JWT pomocí ID klienta instančního objektu se nezdařilo.
    • Předplatné Azure se nepředá z předchozího výstupu úlohy.
    • Jaké mechanismy ověřování se podporují? Jak fungují spravované identity?
  • Související články

Uživatel má v adresáři pouze oprávnění hosta.

1. Přihlaste se k webu Azure Portal pomocí účtu správce. Účet by měl být vlastníkem nebo správcem uživatelských účtů.

2. V levém navigačním panelu vyberte MICROSOFT Entra ID .

3. Ujistěte se, že upravujete příslušný adresář odpovídající předplatnému uživatele. Pokud ne, vyberte Přepnout adresář a v případě potřeby se přihlaste pomocí příslušných přihlašovacích údajů.

4. V části Spravovat vyberte Uživatele.

5. Vyberte Nastavení uživatele.

6. V části Externí uživatelé vyberte Spravovat nastavení externí spolupráce.

7. Změna oprávnění uživatele typu host je omezená na ne.

Pokud jste také připraveni udělit oprávnění na úrovni správce uživatele, můžete uživatele nastavit jako člena role Správce. Proveďte následující kroky:

Upozorňující

Přiřazení uživatelů k roli globálního správce jim umožňuje číst a upravovat všechna nastavení správy ve vaší organizaci Microsoft Entra. Osvědčeným postupem je přiřadit tuto roli méně než pěti lidem ve vaší organizaci.

1. Přihlaste se k webu Azure Portal pomocí účtu správce. Účet by měl být vlastníkem nebo správcem uživatelských účtů.

2. V levém navigačním podokně vyberte Microsoft Entra ID.

3. Ujistěte se, že upravujete příslušný adresář odpovídající předplatnému uživatele. Pokud ne, vyberte Přepnout adresář a v případě potřeby se přihlaste pomocí příslušných přihlašovacích údajů.

4. V části Spravovat vyberte Uživatele.

5. Pomocí vyhledávacího pole vyhledejte uživatele, kterého chcete spravovat.

6. V části Spravovat vyberte roli Adresář a pak ji změňte. Až budete hotovi, zvolte tlačítko Uložit.

Použití změn obvykle trvá 15 až 20 minut. Uživatel pak může zkusit znovu vytvořit připojení služby.

Uživatel nemá oprávnění přidávat aplikace do adresáře.

Musíte mít oprávnění k přidání integrovaných aplikací do adresáře. Správce adresáře má oprávnění ke změně tohoto nastavení.

1. V levém navigačním podokně vyberte ID Microsoft Entra.

2. Ujistěte se, že upravujete příslušný adresář odpovídající předplatnému uživatele. Pokud ne, vyberte Přepnout adresář a v případě potřeby se přihlaste pomocí příslušných přihlašovacích údajů.

3. Vyberte Uživatelé a pak vyberte Uživatelská nastavení.

4. V části Registrace aplikací a potom změňte možnost Uživatelé mohou registrovat aplikace na Ano.

Instanční objekt můžete vytvořit také s existujícím uživatelem, který už má požadovaná oprávnění v MICROSOFT Entra ID. Další informace najdete v tématu o vytvoření připojení služby Azure Resource Manager pomocí existujícího instančního objektu.

Nepodařilo se získat přístupový token nebo nebyl nalezen platný obnovovací token.

K těmto chybám obvykle dochází při vypršení platnosti relace. Řešení těchto problémů:

1. Odhlaste se z Azure DevOps.
2. Otevřete okno prohlížeče InPrivate nebo anonymní okno prohlížeče a přejděte na Azure DevOps.
3. Přihlaste se pomocí příslušných přihlašovacích údajů.
4. Vyberte svoji organizaci a projekt.
5. Vytvořte připojení ke službě.

Přiřazení role Přispěvatel se nezdařilo.

K této chybě obvykle dochází v případě, že nemáte oprávnění k zápisu pro vybrané předplatné Azure.

Pokud chcete tento problém vyřešit, požádejte správce předplatného, aby vám přiřadil příslušnou roli v ID Microsoft Entra.

Předplatné není uvedené při vytváření připojení služby.

• Maximálně 50 předplatných Azure uvedených v různých rozevíracích nabídkách předplatného Azure (fakturace, připojení služby atd.): Pokud nastavujete připojení služby a máte více než 50 předplatných Azure, některá vaše předplatná nejsou uvedená. V tomto scénáři proveďte následující kroky:

  1. Vytvořte nového nativního uživatele Microsoft Entra v instanci Microsoft Entra vašeho předplatného Azure.
  2. Nastavte uživatele Microsoft Entra tak, aby měl správná oprávnění k nastavení fakturace nebo vytváření připojení služeb. Další informace najdete v tématu Přidání uživatele, který může nastavit fakturaci pro Azure DevOps.
  3. Přidejte uživatele Microsoft Entra do organizace Azure DevOps s úrovní přístupu účastníka a pak ho přidejte do skupiny Správci kolekcí projektů (pro fakturaci) nebo se ujistěte, že má uživatel v týmovém projektu dostatečná oprávnění k vytváření připojení služeb.
  4. Přihlaste se k Azure DevOps pomocí nových přihlašovacích údajů uživatele a nastavte fakturaci. V seznamu se zobrazí jenom jedno předplatné Azure.

• Starý token uživatele uložený v mezipaměti v Azure DevOps Services: Pokud vaše předplatné Azure není uvedené při vytváření připojení služby Azure Resource Manager (ARM), může to být způsobeno starým tokenem uživatele uloženým v mezipaměti ve službě Azure DevOps Services. Tento scénář není okamžitě zřejmý, protože obrazovka se seznamem předplatných Azure nezobrazuje žádné chyby ani zprávy s upozorněním, které značí, že je token uživatele zastaralý. Pokud chcete tento problém vyřešit, proveďte ruční aktualizaci tokenu uživatele uloženého v mezipaměti ve službě Azure DevOps Services pomocí následujícího postupu:

  1. Odhlaste se ze služby Azure DevOps Services a znovu se přihlaste. Tato akce může aktualizovat token uživatele.
  2. Vymažte mezipaměť prohlížeče a soubory cookie, abyste měli jistotu, že se odeberou všechny staré tokeny.
  3. Na portálu Azure DevOps přejděte na připojení služby a znovu proveďte ověření připojení k Azure. Tento krok vyzve Azure DevOps k použití nového tokenu.

V seznamu předplatných chybí některá předplatná.

• Změna nastavení typů účtů podpory: Tento problém je možné opravit změnou nastavení podporovaných typů účtů a definováním, kdo může vaši aplikaci používat. Proveďte následující kroky:

  1. Přihlaste se k portálu Azure.
  2. Pokud máte přístup k více tenantům, pomocí filtru Adresář a předplatné v horní nabídce vyberte tenanta, ve kterém chcete aplikaci zaregistrovat.

  

  3. V levém podokně vyberte MICROSOFT Entra ID .
  4. Vyberte Registrace aplikací.
  5. Ze seznamu registrovaných aplikací vyberte aplikaci.
  6. V části Ověřování vyberte Podporované typy účtů.
  7. V části Podporované typy účtů může tato aplikace nebo přistupovat k tomuto rozhraní API? Vyberte Účty v libovolném adresáři organizace.

  

  8. Až budete hotovi, zvolte tlačítko Uložit.

• Starý token uživatele uložený v mezipaměti v Azure DevOps Services: Pokud vaše předplatné Azure není uvedené při vytváření připojení služby Azure Resource Manager (ARM), může to být způsobeno starým tokenem uživatele uloženým v mezipaměti ve službě Azure DevOps Services. Tento scénář není okamžitě zřejmý, protože obrazovka se seznamem předplatných Azure nezobrazuje žádné chyby ani zprávy s upozorněním, které značí, že je token uživatele zastaralý. Pokud chcete tento problém vyřešit, proveďte ruční aktualizaci tokenu uživatele uloženého v mezipaměti ve službě Azure DevOps Services pomocí následujícího postupu:

  1. Odhlaste se ze služby Azure DevOps Services a znovu se přihlaste. Tato akce může aktualizovat token uživatele.
  2. Vymažte mezipaměť prohlížeče a soubory cookie, abyste měli jistotu, že se odeberou všechny staré tokeny.
  3. Na portálu Azure DevOps přejděte na připojení služby a znovu proveďte ověření připojení k Azure. Tento krok vyzve Azure DevOps k použití nového tokenu.

Platnost tokenu instančního objektu vypršela.

Problém, který často nastává u instančních objektů, které se automaticky vytvoří, je, že platnost tokenu instančního objektu vyprší a je potřeba ho obnovit. Pokud ale máte problém s aktualizací tokenu, podívejte se, jestli se nenašel platný obnovovací token.

Obnovení přístupového tokenu pro automaticky vytvořený instanční objekt:

1. Přejděte na připojení služby Project Settings>Service a pak vyberte připojení služby, které chcete upravit.

2. V pravém horním rohu vyberte Upravit a vyberte Ověřit.

3. Zvolte Uložit.

Token vašeho instančního objektu se teď prodloužil na tři měsíce.

Poznámka:

Tato operace je dostupná i v případě, že nevypršela platnost tokenu instančního objektu.

Získání JWT pomocí ID klienta instančního objektu se nezdařilo.

K tomuto problému dochází, když se pokusíte ověřit připojení služby s prošlým tajným kódem.

Řešení tohoto problému:

1. Přejděte na připojení služby Project Settings>Service a pak vyberte připojení služby, které chcete upravit.

2. V pravém horním rohu vyberte Upravit a proveďte jakékoli změny připojení ke službě. Nejjednodušší a doporučenou změnou je přidat popis.

3. Výběrem možnosti Uložit uložte připojení služby.

   Poznámka:

   Zvolte Uložit. V tomto kroku se nepokoušejte ověřit připojení služby.

4. Ukončete okno úprav připojení služby a aktualizujte stránku připojení služby.

5. V pravém horním rohu vyberte Upravit a teď vyberte Ověřit.

6. Výběrem možnosti Uložit uložte připojení ke službě.

Předplatné Azure se nepředá z předchozího výstupu úlohy.

Když nastavíte předplatné Azure dynamicky pro váš kanál verze a chcete využívat výstupní proměnnou z předchozí úlohy, může dojít k tomuto problému.

Pokud chcete tento problém vyřešit, ujistěte se, že jsou hodnoty definované v oddílu proměnných vašeho kanálu. Tuto proměnnou pak můžete předat mezi úkoly kanálu.

Jaké mechanismy ověřování se podporují? Jak fungují spravované identity?

Připojení služby Azure Resource Manager se může připojit k předplatnému Azure pomocí ověřování instančního objektu (SPA) nebo ověřování spravované identity. Spravované identity pro prostředky Azure poskytují službám Azure automaticky spravovanou identitu v Microsoft Entra ID. Tuto identitu můžete použít k ověření ve všech službách, které podporují ověřování Microsoft Entra bez zachování přihlašovacích údajů v kódu nebo připojení služby.

Další informace o spravovaných identitách pro virtuální počítače najdete v tématu Přiřazení rolí.

Poznámka:

Spravované identity se nepodporují v agentech hostovaných Microsoftem. V tomto scénáři musíte nastavit agenta v místním prostředí na virtuálním počítači Azure a nakonfigurovat spravovanou identitu pro tento virtuální počítač.

Související články

• Řešení potíží se spuštěními kanálů
• Kontrola protokolů kanálu
• Definování proměnných
• Použití proměnných klasických verzí a artefaktů