Manuální nastavení připojení služby Azure Resource Manager s tajemstvím

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020

Výstraha

Použití tajemství, které vyžaduje ruční rotaci a správu, není doporučeno. Federace identit pracovního zatížení je preferovaným typem přihlašovacích údajů. Pokud kvůli omezeními v organizaci nepotřebujete tajemství používat, použijte federaci identit úloh s registrací aplikace nebo spravovanou identitou.

Tento článek vás provede manuálním vytvořením připojení ke službě Azure Resource Manager (ARM) k ověřování instančního objektu s tajemstvím v Azure DevOps. Tento přístup použijte, když nemůžete kvůli omezením organizace používat ID Microsoft Entra. Tajný kód použijte například v případě, že federace identit úloh není podporovaná pro vašeho tenanta Microsoft Entra ID nebo pokud máte registraci víceklientských aplikací.

V jiných scénářích použijte federaci identit úloh s registrací aplikace nebo spravovanou identitou. Federace identit úloh eliminuje potřebu spravování tajemství. Další informace najdete v tématu Připojení k Azure pomocí připojení služby ARM.

Předpoklady pro ověřování registrace aplikací

• Pokud chcete vytvořit připojení služby, váš účet Azure potřebuje oprávnění k vytváření registrací aplikací.
  • Pokud je vytváření registrací aplikací ve vašem tenantovi zakázané, musíte mít k vytvoření registrací aplikací roli Vývojář aplikací.

Vytvoření registrace aplikace na webu Azure Portal

1. Na webu Azure Portal vyhledejte registrace aplikací.

2. Vyberte Nová registrace.

   

3. Jako Název zadejte název registrace aplikace a pak vyberte Kdo může tuto aplikaci použít nebo získat přístup k tomuto rozhraní API.

4. Vyberte Zaregistrovat.

5. Po načtení nové registrace aplikace zkopírujte hodnoty ID aplikace (klienta) a ID adresáře (tenanta), které chcete použít později.

6. V rámci registrace aplikace vyberte Certifikáty a tajné kódy.

7. Vyberte Tajné kódy klienta a pak vyberte Nový tajný klíč klienta. Zadejte popis tajného kódu a dobu trvání. Po uložení tajného klíče klienta se zobrazí hodnota tajného klíče klienta. Tato hodnota se zobrazí jenom jednou, proto ji zkopírujte a uložte. V připojení ARM použijete hodnotu tajného kódu.

8. Vyberte Přidat.

Udělení oprávnění k registraci aplikace na webu Azure Portal

1. Na webu Azure Portal přejděte do pracovního prostoru Azure Subscription, Management Group nebo Machine Learning, pro které chcete udělit oprávnění.

2. Vyberte Řízení přístupu (IAM).

3. Vyberte Přidat přiřazení rolí. Přiřaďte k registraci aplikace roli Čtenář.

4. Vyberte Zkontrolovat a přiřadit.

Vytvoření připojení služby pro ověřování registrace aplikací v Azure DevOps

1. V Azure DevOps otevřete projekt a přejděte na >Service.

2. Vyberte Nové připojení služby.

3. Vyberte Azure Resource Manager.

4. Vyberte typ identity registrace aplikace nebo spravovaná identita (ručně) a přihlašovací údaj tajemství.

5. Zadejte nebo vyberte následující parametry předplatného:

   1. Vyberte úroveň oboru. Vyberte předplatné, skupinu pro správu nebo pracovní prostor Machine Learning. Skupiny pro správu jsou kontejnery, které pomáhají spravovat přístup, zásady a dodržování předpisů napříč několika předplatnými. Pracovní prostor Machine Learning je místo pro vytváření artefaktů strojového učení.

      • Do oboru předplatného zadejte následující parametry:

        Parameter	Description
        ID předplatného	Povinné. Zadejte ID předplatného Azure.
        Název předplatného	Povinné. Zadejte název předplatného Azure.

      • V oblasti skupiny správy zadejte následující parametry:

        Parameter	Description
        ID skupiny pro správu	Povinné. Zadejte ID skupiny pro správu Azure.
        Název skupiny pro správu	Povinné. Zadejte název skupiny pro správu Azure.

      • Pro oblast pracovního prostoru machine learningu zadejte následující parametry:

        Parameter	Description
        ID předplatného	Povinné. Zadejte ID předplatného Azure.
        Název předplatného	Povinné. Zadejte název předplatného Azure.
        Skupina prostředků	Povinné. Vyberte skupinu prostředků obsahující pracovní prostor.
        Název pracovního prostoru ML	Povinné. Zadejte název existujícího pracovního prostoru Azure Machine Learning.
        Umístění pracovního prostoru ML	Povinné. Zadejte umístění existujícího pracovního prostoru Služby Azure Machine Learning.

   2. V části Ověřování zadejte nebo vyberte následující parametry:

      Parameter	Description
      ID aplikace (klienta)	Povinné. Zadejte ID aplikace (klienta) pro registraci aplikace.
      ID adresáře (tenanta)	Povinné. Zadejte ID adresáře (tenanta) pro registraci vaší aplikace.

6. Pro pověření vyberte klíč služby principal. Do pole Tajný klíč klienta zadejte hodnotu tajného kódu .

7. V části Zabezpečení vyberte možnost Udělit oprávnění pro přístup ke všem kanálům , aby všechna kanály používala toto připojení. Tato možnost se nedoporučuje. Místo toho autorizujte každý kanál jednotlivě pro použití připojení ke službě.

8. Vyberte Ověřit a uložit. Po úspěšném dokončení tohoto kroku se plně nakonfiguruje připojení služby Azure Resource Manager.