Ruční nastavení připojení služby identit úloh Azure Resource Manageru

Při řešení potíží s připojením ke službě identit úloh Azure Resource Manageru možná budete muset připojení nakonfigurovat ručně místo použití automatizovaného nástroje, který je k dispozici v Azure DevOps.

Před zahájením ruční konfigurace doporučujeme vyzkoušet automatizovaný přístup.

Existují dvě možnosti ověřování: použití spravované identity nebo použití instančního objektu. Výhodou možnosti spravované identity je, že ji můžete použít, pokud nemáte oprávnění k vytváření instančních objektů nebo pokud používáte jiného tenanta Microsoft Entra než uživatel Azure DevOps.

Nastavení připojení služby identit úloh pro použití ověřování spravované identity

Možná budete muset ručně vytvořit spravovanou identitu, která používá federované přihlašovací údaje, a pak udělit požadovaná oprávnění. Pro tento proces můžete také použít rozhraní REST API.

Vytvoření spravované identity

1. Přihlaste se k portálu Azure.

2. Do vyhledávacího pole zadejte spravované identity.

3. Vyberte Vytvořit.

4. V podokně Vytvořit spravovanou identitu přiřazenou uživatelem zadejte nebo vyberte hodnoty pro následující položky:

   • Předplatné: Vyberte předplatné, ve kterém chcete vytvořit spravovanou identitu přiřazenou uživatelem.
   • Skupina prostředků: Vyberte skupinu prostředků, ve které chcete vytvořit spravovanou identitu přiřazenou uživatelem, nebo vyberte Vytvořit novou a vytvořte novou skupinu prostředků.
   • Oblast: Vyberte oblast pro nasazení spravované identity přiřazené uživatelem, například USA – východ.
   • Název: Zadejte název spravované identity přiřazené uživatelem, například UADEVOPS.

5. Zkopírujte ID předplatného a hodnoty ID klienta pro vaši spravovanou identitu, abyste ji mohli použít později.

6. Přejděte na Vlastnosti nastavení>.

7. Zkopírujte hodnotu ID tenanta, kterou chcete použít později.

8. Přejděte na Nastavení>federovaných přihlašovacích údajů.

9. Vyberte Přidat přihlašovací údaje.

10. Vyberte scénář Jiného vystavitele.

11. Zadejte hodnoty pro identifikátor vystavitele a subjektu. Tyto hodnoty později nahradíte při vytváření připojení služby.

    Pole	Popis
    Issuer	Zadejte https://vstoken.dev.azure.com/<unique-identifier>. Jedná se unique-identifier o identifikátor GUID vaší organizace Azure DevOps.
    Identifikátor subjektu	Zadejte sc://<Azure DevOps organization>/<project name>/<service connection name>. Připojení ke službě už nemusí být vytvořené.

12. Zvolte Uložit.

13. Nechte toto okno otevřené. Později se v procesu vrátíte do okna a aktualizujete federované přihlašovací údaje registrace aplikace.

Udělení oprávnění spravované identitě

1. Na webu Azure Portal přejděte k prostředku Azure, kterému chcete udělit oprávnění (například skupině prostředků).

2. Vyberte Řízení přístupu (IAM) .

   

3. Vyberte Přidat přiřazení role. Přiřaďte spravované identitě požadovanou roli (například Přispěvatel).

4. Vyberte Zkontrolovat a přiřadit.

Vytvoření připojení služby pro ověřování spravované identity

1. V Azure DevOps otevřete projekt a přejděte na >připojení služby Pipelines>Service.

2. Vyberte Nové připojení služby.

3. Vyberte Azure Resource Manager a pak vyberte Další.

4. Vyberte Federaci identit úloh (ruční) a pak vyberte Další.

   

5. Jako název připojení služby zadejte hodnotu, kterou jste použili pro identifikátor subjektu při vytváření federovaných přihlašovacích údajů.

6. Jako ID předplatného a název předplatného zadejte hodnoty předplatného v účtu webu Azure Portal.

   

7. V části ověřování:

   1. Jako ID instančního objektu zadejte hodnotu ID klienta z vaší spravované identity.

   2. Jako ID tenanta zadejte hodnotu ID tenanta z vaší spravované identity.

      

8. V Azure DevOps zkopírujte vygenerované hodnoty pro identifikátor vystavitele a subjektu.

   

9. Na webu Azure Portal se vraťte k federovaným přihlašovacím údajům registrace vaší aplikace.

10. Vložte hodnoty pro identifikátor vystavitele a subjektu, který jste zkopírovali z projektu Azure DevOps, do federovaných přihlašovacích údajů na webu Azure Portal.

    

11. Na webu Azure Portal vyberte Aktualizovat a uložte aktualizované přihlašovací údaje.

12. V Azure DevOps vyberte Ověřit a uložit.

Nastavení připojení služby identit úloh pro použití ověřování instančního objektu

Možná budete muset ručně vytvořit instanční objekt s federovanými přihlašovacími údaji a pak udělit požadovaná oprávnění. Pro tento proces můžete také použít rozhraní REST API.

Vytvoření registrace aplikace a federovaných přihlašovacích údajů

1. Na webu Azure Portal přejděte k registracím aplikací.

2. Vyberte Nová registrace.

   

3. Jako Název zadejte název registrace aplikace a pak vyberte Kdo může tuto aplikaci použít nebo získat přístup k tomuto rozhraní API.

4. Zkopírujte hodnoty ID aplikace (klienta) aID adresáře (tenanta) z registrace aplikace, abyste je mohli použít později.

   

5. Přejděte na Spravovat>certifikáty a tajné kódy.

6. Vyberte federované přihlašovací údaje.

   

7. Vyberte Přidat přihlašovací údaje.

8. Vyberte scénář Jiného vystavitele.

   

9. Zadejte hodnoty pro identifikátor vystavitele a subjektu. Tyto hodnoty později nahradíte při vytváření připojení služby.

   Pole	Popis
   Issuer	Zadejte https://vstoken.dev.azure.com/<unique-identifier>. Jedná se unique-identifier o identifikátor GUID vaší organizace Azure DevOps.
   Identifikátor subjektu	Zadejte sc://<Azure DevOps organization>/<project name>/<service connection name>. Připojení ke službě už nemusí být vytvořené.

10. Zvolte Uložit.

11. Nechte toto okno otevřené. Později se v procesu vrátíte do okna a aktualizujete federované přihlašovací údaje registrace aplikace.

Udělení oprávnění k registraci aplikace

1. Na webu Azure Portal přejděte k prostředku Azure, kterému chcete udělit oprávnění (například skupině prostředků).

2. Vyberte Řízení přístupu (IAM) .

   

3. Vyberte Přidat přiřazení role. Přiřaďte k registraci aplikace požadovanou roli (například Přispěvatel).

4. Vyberte Zkontrolovat a přiřadit.

Vytvoření připojení služby pro ověřování instančního objektu

1. V Azure DevOps otevřete projekt a přejděte na >připojení služby Pipelines>Service.

2. Vyberte Nové připojení služby.

3. Vyberte Azure Resource Manager a pak vyberte Další.

4. Vyberte Federaci identit úloh (ruční) a pak vyberte Další.

   

5. Jako název připojení služby zadejte hodnotu identifikátoru subjektu z federovaných přihlašovacích údajů.

6. Jako ID předplatného a název předplatného zadejte hodnoty předplatného v účtu webu Azure Portal.

   

7. V části ověřování:

   1. Jako ID instančního objektu zadejte hodnotu ID aplikace (klienta) z registrace aplikace.

   2. Jako ID tenanta zadejte hodnotu ID adresáře (tenanta) z registrace aplikace.

8. Zkopírujte vygenerované hodnoty pro identifikátor vystavitele a subjektu.

   

9. Na webu Azure Portal se vraťte k federovaným přihlašovacím údajům registrace vaší aplikace.

10. Vložte hodnoty pro identifikátor vystavitele a subjektu, který jste zkopírovali z projektu Azure DevOps, do federovaných přihlašovacích údajů na webu Azure Portal.

    

11. Na webu Azure Portal vyberte Aktualizovat a uložte aktualizované přihlašovací údaje.

12. V Azure DevOps vyberte Ověřit a uložit.