Řešení potíží s připojením služby identit úloh Azure Resource Manageru
Získejte pomoc s laděním běžných problémů s připojením služby identit úloh. Dozvíte se také, jak ručně vytvořit připojení služby, pokud potřebujete.
Kontrolní seznam pro řešení potíží
Při řešení potíží s připojením služby identit úloh použijte následující kontrolní seznam:
- Zkontrolujte úlohy kanálu a ujistěte se, že podporují identitu úloh.
- Ověřte, že je pro tenanta aktivní federace identit úloh.
- Zkontrolujte přesnost adresy URL vystavitele a předmět federace.
Následující části popisují problémy a jejich řešení.
Kontrola úloh kanálu
Ne všechny úlohy kanálů podporují identitu úloh. Konkrétně vlastnosti připojení služby Azure Resource Manager pro úlohy používají federaci identit úloh. Následující tabulka uvádí podporu federace identit úloh pro úlohy zahrnuté v Azure DevOps. Pokud potřebujete úlohy nainstalované z Marketplace, obraťte se na vydavatele rozšíření a požádejte ho o podporu.
| Úloha | Podpora federace identit úloh |
|---|---|
| AutomatedAnalysis@0 | Y |
| AzureAppServiceManage@0 | Y |
| AzureAppServiceSettings@1 | Y |
| AzureCLI@1 | Y |
| AzureCLI@2 | Y |
| AzureCloudPowerShellDeployment@1 | Použití AzureCloudPowerShellDeployment@2 |
| AzureCloudPowerShellDeployment@2 | Y |
| AzureContainerApps@0 | Y |
| AzureContainerApps@1 | Y |
| AzureFileCopy@1 | Použití AzureFileCopy@6 |
| AzureFileCopy@2 | Použití AzureFileCopy@6 |
| AzureFileCopy@3 | Použití AzureFileCopy@6 |
| AzureFileCopy@4 | Použití AzureFileCopy@6 |
| AzureFileCopy@5 | Použití AzureFileCopy@6 |
| AzureFileCopy@6 | Y |
| AzureFunctionApp@1 | Y |
| AzureFunctionApp@2 | Y |
| AzureFunctionAppContainer@1 | Y |
| AzureFunctionOnKubernetes@0 | Použití AzureFunctionOnKubernetes@1 |
| AzureFunctionOnKubernetes@1 | Y |
| AzureIoTEdge@2 | Y |
| AzureKeyVault@1 | Y |
| AzureKeyVault@2 | Y |
| AzureMonitor@0 | Použití AzureMonitor@1 |
| AzureMonitor@1 | Y |
| AzureMysqlDeployment@1 | Y |
| AzureNLBManagement@1 | N |
| AzurePolicyCheckGate@0 | Y |
| AzurePowerShell@2 | Y |
| AzurePowerShell@3 | Y |
| AzurePowerShell@4 | Y |
| AzurePowerShell@5 | Y |
| AzureResourceGroupDeployment@2 | Y |
| AzureResourceManagerTemplateDeployment@3 | Y |
| AzureRmWebAppDeployment@3 | Y |
| AzureRmWebAppDeployment@4 | Y |
| AzureSpringCloud@0 | Y |
| AzureVmssDeployment@0 | Y |
| AzureWebApp@1 | Y |
| AzureWebAppContainer@1 | Y |
| ContainerBuild@0 | Y |
| ContainerStructureTest@0 | Y |
| Docker@0 | Y |
| Docker@1 | Připojení služby Azure: Y Připojení ke službě Registru Dockeru: N |
| Docker@2 | Y |
| DockerCompose@0 | Y |
| DockerCompose@1 | Y |
| HelmDeploy@0 | Připojení služby Azure: Y |
| HelmDeploy@1 | Připojení služby Azure: Y |
| InvokeRESTAPI@1 | Y |
| JavaToolInstaller@0 | Y |
| JenkinsDownloadArtifacts@1 | Y |
| Kubernetes@0 | Použití Kubernetes@1 |
| Kubernetes@1 | Y |
| KubernetesManifest@0 | Použití KubernetesManifest@1 |
| KubernetesManifest@1 | Y |
| Notation@0 | Y |
| PackerBuild@0 | Použití PackerBuild@1 |
| PackerBuild@1 | Y |
| PublishToAzureServiceBus@1 | Použití PublishToAzureServiceBus@2 s připojením ke službě Azure |
| PublishToAzureServiceBus@2 | Y |
| ServiceFabricComposeDeploy@0 | N |
| ServiceFabricDeploy@1 | N |
| SqlAzureDacpacDeployment@1 | Y |
Ověření aktivní federace identit úloh
Pokud se zobrazí chybové zprávy AADSTS700223 nebo AADSTS700238, federace identit úloh byla ve vašem tenantovi Microsoft Entra zakázaná.
Ověřte, že neexistují žádné zásady Microsoft Entra, které blokují federované přihlašovací údaje.
Zkontrolujte přesnost adresy URL vystavitele.
Pokud se zobrazí zpráva, která značí , že se nenašl žádný odpovídající záznam federované identity, adresa URL vystavitele nebo předmět federace se neshoduje. Správná adresa URL vystavitele začíná řetězcem https://vstoken.dev.azure.com.
Adresu URL vystavitele můžete opravit úpravou a uložením připojení služby, čímž se aktualizuje adresa URL vystavitele. Pokud služba Azure DevOps identitu nevytvořila, adresa URL vystavitele se musí aktualizovat ručně. U identit Azure se adresa URL vystavitele aktualizuje automaticky.
Běžné problémy
Následující části identifikují běžné problémy a popisují příčiny a jejich řešení.
Nemám oprávnění k vytvoření instančního objektu v tenantovi Microsoft Entra
Pokud nemáte správná oprávnění, nemůžete použít nástroj pro konfiguraci připojení ke službě Azure DevOps. Úroveň oprávnění není dostatečná k použití tohoto nástroje, pokud nemáte oprávnění k vytváření instančních objektů nebo pokud používáte jiného tenanta Microsoft Entra než uživatel Azure DevOps.
Abyste mohli vytvářet registrace aplikací, musíte mít buď oprávnění v Microsoft Entra ID, nebo mít odpovídající roli (například Vývojář aplikací).
Tento problém můžete vyřešit dvěma způsoby:
- Řešení 1: Ruční konfigurace identity úloh pomocí ověřování spravované identity
- Řešení 2: Ruční konfigurace identity úloh pomocí ověřování instančního objektu
Používám prostředek kontejneru, který určuje instanci služby Azure Container Registry
Prostředky kontejnerů, které se načítají ze služby Azure Container Registry, zatím nepodporují federaci identit úloh.
Chybové zprávy
Následující tabulka uvádí běžné chybové zprávy a problémy, které by je mohly generovat:
| Zpráva | Možný problém |
|---|---|
Nejde požádat o token: Získat ?audience=api://AzureADTokenExchange: unsupported protocol scheme |
Úloha nepodporuje federaci identit úloh. |
| Identita nebyla nalezena. | Úloha nepodporuje federaci identit úloh. |
| Nepodařilo se načíst přístupový token pro Azure. | Úloha nepodporuje federaci identit úloh. |
| AADSTS700016: Aplikace s identifikátorem **** nebyla nalezena. | Identita používaná pro připojení služby již neexistuje nebo byla odebrána z připojení služby. V tomto scénáři vytvořte nové připojení služby. |
| AADSTS7000215: Byl poskytnut neplatný tajný klíč klienta. | Používáte připojení služby s tajným kódem, jehož platnost vypršela. Převeďte připojení služby na federaci identit úloh a nahraďte tajný kód s vypršenou platností federovanými přihlašovacími údaji. |
| AADSTS700024: Kontrolní výraz klienta není v platném časovém rozsahu. | Pokud k chybě dojde přibližně po 1 hodině, použijte místo toho připojení služby k federaci identit úloh a spravované identitě . Tokeny spravované identity mají životnost přibližně 24 hodin. Pokud k chybě dojde před 1 hodinou, ale po 10 minutách, přesuňte příkazy, které (implicitně) požadují přístupový token, například přístup ke službě Azure Storage na začátek skriptu. Přístupový token se uloží do mezipaměti pro další příkazy. |
AADSTS70021: Pro prezentované kontrolní výrazy nebyl nalezen žádný odpovídající záznam federované identity. Vystavitel kontrolního výrazu: https://app.vstoken.visualstudio.com. |
Adresa URL vystavitele není správná. Správná adresa URL vystavitele má formát https://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX. Adresu URL vystavitele můžete opravit úpravou a uložením připojení služby. Pokud Azure DevOps vaši identitu nevytvořil, musíte vystavitele aktualizovat ručně. Správný vystavitel najdete v dialogovém okně pro úpravy připojení služby nebo v odpovědi (v rámci parametrů autorizace), pokud používáte rozhraní REST API. |
AADSTS70021: Pro prezentované kontrolní výrazy nebyl nalezen žádný odpovídající záznam federované identity. Vystavitel kontrolního výrazu: https://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX. Předmět kontrolního výrazu: sc://<org>/<project>/<service-connection>. |
Adresa URL vystavitele nebo předmět federace se neshoduje. Organizace nebo projekt Azure DevOps se přejmenovala nebo bylo přejmenováno ručně vytvořené připojení služby bez aktualizace předmětu federace na identitu. |
| AADSTS700211: Pro prezentovaného vystavitele kontrolního výrazu se nenašl žádný odpovídající záznam federované identity | Buď adresa URL vystavitele, předmět federace, nebo obojí jsou odmítnuty zásadami Microsoft Entra. |
| AADSTS700223 | Federace identit úloh je v tenantovi Microsoft Entra omezená nebo zakázaná. V tomto scénáři je často možné použít pro federaci místo toho spravovanou identitu. Další informace se nachází v tématu Identita úlohy se spravovanou identitou. |
| Microsoft Entra odmítl token vydaný Službou Azure DevOps s kódem chyby AADSTS700238 | Federace identit úloh je omezená na tenanta Microsoft Entra. Vystavitel vaší organizacehttps://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX () nemůže používat federaci identit úloh. Požádejte svého správce tenanta Microsoft Entra nebo tým pro správu, aby povolil federaci identit úloh pro vaši organizaci Azure DevOps. |
| Získání webového tokenu JSON (JWT) pomocí ID klienta instančního objektu se nezdařilo. | Vaše přihlašovací údaje federační identity jsou chybně nakonfigurované nebo tenant Microsoft Entra blokuje OpenID Connect (OIDC). |
| Skript selhal s chybou: UnrecognizedArgumentError: Unrecognized Arguments: --federated-token | Úlohu AzureCLI používáte u agenta, který má nainstalovanou starší verzi Azure CLI. Federace identit úloh vyžaduje Azure CLI 2.30 nebo novější. |
| Vytvoření aplikace v Microsoft Entra ID se nezdařilo. Chyba: Nedostatečná oprávnění k dokončení operace v Microsoft Graphu Ujistěte se, že má uživatel oprávnění k vytvoření aplikace Microsoft Entra. | Možnost vytvářet registrace aplikací byla v tenantovi Microsoft Entra zakázaná . Přiřaďte uživateli, který vytváří připojení služby, roli Microsoft Entra vývojáře aplikací. Případně můžete připojení služby vytvořit ručně pomocí spravované identity. Další informace se nachází v tématu Identita úlohy se spravovanou identitou. |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro