Grundlegendes zu verwalteten Identitäten und Konvertierung in eine verwaltete Identität

  • 5 Minuten

Verwaltete Identitäten und Dienstprinzipale sind Optionen zum Autorisieren und Authentifizieren des Zugriffs auf Azure-Ressourcen. Beide bieten eine sichere Möglichkeit, Ihren Azure Pipelines-Zugriff auf Azure-Dienste zu gewähren, ohne dass Anmeldeinformationen in der Pipelinekonfiguration gespeichert werden müssen.

In dieser Lerneinheit lernen Sie die Vorteile der Verwendung von verwalteten Identitäten und Dienstprinzipalen in Azure DevOps für Dienstverbindungen kennen.

Die Vorteile der Verwendung von verwalteten Identitäten

Verwaltete Identitäten bieten bei Verwendung in Azure DevOps verschiedene Vorteile:

  • Verbesserte Sicherheit: Sie eliminieren die Notwendigkeit, vertrauliche Anmeldeinformationen in der Pipeline speichern zu müssen, sodass das Risiko einer Offenlegung von Anmeldeinformationen sinkt.
  • Vereinfachte Verwaltung: Sie können Identitäten über Azure verwalten lassen und so den Mehraufwand für die Identitätsverwaltung in Azure DevOps reduzieren.
  • Differenzierte Zugriffssteuerung: Mit verwalteten Identitäten können Sie die Berechtigungen und Zugriffsebenen, die für Ihre Pipelines und Agents benötigt werden, präzise definieren.
  • Überwachung und Überprüfung: Ereignisse zu Authentifizierung und Autorisierung werden protokolliert, wodurch es einfacher ist, den Zugriff nachzuverfolgen und potenzielle Sicherheitsbedrohungen zu erkennen.

Erstellen einer verwalteten Identität und Hinzufügen zu Azure DevOps

Erstellen Sie Ihre verwaltete Identität in Azure, und weisen Sie ihr die geeigneten Berechtigungen zu. Konfigurieren Sie dann den Agent für die Verwendung der verwalteten Identität.

  1. Navigieren Sie im Azure-Portal zur Ressource „Verwaltete Identitäten“.

  2. Klicken Sie auf „+ Erstellen“, und konfigurieren Sie die verwaltete Identität entsprechend.

    Screenshot of a new managed identity creation named DevOpsSecurity from Azure Portal.

  3. Weisen Sie der verwalteten Identität die erforderlichen Berechtigungen zu, und befolgen Sie dabei das Prinzip der geringsten Rechte.

  4. Navigieren Sie in Azure DevOps zu Ihrer Organisation, und wählen Sie „Organisationseinstellungen“ aus.

  5. Klicken Sie unter „Allgemein“ auf „Benutzer“.

  6. Fügen Sie die verwaltete Identität als Benutzer hinzu.

    Screenshot of users tab in Azure DevOps adding the new managed identity DevOpsSecurity user.

  7. Wählen Sie die geeignete Zugriffsebene für die verwaltete Identität und die Projekte aus.

  8. Klicken Sie auf „Hinzufügen“.

  9. Klicken Sie unter „Pipelines“ auf „Sicherheit“.

  10. Klicken Sie auf „Neue Sicherheitsgruppe hinzufügen“, oder wählen Sie eine vorhandene Sicherheitsgruppe aus.

  11. Fügen Sie die verwaltete Identität zur Sicherheitsgruppe hinzu.

    Screenshot of security tab in Azure DevOps adding the new managed identity DevOpsSecurity to the security group.

Konvertieren in eine verwaltete Identität

Führen Sie die folgenden Schritte aus, um festzulegen, dass eine vorhandene Dienstverbindung eine verwaltete Identität verwenden soll:

  1. Navigieren Sie zu Ihrem Azure DevOps-Projekt, und wechseln Sie dann zu „Projekteinstellungen“ und dann zu „Dienstverbindungen“.
  2. Identifizieren Sie die Dienstverbindung, die Sie konvertieren möchten, damit eine verwaltete Identität verwendet werden kann. Klicken Sie auf „Bearbeiten“, und notieren Sie sich die zugehörigen Einstellungen, z. B. den Geltungsbereich und die zugewiesenen Rollen. Stellen Sie außerdem sicher, dass Sie wissen, welche Pipelines von der Dienstverbindung verwendet werden.
  3. Löschen Sie die vorhandene Dienstverbindung, indem Sie auf die Auslassungspunkte (drei Punkte) neben der Dienstverbindung klicken und „Löschen“ auswählen.
  4. Erstellen Sie eine neue Dienstverbindung, indem Sie auf „Neue Dienstverbindung“ klicken und als Verbindungstyp „Azure Resource Manager“ auswählen (Sie können auch die gewünschte Verbindung auswählen).
  5. Wählen Sie im Abschnitt „Authentifizierungsmethode“ die Option „Verwaltete Identität“ aus.
  6. Konfigurieren Sie den Geltungsbereich und die Berechtigungen für die verwaltete Identität, indem Sie die Einstellungen Ihrer vorherigen Dienstverbindung angeben. Dadurch wird sichergestellt, dass die verwaltete Identität über denselben Zugriff und dieselbe Funktionalität wie die ursprüngliche Dienstverbindung verfügt.
  7. Geben Sie einen Namen und eine Beschreibung für die neue Dienstverbindung ein, und klicken Sie dann auf „Speichern“.
  8. Aktualisieren Sie Ihre Pipeline, sodass diese die neue Dienstverbindung mit der verwalteten Identität verwendet. Suchen Sie hierzu in Ihrer YAML-Pipelinedatei nach dem Verweis auf die Dienstverbindung, und ersetzen Sie den alten Dienstverbindungsnamen durch den neuen (sofern der Name geändert wurde).
  9. Speichern und committen Sie die aktualisierte YAML-Pipelinedatei.

Probieren Sie es aus!

Führen Sie die folgenden Schritte aus, um die Konvertierung in eine verwaltete Identität zu üben:

  1. Wählen Sie in Ihrer Azure DevOps-Umgebung ein Projekt aus, das Zugriff auf eine Azure-Ressource erfordert.
  2. Erstellen Sie mithilfe einer verwalteten Identität eine neue Dienstverbindung.
  3. Konfigurieren Sie die geeigneten Berechtigungen für die verwaltete Identität im Azure-Portal.
  4. Aktualisieren Sie Ihre Pipeline so, dass diese die neu erstellte Dienstverbindung mit der verwalteten Identität verwendet.
  5. Führen Sie die Pipeline aus, vergewissern Sie sich, dass die Ausführung erfolgreich ist, und greifen Sie mit der entsprechenden Zugriffsebene auf die Azure-Ressource zu.

Weitere Informationen zu verwalteten Identitäten und Dienstverbindungen finden Sie hier: