Solución de problemas de conexiones de servicio de ARM

  • Artículo

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

En este artículo se presentan escenarios comunes de solución de problemas para ayudarle a resolver los problemas que pueden surgir al crear una conexión de servicio de Azure Resource Manager. Consulte Administración de conexiones de servicio para aprender a crear, editar y proteger conexiones de servicio.

¿Qué ocurre al crear una conexión de servicio ARM?

Si no tiene una conexión de servicio, puede crear una de la siguiente forma:

  1. En el proyecto, seleccione Configuración del proyecto y, después, Conexiones de servicio.

    Captura de pantalla que muestra cómo acceder a las conexiones de servicio desde la configuración del proyecto

  2. Seleccione Nueva conexión de servicio para agregar una nueva y, a continuación, seleccione Azure Resource Manager. Seleccione Siguiente cuando haya terminado.

    Captura de pantalla que muestra los tipos de conexiones de servicio.

  3. Seleccione Entidad de servicio (automática) y, a continuación, **Siguiente.

  4. Seleccione Suscripción y, a continuación, seleccione la suscripción en la lista desplegable. Rellene el formulario y seleccione Guardar cuando haya terminado.

    Captura de pantalla que muestra el nuevo formulario de conexión de servicio de ARM.

Al guardar la nueva conexión de servicio de ARM, Azure DevOps:

  1. Se conecta al inquilino de Microsoft Entra para a la suscripción seleccionada.
  2. Se crea una aplicación en Microsoft Entra ID en nombre del usuario.
  3. Una vez creada correctamente la aplicación, asigne la aplicación como colaborador a la suscripción seleccionada.
  4. Se crea una conexión al servicio Azure Resource Manager mediante los detalles de esta aplicación.

Nota:

Para crear conexiones de servicio, se le debe haber agregado al grupo Creador de puntos de conexión en la configuración del proyecto: Configuración del proyecto>Conexiones de servicio>Seguridad. Los colaboradores se agregan a este grupo de forma predeterminada.

Escenarios de solución de problemas

A continuación, se muestran algunos de los problemas que pueden producirse al crear conexiones de servicio:

No tiene privilegios suficientes para completar la operación

Esto suele ocurrir cuando el sistema intenta crear una aplicación en Microsoft Entra ID en su nombre.

Se trata de un problema de permisos que puede deberse a las causas siguientes:

El usuario solo tiene permiso de invitado en el directorio

El mejor enfoque para resolver este problema y, a la vez, conceder solo los permisos adicionales mínimos al usuario, es aumentar los permisos de usuario Invitado como se indica a continuación.

  1. Inicie sesión en Azure Portal con una cuenta de administrador. La cuenta debe ser de propietario, administrador global o administrador de cuentas de usuario.

  2. Seleccione Microsoft Entra ID en la barra de navegación izquierda.

  3. Asegúrese de que está editando el directorio adecuado correspondiente a la suscripción de usuario. Si no es así, seleccione Cambiar directorio e inicie sesión con las credenciales adecuadas, si es necesario.

  4. Seleccione Usuarios en la sección Administrar.

  5. Seleccione Configuración de usuario.

  6. Seleccione Administrar la configuración de colaboración externa en la sección Usuarios externos.

  7. Cambie la opción Los permisos de usuario invitado están limitados a No.

Como alternativa, si está preparado para conceder al usuario permisos adicionales (nivel de administrador), puede convertir al usuario en miembro del rol Administrador global. Para ello, siga estos pasos:

Advertencia

Los usuarios asignados al rol de administrador global pueden leer y modificar todas las opciones administrativas de su organización de Microsoft Entra. Como procedimiento recomendado, aconsejamos que se asigne este rol a menos de cinco personas de su organización.

  1. Inicie sesión en Azure Portal con una cuenta de administrador. La cuenta debe ser de propietario, administrador global o administrador de cuentas de usuario.

  2. Seleccione Microsoft Entra ID en el panel de navegación izquierdo.

  3. Asegúrese de que está editando el directorio adecuado correspondiente a la suscripción de usuario. Si no es así, seleccione Cambiar directorio e inicie sesión con las credenciales adecuadas, si es necesario.

  4. Seleccione Usuarios en la sección Administrar.

  5. Use el cuadro de búsqueda para buscar el usuario que quiera administrar.

  6. Seleccione Rol del directorio en la sección Administrar y, a continuación, cambie el rol a Administrador global. Cuando haya terminado, seleccione Guardar.

Normalmente, los cambios tardan entre 15 y 20 minutos en aplicarse globalmente. A continuación, el usuario puede intentar volver a crear la conexión de servicio.

El usuario no está autorizado para agregar aplicaciones en el directorio

Debe tener permisos para agregar aplicaciones integradas en el directorio. El administrador del directorio tiene permisos para cambiar esta configuración.

  1. Seleccione Microsoft Entra ID en el panel de navegación izquierdo.

  2. Asegúrese de que está editando el directorio adecuado correspondiente a la suscripción de usuario. Si no es así, seleccione Cambiar directorio e inicie sesión con las credenciales adecuadas, si es necesario.

  3. Seleccione Usuarios y, después, Configuración de usuario.

  4. En Registros de aplicaciones, cambie la opción Los usuarios pueden registrar aplicaciones a .

También puede crear la entidad de servicio con un usuario existente que ya tenga los permisos necesarios en Microsoft Entra ID. Consulte Creación de una conexión de servicio de Azure Resource Manager con una entidad de servicio existente para obtener más información.

No se encontró un token de acceso o no se encontró un token de actualización válido

Estos errores suelen producirse cuando la sesión ha expirado. Para resolver estos problemas:

  1. Cierre la sesión de Azure DevOps.
  2. Abra una ventana del explorador de incógnito o InPrivate y vaya a Azure DevOps.
  3. Inicie sesión con las credenciales adecuadas.
  4. Seleccione su organización y su proyecto.
  5. Cree la conexión de servicio.

No se pudo asignar el rol Colaborador

Este error se produce normalmente cuando no tiene permiso de Escritura para la suscripción de Azure seleccionada.

Para resolver este problema, pida al administrador de la suscripción que le asigne el rol adecuado en Microsoft Entra ID.

La suscripción no aparece al crear una conexión de servicio

Se muestran un máximo de 50 suscripciones de Azure en los distintos menús desplegables de suscripciones de Azure (facturación, conexión de servicio, etcétera). Si va a configurar una conexión de servicio y tiene más de 50 suscripciones de Azure, no se mostrarán algunas de las suscripciones. En este escenario, complete los pasos siguientes:

  1. Cree un usuario nativo de Microsoft Entra en la instancia de Microsoft Entra de la suscripción de Azure.

  2. Configure el usuario de Microsoft Entra para que tenga los permisos adecuados para configurar la facturación o crear conexiones de servicio. Para más información, consulte Incorporación de un usuario que pueda configurar la facturación de Azure DevOps.

  3. Agregue el usuario de Microsoft Entra a la organización de Azure DevOps con un nivel de acceso de Parte interesada y, después, agréguelo al grupo Administradores de la colección de proyectos (para facturación) o asegúrese de que el usuario tenga permisos suficientes en el proyecto de equipo para crear conexiones de servicio.

  4. Inicie sesión en Azure DevOps con las nuevas credenciales de usuario y configure una facturación. Solo verá una suscripción de Azure en la lista.

Faltan algunas suscripciones en la lista correspondiente

Este problema se puede corregir si se cambia la configuración de los tipos de cuenta admitidos y se define quién puede usar la aplicación. Para ello, siga estos pasos:

  1. Inicie sesión en Azure Portal.

  2. Si tiene acceso a varios inquilinos, use el filtro Directorio + suscripción del menú superior para seleccionar el inquilino en el que quiere registrar una aplicación.

    Captura de pantalla que muestra el icono de directorio y suscripciones en Azure Portal.

  3. Seleccione Microsoft Entra ID en el panel izquierdo.

  4. Seleccione App registrations (Registros de aplicaciones).

  5. Seleccione la aplicación en la lista de aplicaciones registradas.

  6. En Autenticación, seleccione Tipos de cuenta admitidos.

  7. En Tipos de cuenta admitidos, ¿Quién puede usar esta aplicación o acceder a esta API?, seleccione Cuentas en cualquier directorio organizativo.

    Captura de pantalla que muestra los tipos de cuenta admitidos.

  8. Cuando haya terminado, seleccione Guardar.

El token de la entidad de servicio ha expirado

Un problema que suele ocurrir con las entidades de servicio que se crean automáticamente es que el token de la entidad de servicio expira y debe renovarse. Sin embargo, si tiene algún problema con la actualización del token, consulte la sección que indica que no se encontró un token de actualización válido.

Para renovar el token de acceso de una entidad de servicio creada automáticamente:

  1. Vaya a Configuración del proyecto>Conexiones de servicio y, a continuación, seleccione la conexión de servicio que quiere modificar.

  2. Seleccione Editar en la esquina superior derecha y, después, Comprobar.

  3. Seleccione Guardar.

El token de la entidad de servicio se ha renovado ahora durante tres meses más.

Nota:

Esta operación está disponible incluso si el token de la entidad de servicio no ha expirado.

No se pudo obtener el JWT mediante el identificador de cliente de la entidad de servicio

Este problema se produce al intentar comprobar una conexión de servicio en la que hay un secreto que ha expirado.

Para solucionar este problema:

  1. Vaya a Configuración del proyecto>Conexiones de servicio y, a continuación, seleccione la conexión de servicio que quiere modificar.

  2. Seleccione Editar en la esquina superior derecha y, a continuación, realice cualquier cambio necesario en la conexión de servicio. El cambio más sencillo y recomendable es agregar una descripción.

  3. Seleccione Guardar para guardar la conexión de servicio.

    Nota:

    Seleccione Guardar. No intente comprobar la conexión de servicio en este paso.

  4. Salga de la ventana de edición de la conexión de servicio y, a continuación, actualice la página de conexiones de servicio.

  5. Seleccione Editar en la esquina superior derecha y, después, seleccione Comprobar.

  6. Seleccione Guardar para guardar la conexión de servicio.

La suscripción de Azure no se pasa desde la salida de tarea anterior

Si establece la suscripción de Azure de forma dinámica para la canalización de versión y quiere consumir la variable de salida de una tarea anterior, puede que encuentre este problema.

Para resolverlo, asegúrese de que los valores se hayan definido en la sección de variables de la canalización. Después, puede pasar esta variable entre las tareas de la canalización.

¿Qué mecanismos de autenticación se admiten? ¿Cómo funcionan las identidades administradas?

Una conexión de servicio de Azure Resource Manager puede conectarse a una suscripción de Azure mediante una autenticación de la entidad de servicio (SPA) o una autenticación de identidad administrada. Las identidades administradas de los recursos de Azure proporcionan a los servicios de Azure una identidad administrada automáticamente en Microsoft Entra ID. Puede usar esta identidad para autenticarse en cualquier servicio que admita la autenticación de Microsoft Entra sin necesidad de conservar credenciales en el código ni en la conexión de servicio.

Para obtener más información sobre las identidades administradas para máquinas virtuales, consulte la Asignación de roles.

Nota:

Las identidades administradas no se admiten en agentes hospedados por Microsoft. En este escenario, debe configurar un agente autohospedado en una máquina virtual de Azure y configurar una identidad administrada para esa máquina virtual.