Partekatu honen bidez:

Crear y configurar manualmente una conexión del servicio de identidad de carga de trabajo de Azure Resource Manager

  • Artikulua

Al solucionar problemas de una conexión del servicio de identidad de carga de trabajo de Azure Resource Manager, podría necesitar configurar manualmente la conexión en lugar de usar la herramienta automatizada que está disponible en Azure DevOps.

Se recomienda probar el método automatizado antes de realizar una configuración manual.

Hay dos opciones para la autenticación: usar una identidad administrada o usar una entidad de servicio. La ventaja de la opción de identidad administrada es que puede usarla cuando no tienes los permisos para crear entidades de servicio o si va a usar un inquilino distinto de Microsoft Entra de su usuario de Azure DevOps.

Crear y configurar una conexión de servicio de identidad de carga de trabajo para usar la autenticación de identidad administrada

Es posible que tenga que crear manualmente una identidad administrada que use credenciales federadas y luego conceder los permisos necesarios. También puede usar la API REST para este proceso.

Creación de una entidad administrada

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda, escriba Identidades administradas.

  3. Seleccione Crear.

  4. En el panel Crear identidad administrada asignada por el usuario, introduzca o seleccione los valores para los siguientes elementos:

    • Suscripción: elija la suscripción en la que crear la identidad administrada asignada por el usuario.
    • Grupo de recursos: elija un grupo de recursos en el que crear la identidad administrada asignada por el usuario, o bien seleccione Crear nuevo para crear un nuevo grupo de recursos.
    • Región: elija una región para implementar la identidad administrada asignada por el usuario, por ejemplo, Este de EE. UU.
    • Nombre: escriba el nombre de la identidad administrada asignada por el usuario, por ejemplo, UADEVOPS.

  5. Copie los valores de ID de suscripción y el ID de cliente para la identidad administrada y usarlos más adelante.

  6. Vaya a Configuración>Propiedades.

  7. Copie el valor de Id. de inquilino para usarlo más adelante.

  8. Vaya a Configuración> Credenciales federadas.

  9. Seleccione Agregar credenciales.

  10. Seleccione el escenario Otro emisor.

  11. Escriba los valores del emisor y el ID de sujeto. Reemplazará estos valores más adelante al crear una conexión de servicio.

    Campo Descripción
    Emisor Escriba https://vstoken.dev.azure.com/<unique-identifier>. unique-identifier es el GUID de la organización de Azure DevOps.
    Identificador de sujeto Especifique sc://<Azure DevOps organization>/<project name>/<service connection name>. Ya no será necesario crear la conexión de servicio.

  12. Seleccione Guardar.

  13. Mantenga esta ventana abierta. Más adelante en el proceso, volverá a la ventana y actualizará las credenciales federadas del registro de la aplicación.

Concesión de permisos a una identidad administrada

  1. En Azure Portal, vaya al recurso de Azure para el que desee conceder los permisos (por ejemplo, un grupo de recursos).

  2. Seleccione Control de acceso (IAM).

    Captura de pantalla que muestra la selección de Control de acceso en el menú de recursos.

  3. Seleccione Agregar asignación de roles. Asigne el rol correspondiente a la identidad administrada (por ejemplo, Colaborador).

  4. Seleccione Revisar y asignar.

Crear una conexión de servicio para la autenticación de identidad administrada

  1. En Azure DevOps, abra su proyecto y vaya a >Pipelines> Conexiones de servicio.

  2. Seleccione Nueva conexión de servicio.

  3. Seleccione Azure Resource Manager y, a continuación, haga clic en Siguiente.

  4. Seleccione Federación de identidades de carga de trabajo (manual) y después elija Siguiente.

    Captura de pantalla que muestra la selección de la conexión del servicio de identidad de carga de trabajo.

  5. En Nombre de conexión de servicio, escriba el valor que usó para el ID de sujeto al crear las credenciales federadas.

  6. En ID de suscripción y Nombre de suscripción, escriba los valores de la suscripción en la cuenta de Azure Portal.

    Captura de pantalla que muestra las credenciales de suscripción federadas.

  7. En la sección de autenticación:

    1. En ID de entidad de servicio, escriba el valor del ID de cliente a partir de la identidad administrada.

    2. En ID de inquilino, escriba el valor del ID de inquilino a partir de la identidad administrada.

      Captura de pantalla que muestra los valores de identidad administrada de Azure Portal.

  8. En Azure DevOps, copie los valores generados para el emisor y el ID de sujeto.

    Captura de pantalla que las credenciales de DevOps para la autenticación federada.

  9. En Azure Portal, vuelva a las credenciales federadas del registro de la aplicación.

  10. Pegue los valores del emisor y el ID de sujeto copiados del proyecto de Azure DevOps en las credenciales federadas en Azure Portal.

    Captura de pantalla que muestra una comparación de credenciales federadas en Azure DevOps y Azure Portal.

  11. En Azure Portal, seleccione Actualizar para guardar las credenciales actualizadas.

  12. En Azure DevOps, seleccione Comprobar y guardar.

Crear y configurar una conexión de servicio de identidad de carga de trabajo para usar la autenticación de entidad de servicio

Es posible que tenga que crear manualmente una entidad de servicio que tenga credenciales federadas y luego conceder los permisos necesarios. También puede usar la API REST para este proceso.

Crear un registro de aplicación y credenciales federadas

  1. En Azure Portal, vaya a Registros de aplicaciones.

  2. Seleccione Nuevo registro.

    Captura de pantalla que muestra el registro de una nueva aplicación.

  3. En Nombre, escriba un nombre para el registro de aplicación y seleccione Quién puede usar esta aplicación o acceder a esta API.

  4. Copie los valores del ID de aplicación (cliente) y el ID de directorio (inquilino) del registro de aplicación para usarlos más adelante.

    Captura de pantalla que muestra el identificador de cliente y el identificador de inquilino del registro de la aplicación.

  5. Vaya a Administrar>Certificados y secretos.

  6. Seleccione Credenciales federadas.

    Captura de pantalla que muestra la pestaña Credenciales federadas.

  7. Seleccione Agregar credenciales.

  8. Seleccione el escenario Otro emisor.

    Captura de pantalla que muestra la selección de un escenario de credenciales federadas.

  9. Escriba los valores del emisor y el ID de sujeto. Reemplazará estos valores más adelante al crear una conexión de servicio.

    Campo Descripción
    Emisor Escriba https://vstoken.dev.azure.com/<unique-identifier>. unique-identifier es el GUID de la organización de Azure DevOps.
    Identificador de sujeto Especifique sc://<Azure DevOps organization>/<project name>/<service connection name>. Ya no será necesario crear su conexión de servicio.

  10. Seleccione Guardar.

  11. Mantenga esta ventana abierta. Más adelante en el proceso, volverá a la ventana y actualizará las credenciales federadas del registro de la aplicación.

Concesión de permisos al registro de la aplicación

  1. En Azure Portal, vaya al recurso de Azure para el que desee conceder los permisos (por ejemplo, un grupo de recursos).

  2. Seleccione Control de acceso (IAM).

    Captura de pantalla que muestra la selección de Control de acceso en el menú de recursos.

  3. Seleccione Agregar asignación de roles. Asigne el rol correspondiente al registro de la aplicación (por ejemplo, Colaborador).

  4. Seleccione Revisar y asignar.

Crear una conexión de servicio para la autenticación de entidad de servicio

  1. En Azure DevOps, abra su proyecto y vaya a >Pipelines> Conexiones de servicio.

  2. Seleccione Nueva conexión de servicio.

  3. Seleccione Azure Resource Manager y, a continuación, haga clic en Siguiente.

  4. Seleccione Federación de identidades de carga de trabajo (manual) y después elija Siguiente.

    Captura de pantalla que muestra la selección de la conexión del servicio de identidad de carga de trabajo.

  5. En Nombre de conexión de servicio, escriba el valor de ID de sujeto a partir de las credenciales federadas.

  6. En ID de suscripción y Nombre de suscripción, escriba los valores de la suscripción en la cuenta de Azure Portal.

    Captura de pantalla que muestra las credenciales de suscripción federadas.

  7. En la sección de autenticación:

    1. En ID de entidad de servicio, escriba el valor del ID de aplicación (cliente) del registro de la aplicación.

    2. En ID de inquilino, escriba el valor del ID de directorio (inquilino) a partir del registro de la aplicación.

  8. Copie los valores generados para el emisor y el ID de sujeto.

    Captura de pantalla que las credenciales de DevOps para la autenticación federada.

  9. En Azure Portal, vuelva a las credenciales federadas del registro de la aplicación.

  10. Pegue los valores del emisor y el ID de sujeto copiados del proyecto de Azure DevOps en las credenciales federadas en Azure Portal.

    Captura de pantalla de la comparación de credenciales federadas en Azure DevOps y Azure Portal.

  11. En Azure Portal, seleccione Actualizar para guardar las credenciales actualizadas.

  12. En Azure DevOps, seleccione Comprobar y guardar.