Résoudre les problèmes de connexion au service ARM

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Cet article présente des scénarios de dépannage courants pour vous aider à résoudre les problèmes que vous pouvez rencontrer lors de la création d’une connexion de service Azure Resource Manager. Consultez Gérer les connexions de service pour savoir comment créer, modifier et sécuriser des connexions de service.

Que se passe-t-il quand vous créez une connexion de service ARM ?

Si vous n’avez pas de connexion de service, vous pouvez en créer une comme suit :

1. Dans votre projet, sélectionnez Paramètres du projet, puis Connexions de service.

   

2. Sélectionnez Nouvelle connexion de service pour ajouter une nouvelle connexion de service, puis sélectionnez Azure Resource Manager. Sélectionnez Suivant lorsque vous avez terminé.

   

3. Sélectionnez Principal de service (automatique), puis **Suivant.

4. Sélectionnez Abonnement, puis sélectionnez votre abonnement dans la liste déroulante. Remplissez le formulaire, puis sélectionnez Enregistrer lorsque vous avez terminé.

   

Lorsque vous enregistrez votre nouvelle connexion de service ARM, Azure DevOps :

1. Permet de se connecter au tenant Microsoft Entra de l’abonnement sélectionné.
2. Crée une application dans Microsoft Entra ID au nom de l’utilisateur.
3. Une fois l’application correctement créée, affectez-la en tant que contributeur à l’abonnement sélectionné.
4. Crée une connexion de service Azure Resource Manager à l’aide des détails de cette application.

Notes

Pour créer des connexions de service, vous devez être ajouté au groupe Créateur du point de terminaison dans les paramètres de votre projet : Paramètres du projet>Connexions de service>Sécurité. Les contributeurs sont ajoutés à ce groupe par défaut.

Scénarios de résolution des problèmes

Voici quelques-uns des problèmes qui peuvent se produire lors de la création de connexions de service :

• Résoudre les problèmes de connexion au service ARM
  • Que se passe-t-il quand vous créez une connexion de service ARM ?
  • Scénarios de résolution des problèmes
    • Privilèges insuffisants pour effectuer l’opération
      • L’utilisateur dispose uniquement de l’autorisation d’invité dans le répertoire
      • L’utilisateur n’est pas autorisé à ajouter des applications dans le répertoire
    • Échec de l’obtention d’un jeton d’accès ou jeton d’actualisation valide introuvable
    • Échec de l’attribution du rôle Collaborateur
    • L’abonnement n’est pas listé au moment de la création d’une connexion de service
    • Certains abonnements sont manquants dans la liste des abonnements
    • Le jeton du principal de service a expiré
    • Échec de l’obtention du JWT à l’aide de l’ID client du principal de service
    • L’abonnement Azure n’est pas passé à partir de la sortie de tâche précédente
    • Quels sont les mécanismes d’authentification pris en charge ? Comment fonctionnent les identités managées ?
  • Articles connexes

Privilèges insuffisants pour effectuer l’opération

Cela se produit généralement lorsque le système tente de créer une application dans Microsoft Entra ID à votre place.

Il s’agit d’un problème d’autorisation qui peut être dû aux causes suivantes :

• L’utilisateur dispose uniquement de l’autorisation d’invité dans le répertoire
• L’utilisateur n’est pas autorisé à ajouter des applications dans le répertoire

L’utilisateur dispose uniquement de l’autorisation d’invité dans le répertoire

La meilleure approche pour résoudre ce problème, tout en accordant uniquement les autorisations supplémentaires minimales à l’utilisateur, consiste à augmenter les autorisations de l’utilisateur invité comme suit.

1. Connectez-vous au portail Azure en utilisant un compte d’administrateur. Le compte doit être un propriétaire, un administrateur général ou un administrateur de compte d’utilisateur.

2. Sélectionnez Microsoft Entra ID dans la barre de navigation gauche.

3. Vérifiez que vous modifiez le répertoire approprié correspondant à l’abonnement utilisateur. Si ce n’est pas le cas, sélectionnez Changer de répertoire et connectez-vous à l’aide des informations d’identification appropriées si nécessaire.

4. Sélectionnez Utilisateurs dans la section Gérer.

5. Sélectionnez Paramètres utilisateur.

6. Sélectionnez Gérer les paramètres de collaboration externe dans la section Utilisateurs externes .

7. Remplacez l’option Les autorisations d’utilisateur invité sont limitées par Non.

Si vous êtes prêt à accorder à l’utilisateur des autorisations supplémentaires (au niveau de l’administrateur), vous pouvez également le rendre membre du rôle Administrateur général. Pour ce faire, procédez comme suit :

Avertissement

Les utilisateurs auxquels le rôle Administrateur général est attribué peuvent lire et modifier chaque paramètre administratif dans votre organisation Microsoft Entra. Nous vous recommandons d'attribuer ce rôle à moins de cinq personnes au sein de votre organisation.

1. Connectez-vous au portail Azure en utilisant un compte d’administrateur. Le compte doit être un propriétaire, un administrateur général ou un administrateur de compte d’utilisateur.

2. Sélectionnez Microsoft Entra ID à partir du volet de navigation gauche.

3. Vérifiez que vous modifiez le répertoire approprié correspondant à l’abonnement utilisateur. Si ce n’est pas le cas, sélectionnez Changer de répertoire et connectez-vous à l’aide des informations d’identification appropriées si nécessaire.

4. Sélectionnez Utilisateurs dans la section Gérer.

5. Utilisez la zone de recherche pour rechercher l’utilisateur que vous souhaitez gérer.

6. Sélectionnez Rôle d’annuaire dans la section Gérer, puis remplacez le rôle par Administrateur général. Sélectionnez Enregistrer lorsque vous avez terminé.

L’application globale des modifications prend généralement de 15 à 20 minutes. L’utilisateur peut ensuite essayer de recréer la connexion de service.

L’utilisateur n’est pas autorisé à ajouter des applications dans le répertoire

Vous devez disposer des autorisations nécessaires pour ajouter des applications intégrées dans le répertoire. L’administrateur d’annuaire est autorisé à modifier ce paramètre.

1. Sélectionnez Microsoft Entra ID dans le volet de navigation gauche.

2. Vérifiez que vous modifiez le répertoire approprié correspondant à l’abonnement utilisateur. Si ce n’est pas le cas, sélectionnez Changer de répertoire et connectez-vous à l’aide des informations d’identification appropriées si nécessaire.

3. Sélectionnez Utilisateurs, puis Paramètres utilisateur.

4. Sous Inscriptions d’applications, puis remplacez l’option Les utilisateurs peuvent inscrire des applications par Oui.

Vous pouvez également créer le principal de service avec un utilisateur existant qui dispose déjà des autorisations requises dans Microsoft Entra ID. Consultez Créer une connexion de service Azure Resource Manager avec un principal de service existant pour plus d’informations.

Échec de l’obtention d’un jeton d’accès ou jeton d’actualisation valide introuvable

Ces erreurs se produisent généralement lorsque votre session a expiré. Pour résoudre ces problèmes :

1. Déconnectez-vous d’Azure DevOps.
2. Ouvrez une fenêtre de navigateur InPrivate ou incognito et accédez à Azure DevOps.
3. Connectez-vous à l’aide des informations d’identification appropriées.
4. Sélectionnez votre organisation et votre projet.
5. Créez votre connexion de service.

Échec de l’attribution du rôle contributeur

Cette erreur se produit généralement lorsque vous ne disposez pas de l’autorisation Écriture pour l’abonnement Azure sélectionné.

Pour résoudre ce problème, demandez à l’administrateur de l’abonnement de vous attribuer le rôle approprié dans Microsoft Entra ID.

L’abonnement n’est pas listé au moment de la création d’une connexion de service

Un maximum de 50 abonnements Azure sont répertoriés dans les différents menus déroulants d’abonnement Azure (facturation, connexion au service, etc.). Si vous configurez une connexion de service et que vous avez plus de 50 abonnements Azure, certains de vos abonnements ne seront pas répertoriés. Dans ce scénario, effectuez les étapes suivantes :

1. Créez un utilisateur Microsoft Entra natif dans l’instance Microsoft Entra de votre abonnement Azure.

2. Configurez l’utilisateur Microsoft Entra afin qu’il dispose des autorisations appropriées pour configurer la facturation ou créer des connexions de service. Pour plus d’informations, consultez Ajouter un utilisateur pouvant configurer la facturation pour Azure DevOps.

3. Ajoutez l’utilisateur Microsoft Entra à l’organisation Azure DevOps avec un niveau d’accès DE Partie prenante, puis ajoutez-le au groupe Administrateurs de la collection de projets (pour la facturation), ou vérifiez que l’utilisateur dispose d’autorisations suffisantes dans le projet d’équipe pour créer des connexions de service.

4. Connectez-vous à Azure DevOps avec les nouvelles informations d’identification d’utilisateur, puis configurez la facturation. Vous ne verrez qu’un seul abonnement Azure dans la liste.

Certains abonnements sont manquants dans la liste des abonnements

Ce problème peut être résolu en modifiant les paramètres des types de comptes pris en charge et en définissant qui peut utiliser votre application. Pour ce faire, procédez comme suit :

1. Connectez-vous au portail Azure.

2. Si vous avez accès à plusieurs locataires, utilisez le filtre Répertoire + abonnement dans le menu du haut pour sélectionner le locataire dans lequel vous voulez inscrire une application.

   

3. Sélectionnez Microsoft Entra ID à partir du volet gauche.

4. Sélectionnez Inscriptions d’applications.

5. Sélectionnez votre application dans la liste des applications inscrites.

6. Sous Authentification, sélectionnez Types de comptes pris en charge.

7. Sous Types de comptes pris en charge, Qui peut utiliser cette application ou accéder à cette API ? sélectionnez Comptes dans un annuaire organisationnel.

   

8. Sélectionnez Enregistrer lorsque vous avez terminé.

Le jeton du principal de service a expiré

Un problème qui se produit souvent avec les principaux de service créés automatiquement est que le jeton du principal de service expire et doit être renouvelé. Toutefois, si vous rencontrez un problème avec l’actualisation du jeton, consultez Jeton d’actualisation valide introuvable.

Pour renouveler le jeton d’accès pour un principal de service créé automatiquement :

1. Accédez à Paramètres du projet>Connexions de service, puis sélectionnez la connexion de service que vous souhaitez modifier.

2. Sélectionnez Modifier dans le coin supérieur droit, puis sélectionnez Vérifier.

3. Sélectionnez Enregistrer.

Le jeton de votre principal de service a été renouvelé pour trois mois supplémentaires.

Remarque

Cette opération est disponible même si le jeton du principal de service n’a pas expiré.

Échec de l’obtention du JWT à l’aide de l’ID client du principal de service

Ce problème se produit lorsque vous essayez de vérifier une connexion de service dont le secret a expiré.

Pour résoudre ce problème :

1. Accédez à Paramètres du projet>Connexions de service, puis sélectionnez la connexion de service que vous souhaitez modifier.

2. Sélectionnez Modifier dans le coin supérieur droit, puis apportez des modifications à votre connexion de service. La modification la plus simple et recommandée consiste à ajouter une description.

3. Sélectionnez Enregistrer pour enregistrer la connexion au service.

   Notes

   Sélectionnez Enregistrer. N’essayez pas de vérifier la connexion de service à cette étape.

4. Quittez la fenêtre de modification de la connexion de service, puis actualisez la page connexions de service.

5. Sélectionnez Modifier dans le coin supérieur droit, puis sélectionnez Vérifier.

6. Sélectionnez Enregistrer pour enregistrer votre connexion au service.

L’abonnement Azure n’est pas passé à partir de la sortie de tâche précédente

Vous pouvez rencontrer ce problème lorsque vous définissez votre abonnement Azure dynamiquement pour votre pipeline de mise en production et que vous souhaitez utiliser la variable de sortie d’une tâche précédente.

Pour résoudre le problème, vérifiez que les valeurs sont définies dans la section variables de votre pipeline. Vous pouvez ensuite passer cette variable entre les tâches de votre pipeline.

Quels sont les mécanismes d’authentification pris en charge ? Comment fonctionnent les identités managées ?

Une connexion de service Azure Resource Manager peut se connecter à un abonnement Azure à l’aide d’une authentification de principal de service (SPA) ou d’une authentification d’identité managée. Les identités managées pour les ressources Azure fournissent aux services Azure une identité automatiquement gérée dans Microsoft Entra ID. Vous pouvez utiliser cette identité pour vous authentifier auprès de n’importe quel service prenant en charge l’authentification Microsoft Entra sans persistance des informations d’identification dans le code ou dans la connexion de service.

Pour en savoir plus sur les identités managées pour les machines virtuelles, consultez Attribution de rôles.

Notes

Les identités managées ne sont pas prises en charge dans les agents hébergés par Microsoft. Dans ce scénario, vous devez configurer un agent auto-hébergé sur une machine virtuelle Azure et configurer une identité managée pour cette machine virtuelle.

Articles connexes

• Résoudre les problèmes d’exécution de pipeline
• Passer en revue les journaux d'activité de pipeline
• Définir des variables
• Variables de mise en production et d’artefacts classiques