Configurer manuellement une connexion de service d’identité de charge de travail Azure Resource Manager

  • Article

Lorsque vous résolvez les problèmes d’une connexion au service d’identité de charge de travail Azure Resource Manager, vous pouvez avoir besoin de configurer manuellement la connexion au lieu d’utiliser l’outil automatisé disponible dans Azure DevOps.

Nous vous recommandons d’essayer l’approche automatisée avant de commencer une configuration manuelle.

Il existe deux options pour l’authentification : utiliser une identité managée et utiliser un principal de service. L’avantage de l’option d’identité managée est que vous pouvez l’utiliser si vous n’êtes pas autorisé à créer des principaux de service ou que vous utilisez un locataire Microsoft Entra différent de votre utilisateur Azure DevOps.

Configurer une connexion de service d’identité de charge de travail pour utiliser l’authentification d’identité managée

Vous devrez peut-être créer manuellement une identité managée qui utilise des informations d’identification fédérées, puis accorder les autorisations requises. Vous pouvez également utiliser l’API REST pour ce processus.

Créer une identité managée

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche, entrez Identités managées.

  3. Sélectionnez Créer.

  4. Dans le volet Créer une identité managée affectée par l’utilisateur, entrez ou sélectionnez des valeurs pour les éléments suivants :

    • Abonnement: Sélectionnez l’abonnement dans lequel créer l’identité managée affectée par l’utilisateur.
    • Groupe de ressources : sélectionnez un groupe de ressources pour créer l’identité managée affectée à l’utilisateur ou sélectionnez Créer un nouveau pour créer un groupe de ressources.
    • Région : sélectionnez une région Azure où déployer l’identité managée affectée par l’utilisateur, par exemple USA Est.
    • Nom : entrez le nom de votre identité managée affectée par l’utilisateur, par exemple UADEVOPS.

  5. Copiez les valeurs ID d’abonnement et ID client de votre identité managée pour une utilisation ultérieure.

  6. Accéder à Propriétés>des paramètres.

  7. Copier la valeur ID de l’abonné pour l’utiliser ultérieurement.

  8. Accéder à Paramètres Informations>d’identification fédérées.

  9. Sélectionner Ajouter des informations d’identification.

  10. Sélectionner le scénario Autre émetteur.

  11. Entrer les valeurs de l’émetteur et de l’identificateur de l’objet. Vous remplacerez ces valeurs ultérieurement.

    Champ Description
    Émetteur Entrez https://app.vstoken.visualstudio.com/<unique-identifier>.
    Identificateur de l’objet Spécifier sc://<Azure DevOps organization>/<project name>/<service connection name>. La connexion de service n’a pas besoin d’être déjà créée.

  12. Sélectionnez Enregistrer.

  13. Gardez cette fenêtre ouverte. Plus loin dans le processus, vous reviendrez à la fenêtre et mettrez à jour vos informations d’identification fédérées d’inscription d’application.

Octroyer des autorisations à l’identité managée

  1. Dans le portail Azure, accédez à la ressource Azure pour laquelle vous souhaitez accorder des autorisations (par exemple, un groupe de ressources).

  2. Sélectionnez Contrôle d’accès (IAM) .

    Capture d'écran montrant la sélection de Contrôle d'accès dans le menu des ressources.

  3. Sélectionnez Ajouter une attribution de rôle. Attribuez le rôle requis à votre identité managée (exemple, Contributeur).

  4. Sélectionnez Vérifier et attribuer.

Créer une connexion de service pour l'authentification d’identité managée

  1. Dans Azure DevOps, ouvrir votre projet et accéder à >Connexions de service>pipelines.

  2. Sélectionnez Nouvelle connexion de service.

  3. Sélectionnez Azure Resource Manager, puis sélectionnez Suivant.

  4. Sélectionnez Fédération d’identité de charge de travail (manuelle), puis sélectionnez Suivant.

    Capture d'écran montrant la sélection de la connexion au service d'identité de la charge de travail.

  5. Pour le nom de la connexion de service, entrez la valeur que vous avez utilisée pour l’identificateur d’objet lorsque vous avez créé vos informations d’identification fédérées.

  6. Pour l’ID d’abonnement et le nom de l’abonnement, entrez les valeurs de l’abonnement dans votre compte Portail Azure.

    Capture d'écran montrant les informations d'identification de l'abonnement fédéré.

  7. Dans la section authentification :

    1. Pour l’ID du principal de service, entrez la valeur de l’ID client de votre identité managée.

    2. Pour l'ID client, entrez la valeur de l'ID client de votre identité managée.

      Capture d'écran montrant les valeurs d'identité gérées du portail Azure.

  8. Dans Azure DevOps, copier les valeurs générées pour Émetteur et Identificateur d’objet.

    Capture d'écran montrant les informations d'identification DevOps pour l'authentification fédérée.

  9. Dans le portail Azure, revenir aux informations d’identification fédérées de votre inscription d’application.

  10. Copiez les valeurs de l’émetteur et de l’identificateur d’objet que vous avez copiées depuis votre projet Azure DevOps, dans vos informations d’identification fédérées du portail Azure.

    Capture d'écran montrant une comparaison des identifiants fédérés dans Azure DevOps et le portail Azure.

  11. Dans le portail Azure, sélectionner Mettre à jour pour enregistrer les informations d’identification mises à jour.

  12. Dans Azure DevOps, sélectionner Vérifier et enregistrer.

Configurer une connexion de service d’identité de charge de travail pour utiliser l’authentification du principal de service

Vous devrez peut-être créer manuellement un principal de service qui possède des informations d’identification fédérées, puis accorder les autorisations requises. Vous pouvez également utiliser l’API REST pour ce processus.

Créer une inscription d’application et des informations d’identification fédérées

  1. Dans le portail Azure, accédez à Inscriptions d’applications.

  2. Sélectionnez Nouvelle inscription.

    Capture d’écran montrant l’inscription d’une nouvelle application.

  3. Pour Nom, entrez un nom pour l’inscription de votre application, puis sélectionnez Qui peut utiliser cette application ou accéder à cette API.

  4. Copiez les valeurs définies pour ID d’application (client) et ID d’annuaire (locataire) depuis votre inscription d’application pour une utilisation ultérieure.

    Capture d'écran montrant l'identification du client et du locataire pour l'enregistrement de l'application.

  5. Accéder à Gérer>Certificats et secrets.

  6. Sélectionnez Informations d’identification fédérées.

    Capture d'écran montrant l'onglet des identifiants fédérés.

  7. Sélectionner Ajouter des informations d’identification.

  8. Sélectionner le scénario Autre émetteur.

    Capture d'écran montrant la sélection d'un scénario d'authentification fédérée.

  9. Entrer les valeurs de l’émetteur et de l’identificateur de l’objet. Vous remplacerez ces valeurs ultérieurement.

    Champ Description
    Émetteur Entrez https://app.vstoken.visualstudio.com/<unique-identifier>.
    Identificateur de l’objet Spécifier sc://<Azure DevOps organization>/<project name>/<service connection name>. Votre connexion de service n’a pas besoin d’être déjà créée.

  10. Sélectionnez Enregistrer.

  11. Gardez cette fenêtre ouverte. Plus loin dans le processus, vous reviendrez à la fenêtre et mettrez à jour vos informations d’identification fédérées d’inscription d’application.

Accorder des autorisations à l’inscription de l’application

  1. Dans le portail Azure, accédez à la ressource Azure pour laquelle vous souhaitez accorder des autorisations (par exemple, un groupe de ressources).

  2. Sélectionnez Contrôle d’accès (IAM) .

    Capture d'écran montrant la sélection de Contrôle d'accès dans le menu des ressources.

  3. Sélectionnez Ajouter une attribution de rôle. Attribuez le rôle requis à l’inscription d'application (exemple, contributeur).

  4. Sélectionnez Vérifier et attribuer.

Créer une connexion de service pour l’authentification du principal de service

  1. Dans Azure DevOps, ouvrir votre projet et accéder à >Connexions de service>pipelines.

  2. Sélectionnez Nouvelle connexion de service.

  3. Sélectionnez Azure Resource Manager, puis sélectionnez Suivant.

  4. Sélectionnez Fédération d’identité de charge de travail (manuelle), puis sélectionnez Suivant.

    Capture d'écran montrant la sélection de la connexion au service d'identité de la charge de travail.

  5. Pour Nom de la connexion de service, entrez la valeur de l’identificateur d’objet de vos informations d’identification fédérées.

  6. Pour l’ID d’abonnement et le nom de l’abonnement, entrez les valeurs de l’abonnement dans votre compte Portail Azure.

    Capture d'écran montrant les informations d'identification de l'abonnement fédéré.

  7. Dans la section authentification :

    1. Pour ID de principal de service , entrez la valeur de ID application (client) de votre inscription d'application.

    2. Pour ID du client, entrez la valeur de ID du répertoire (locataire)de votre inscription d'application.

  8. Copier les valeurs générées pour Émetteur et Identificateur d’objet.

    Capture d'écran montrant les informations d'identification DevOps pour l'authentification fédérée.

  9. Dans le portail Azure, revenir aux informations d’identification fédérées de votre inscription d’application.

  10. Copiez les valeurs de l’émetteur et de l’identificateur d’objet que vous avez copiées depuis votre projet Azure DevOps, dans vos informations d’identification fédérées du portail Azure.

    Capture d'écran comparant les informations d'identification fédérées dans Azure DevOps et le portail Azure.

  11. Dans le portail Azure, sélectionner Mettre à jour pour enregistrer les informations d’identification mises à jour.

  12. Dans Azure DevOps, sélectionner Vérifier et enregistrer.