Csatlakozás az Azure-hoz Azure Resource Manager-szolgáltatáskapcsolat használatával
Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019
Azure Resource Manager-szolgáltatáskapcsolattal csatlakozhat az Azure-erőforrásokhoz, például az Azure Key Vaulthoz. Ha Resource Manager-szolgáltatáskapcsolatot használ, egy folyamattal üzembe helyezhet egy Azure-erőforrást, például egy Azure-alkalmazás Service-alkalmazást anélkül, hogy minden alkalommal hitelesítenék.
Több hitelesítési lehetőség is van az Azure-hoz való csatlakozáshoz azure Resource Manager-szolgáltatáskapcsolatok használatával:
- Szolgáltatásnév számítási feladatok identitásának összevonásával
- Szolgáltatásnév titkos kóddal
- Rendszer által hozzárendelt felügyelt identitás
- Nyilvános profil
A szolgáltatáskapcsolat szolgáltatásnév használatával hitelesíti az Azure-erőforrásokat.
Számítási feladatok identitásának összevonását használó Azure Resource Manager-szolgáltatáskapcsolat létrehozása
A számítási feladatok identitásának összevonása az OpenID Connect (OIDC) használatával, titkos kulcsok használata nélkül hitelesíthető a Microsoft Entra által védett erőforrásokkal. A számítási feladatok identitás-összevonását automatikusan létrehozhatja hitelesítéshez, vagy manuálisan is létrehozhatja.
Javasoljuk, hogy ezt a megközelítésmódot használja, ha az alábbi elemek mindegyike igaz az Ön forgatókönyvére:
- Ön az Azure-előfizetése Tulajdonos szerepkörével rendelkezik.
- Nem csatlakozik az Azure Stackhez vagy az Azure US Government-környezetekhez.
- A Marketplace-bővítmények által használt tevékenységek frissülnek a számítási feladatok identitás-összevonásának támogatásához.
További információ: Számítási feladatok identitásának összevonása.
Szolgáltatáskapcsolat létrehozása számítási feladatok identitásának összevonásával (automatikus)
Ezzel a kijelöléssel az Azure DevOps automatikusan lekérdezi azt az előfizetést, felügyeleti csoportot vagy Machine Learning-munkaterületet, amelyhez csatlakozni szeretne, és létrehoz egy számítási feladat identitás-összevonását a hitelesítéshez.
Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.
További információ: Projektbeállítások megnyitása.
Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.
Válassza a Számítási feladatok identitás összevonása (automatikus) és a Tovább lehetőséget.
Válasszon egy hatókörszintet. Válassza az Előfizetés, a Felügyeleti csoport vagy a Machine Learning-munkaterület lehetőséget. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben. A Machine Learning-munkaterületen gépi tanulási összetevők hozhatók létre.
Az Előfizetés hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés Szükséges. Válassza ki az Azure-előfizetést. Erőforráscsoport Szükséges. Válassza ki az Azure-erőforráscsoportot. A felügyeleti csoport hatóköréhez válassza ki az Azure felügyeleti csoportot.
A Machine Learning-munkaterület hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés Szükséges. Válassza ki az Azure-előfizetést. Erőforráscsoport Szükséges. Válassza ki a munkaterületet tartalmazó erőforráscsoportot. Machine Learning-munkaterület Szükséges. Válassza ki az Azure Machine Learning-munkaterületet.
Adjon meg egy szolgáltatáskapcsolatnevet.
Szükség esetén adja meg a szolgáltatáskapcsolat leírását.
Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.
Válassza a Mentés lehetőséget.
Az új szolgáltatáskapcsolat létrehozása után másolja ki a kapcsolat nevét, és illessze be a kódba értékként azureSubscription
.
Egy adott Azure-erőforráson való üzembe helyezéshez a feladatnak több adatra van szüksége az adott erőforrásról. Nyissa meg az erőforrást az Azure Portalon, majd másolja az adatokat a kódba. Webalkalmazás üzembe helyezéséhez például másolja ki a Azure-alkalmazás Service-alkalmazás nevét, és illessze be a kódba értékkéntWebAppName
.
Szolgáltatáskapcsolat létrehozása a számítási feladatok identitásának összevonásával (manuális)
Ezzel a beállítással manuálisan hozhat létre olyan szolgáltatáskapcsolatot, amely egy meglévő számítási feladat identitás-összevonását használja a hitelesítéshez.
Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.
További információ: Projektbeállítások megnyitása.
Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.
Válassza a Számítási feladatok identitás összevonása (manuális) és a Tovább lehetőséget.
Az 1. lépésben: Alapismeretek:
- Adja meg a szolgáltatáskapcsolat nevét
- Szükség esetén adjon meg egy leírást.
- Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.
- Válassza a Tovább lehetőséget.
A 2. lépésben: Szolgáltatásnév részletei:
2. lépés: A szolgáltatásnév részletei a következő paramétereket tartalmazzák. A következő paramétereket adhatja meg vagy választhatja ki:
Paraméter Leírás Kibocsátó Szükséges. A DevOps automatikusan létrehozza a kiállító URL-címét Tárgyazonosító Szükséges. A DevOps automatikusan létrehozza a tárgyazonosítót. Environment Szükséges. Válasszon ki egy felhőkörnyezetet, amelyhez csatlakozni szeretne. Ha az Azure Stacket választja, adja meg a környezet URL-címét, amely hasonló https://management.local.azurestack.external
.Válassza ki a hatókörszintet. Válassza az Előfizetés, a Felügyeleti csoport vagy a Machine Learning-munkaterület lehetőséget. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben. A Machine Learning-munkaterületen gépi tanulási összetevők hozhatók létre.
Az Előfizetés hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés azonosítója Szükséges. Adja meg az Azure-előfizetés azonosítóját. Előfizetés neve Szükséges. Adja meg az Azure-előfizetés nevét. A felügyeleti csoport hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Felügyeleti csoport azonosítója Szükséges. Adja meg az Azure felügyeleti csoport azonosítóját. Felügyeleti csoport neve Szükséges. Adja meg az Azure felügyeleti csoport nevét. A Machine Learning-munkaterület hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés azonosítója Szükséges. Adja meg az Azure-előfizetés azonosítóját. Előfizetés neve Szükséges. Adja meg az Azure-előfizetés nevét. Erőforráscsoport Szükséges. Válassza ki a munkaterületet tartalmazó erőforráscsoportot. Ml-munkaterület neve Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület nevét. ML-munkaterület helye Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület helyét.
A Hitelesítés szakaszban adja meg vagy válassza ki a következő paramétereket:
Paraméter Leírás Szolgáltatásnév azonosítója Szükséges. Adja meg a szolgáltatásnév azonosítóját. Bérlőazonosító Szükséges. Adja meg a bérlőazonosítót. A Részletek szakaszban adja meg a következő paramétereket:
Paraméter Leírás Kapcsolat neve Szükséges. A szolgáltatáskapcsolatra a tevékenység tulajdonságai között hivatkozó név. Nem az Azure-előfizetés neve. Leírás Opcionális. Adja meg a szolgáltatáskapcsolat leírását. A Biztonság szakaszban válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.
Válassza az Ellenőrzés és mentés lehetőséget a szolgáltatáskapcsolat érvényesítéséhez és létrehozásához.
Az új szolgáltatáskapcsolat létrehozása után másolja ki a kapcsolat nevét, és illessze be a kódba értékként azureSubscription
.
Egy adott Azure-erőforráson való üzembe helyezéshez a feladatnak több adatra van szüksége az adott erőforrásról. Nyissa meg az erőforrást az Azure Portalon, majd másolja az adatokat a kódba. Webalkalmazás üzembe helyezéséhez például másolja ki a Azure-alkalmazás Service-alkalmazás nevét, és illessze be a kódba értékkéntWebAppName
.
Meglévő Azure Resource Manager-szolgáltatáskapcsolat átalakítása számítási feladatok identitás-összevonásának használatára
A meglévő Azure Resource Manager-szolgáltatáskapcsolatokat gyorsan átalakíthatja úgy, hogy szolgáltatásnév helyett számítási feladatok identitás-összevonását használják a hitelesítéshez. Az Azure DevOps szolgáltatáskapcsolat-átalakítási eszközét akkor használhatja, ha a szolgáltatáskapcsolat megfelel az alábbi követelményeknek:
- Az Azure DevOps eredetileg létrehozta a szolgáltatáskapcsolatot. Ha manuálisan hozza létre a szolgáltatáskapcsolatot, nem konvertálhatja a szolgáltatáskapcsolatot a szolgáltatáskapcsolat-átalakítási eszközzel, mert az Azure DevOps nem rendelkezik a saját hitelesítő adatainak módosítására vonatkozó engedélyekkel.
- Csak egy projekt használja a szolgáltatáskapcsolatot. A projektszolgáltatás kapcsolatok nem konvertálhatók.
Szolgáltatáskapcsolat konvertálása:
Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.
További információ: Projektbeállítások megnyitása.
Válassza ki azt a szolgáltatáskapcsolatot, amelyet át szeretne alakítani számítási feladat identitásának használatára.
Válassza a Konvertálás lehetőséget.
Ha már rendelkezik lejárt titkos kóddal rendelkező szolgáltatásnév-hitelesítő adatokkal, egy másik konvertálási lehetőség jelenik meg.
A Konvertálás gombra kattintva erősítse meg, hogy új szolgáltatáskapcsolatot szeretne létrehozni.
Az átalakítás eltarthat néhány percig. Ha vissza szeretné állítani a kapcsolatot, hét napon belül vissza kell állítania.
Több Azure Resource Manager-szolgáltatáskapcsolat konvertálása szkripttel
Szkript használatával egyszerre több szolgáltatáskapcsolatot is frissíthet, így mostantól a számítási feladatok identitás-összevonását használhatja a hitelesítéshez.
Ez a példa PowerShell-szkript két paramétert igényel: Az Azure DevOps szervezetét (például: https://dev.azure.com/fabrikam-tailspin
) és az Azure DevOps-projektet (például: Space game web agent
). A szkript ezután lekéri az Azure DevOps-projekt és -szervezet társított szolgáltatáskapcsolatait.
Amikor a szolgáltatáskapcsolatokat számítási feladat identitás-összevonására konvertálja, a rendszer kérni fogja, hogy erősítse meg a frissítést minden olyan kapcsolat esetében, amely még nem használja azt. A megerősítést követően a szkript frissíti ezeket a szolgáltatáskapcsolatokat az Azure DevOps REST API-val a számítási feladatok identitás-összevonásának használatához.
A szkript futtatásához a PowerShell 7.3-as vagy újabb verziójára és az Azure CLI-re van szükség. Mentse a szkriptet egy .ps1
fájlba, és futtassa a PowerShell 7 használatával.
#!/usr/bin/env pwsh
<#
.SYNOPSIS
Convert multiple Azure Resource Manager service connection(s) to use Workload identity federation
.LINK
https://aka.ms/azdo-rm-workload-identity-conversion
.EXAMPLE
./convert_azurerm_service_connection_to_oidc_simple.ps1 -Project <project> -OrganizationUrl https://dev.azure.com/<organization>
#>
#Requires -Version 7.3
param (
[parameter(Mandatory=$true,HelpMessage="Name of the Azure DevOps Project")]
[string]
[ValidateNotNullOrEmpty()]
$Project,
[parameter(Mandatory=$true,HelpMessage="Url of the Azure DevOps Organization")]
[uri]
[ValidateNotNullOrEmpty()]
$OrganizationUrl
)
$apiVersion = "7.1"
$PSNativeCommandArgumentPassing = "Standard"
#-----------------------------------------------------------
# Log in to Azure
$azdoResource = "499b84ac-1321-427f-aa17-267ca6975798" # application id of Azure DevOps
az login --allow-no-subscriptions --scope ${azdoResource}/.default
$OrganizationUrl = $OrganizationUrl.ToString().Trim('/')
#-----------------------------------------------------------
# Retrieve the service connection
$getApiUrl = "${OrganizationUrl}/${Project}/_apis/serviceendpoint/endpoints?authSchemes=ServicePrincipal&type=azurerm&includeFailed=false&includeDetails=true&api-version=${apiVersion}"
az rest --resource $azdoResource -u "${getApiUrl} " -m GET --query "sort_by(value[?authorization.scheme=='ServicePrincipal' && data.creationMode=='Automatic' && !(isShared && serviceEndpointProjectReferences[0].projectReference.name!='${Project}')],&name)" -o json `
| Tee-Object -Variable rawResponse | ConvertFrom-Json | Tee-Object -Variable serviceEndpoints | Format-List | Out-String | Write-Debug
if (!$serviceEndpoints -or ($serviceEndpoints.count-eq 0)) {
Write-Warning "No convertible service connections found"
exit 1
}
foreach ($serviceEndpoint in $serviceEndpoints) {
# Prompt user to confirm conversion
$choices = @(
[System.Management.Automation.Host.ChoiceDescription]::new("&Convert", "Converting service connection '$($serviceEndpoint.name)'...")
[System.Management.Automation.Host.ChoiceDescription]::new("&Skip", "Skipping service connection '$($serviceEndpoint.name)'...")
[System.Management.Automation.Host.ChoiceDescription]::new("&Exit", "Exit script")
)
$prompt = $serviceEndpoint.isShared ? "Convert shared service connection '$($serviceEndpoint.name)'?" : "Convert service connection '$($serviceEndpoint.name)'?"
$decision = $Host.UI.PromptForChoice([string]::Empty, $prompt, $choices, $serviceEndpoint.isShared ? 1 : 0)
if ($decision -eq 0) {
Write-Host "$($choices[$decision].HelpMessage)"
} elseif ($decision -eq 1) {
Write-Host "$($PSStyle.Formatting.Warning)$($choices[$decision].HelpMessage)$($PSStyle.Reset)"
continue
} elseif ($decision -ge 2) {
Write-Host "$($PSStyle.Formatting.Warning)$($choices[$decision].HelpMessage)$($PSStyle.Reset)"
exit
}
# Prepare request body
$serviceEndpoint.authorization.scheme = "WorkloadIdentityFederation"
$serviceEndpoint.data.PSObject.Properties.Remove('revertSchemeDeadline')
$serviceEndpoint | ConvertTo-Json -Depth 4 | Write-Debug
$serviceEndpoint | ConvertTo-Json -Depth 4 -Compress | Set-Variable serviceEndpointRequest
$putApiUrl = "${OrganizationUrl}/${Project}/_apis/serviceendpoint/endpoints/$($serviceEndpoint.id)?operation=ConvertAuthenticationScheme&api-version=${apiVersion}"
# Convert service connection
az rest -u "${putApiUrl} " -m PUT -b $serviceEndpointRequest --headers content-type=application/json --resource $azdoResource -o json `
| ConvertFrom-Json | Set-Variable updatedServiceEndpoint
$updatedServiceEndpoint | ConvertTo-Json -Depth 4 | Write-Debug
if (!$updatedServiceEndpoint) {
Write-Debug "Empty response"
Write-Error "Failed to convert service connection '$($serviceEndpoint.name)'"
exit 1
}
Write-Host "Successfully converted service connection '$($serviceEndpoint.name)'"
}
Meglévő Azure Resource Manager-szolgáltatáskapcsolat visszaállítása, amely szolgáltatásnév-titkos kulcsot használ
Egy átalakított automatikus szolgáltatáskapcsolatot hét napig visszaállíthat a titkos kóddal. Hét nap után manuálisan hozzon létre egy új titkos kulcsot.
Ha manuálisan hozza létre és konvertálja a szolgáltatáskapcsolatot, a szolgáltatáskapcsolat-átalakítási eszközzel nem állíthatja vissza a szolgáltatáskapcsolatot, mert az Azure DevOps nem rendelkezik a saját hitelesítő adatainak módosítására vonatkozó engedélyekkel.
Szolgáltatáskapcsolat visszaállítása:
Az Azure DevOps-projektben nyissa meg a Pipelines>Service-kapcsolatokat.
Válasszon ki egy meglévő szolgáltatáskapcsolatot a visszaállításhoz.
Válassza a Konvertálás visszaállítása az eredeti sémára lehetőséget.
Válassza újra a Visszaállítás lehetőséget a választás megerősítéséhez.
Azure Resource Manager-szolgáltatáskapcsolat létrehozása egyszerű titkos kóddal
Szolgáltatáskapcsolatot állíthat be az Azure-erőforrások hitelesítéséhez egy egyszerű titkos kód használatával. Ez a módszer akkor hasznos, ha további engedélyeket kell korlátoznia a felhasználók által a szolgáltatáskapcsolaton keresztül elért Azure-erőforrásokra vonatkozóan.
Dönthet úgy, hogy manuálisan vagy automatikusan konfigurálja a szolgáltatáskapcsolatot. Ajánlott az automatikus megközelítést használni, ha az Azure Pipelines-szervezet és az Azure-előfizetés tulajdonosaként jelentkezett be, és nem kell tovább korlátoznia a felhasználók által a szolgáltatáskapcsolaton keresztül elért Azure-erőforrások engedélyeit.
Javasoljuk, hogy ezt a megközelítésmódot használja, ha az alábbi elemek mindegyike igaz az Ön forgatókönyvére:
- Ön az Azure Pipelines-szervezet és az Azure-előfizetés tulajdonosa.
- Nem kell tovább korlátoznia a felhasználók által a szolgáltatáskapcsolaton keresztül elért Azure-erőforrásokra vonatkozó engedélyeket.
- Ön nem csatlakozik az Azure Stackhez vagy valamely Azure Government Cloudhoz.
- Nem az Azure DevOps Server 2019-ből vagy a Team Foundation Server korábbi verzióiból csatlakozik.
A szolgáltatáskapcsolat létrehozása:
Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.
További információ: Projektbeállítások megnyitása.
Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.
Válassza a Szolgáltatásnév (automatikus) és a Tovább lehetőséget.
Válassza ki a hatókör szintjét. Válassza az Előfizetés, a Felügyeleti csoport vagy a Machine Learning-munkaterület lehetőséget. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben. A Machine Learning-munkaterületen gépi tanulási összetevők hozhatók létre.
Az Előfizetés hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés azonosítója Szükséges. Adja meg az Azure-előfizetés azonosítóját. Előfizetés neve Szükséges. Adja meg az Azure-előfizetés nevét. A felügyeleti csoport hatóköréhez adja meg a következő paramétereket, és válassza ki az Azure felügyeleti csoportot.
A Machine Learning-munkaterület hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés azonosítója Szükséges. Adja meg az Azure-előfizetés azonosítóját. Előfizetés neve Szükséges. Adja meg az Azure-előfizetés nevét. Erőforráscsoport Szükséges. Válassza ki a munkaterületet tartalmazó erőforráscsoportot. Ml-munkaterület neve Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület nevét. ML-munkaterület helye Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület helyét.
Adjon meg egy szolgáltatáskapcsolatnevet.
Szükség esetén adja meg a szolgáltatáskapcsolat leírását.
Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.
Válassza a Mentés lehetőséget.
Az új szolgáltatáskapcsolat létrehozása után:
- Ha a klasszikus szerkesztőt használja, válassza ki a folyamat Azure-előfizetési beállításában hozzárendelt kapcsolatnevet.
- HA YAML-fájlt használ, másolja a kapcsolat nevét a kódba értékként
azureSubscription
.
Egy adott Azure-erőforráson való üzembe helyezéshez adjon hozzá további információt az erőforrásról a tevékenységhez:
- Ha a klasszikus szerkesztőt használja, válassza ki a tevékenységhez hozzáadni kívánt adatokat. Válassza ki például az App Service nevét.
- HA YAML-fájlt használ, nyissa meg az erőforrást az Azure Portalon. Másolja ki a szükséges adatokat, és illessze be a feladatkódot. Webalkalmazás üzembe helyezéséhez például másolja ki az App Service-alkalmazás nevét, és illessze be értékként a
WebAppName
YAML feladatba.
Feljegyzés
Ha ezt a módszert követi, az Azure DevOps csatlakozik a Microsoft Entra-azonosítóhoz, és létrehoz egy alkalmazásregisztrációt egy három hónapig érvényes titkos kóddal. Amikor a szolgáltatáskapcsolat hamarosan lejár, a Microsoft Entra-azonosító megjeleníti ezt a kérdést: Hamarosan lejár egy tanúsítvány vagy titkos kód. Hozzon létre egy újat. Ebben az esetben frissítenie kell a szolgáltatáskapcsolatot.
Szolgáltatáskapcsolat frissítéséhez az Azure DevOps portálon szerkessze a kapcsolatot, majd válassza az Ellenőrzés lehetőséget. A szerkesztés mentése után a szolgáltatáskapcsolat további három hónapig érvényes.
Javasoljuk, hogy titkos kulcs létrehozása helyett használja a számítási feladatok identitás-összevonását. Ha számítási feladat identitás-összevonását használja, nem kell titkos kulcsokat elforgatnia, és az alkalmazásregisztráció megtartja a kívánt célt. A számítási feladatok identitás-összevonásának megkezdéséhez nyissa meg a szolgáltatáskapcsolat részleteit tartalmazó lapot, és válassza a Konvertálás lehetőséget. A szolgáltatáskapcsolat titkos kulcs helyett számítási feladatok identitás-összevonásának használatára lesz konvertálva. További információ: Meglévő Azure Resource Manager-szolgáltatáskapcsolat átalakítása számítási feladatok identitás-összevonásának használatára.
További információ: Azure Resource Manager-szolgáltatáskapcsolat hibaelhárítása.
Ha problémái vannak ezzel a megközelítéssel (például nem jelennek meg előfizetések a legördülő listában), vagy ha korlátozni szeretné a felhasználói engedélyeket, használhat inkább egy szolgáltatásnevet vagy egy felügyelt identitással rendelkező virtuális gépet.
Meglévő szolgáltatásnevet használó Azure Resource Manager-szolgáltatáskapcsolat létrehozása
Ha előre definiált hozzáférési engedélyeket szeretne használni, és még nincs definiálva szolgáltatásnév erre a célra, kövesse az alábbi oktatóanyagok egyikét egy új szolgáltatásnév létrehozásához:
- A portálon létrehozhat egy Microsoft Entra-alkalmazást és egy olyan szolgáltatásnevet, amely hozzáfér az erőforrásokhoz
- Tanúsítványt tartalmazó Azure-szolgáltatásnév létrehozása az Azure PowerShell használatával
Meglévő szolgáltatásnevet használó szolgáltatáskapcsolat létrehozása:
Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.
További információ: Projektbeállítások megnyitása.
Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.
Válassza a Szolgáltatásnév (manuális) és a Tovább lehetőséget.
Az Új Azure-szolgáltatáskapcsolat párbeszédpanelen válassza ki a környezetet. Ha az Azure Stacket választja, adja meg a környezet URL-címét, amely hasonló
https://management.local.azurestack.external
.Válassza ki a hatókörszintet. Válassza az Előfizetés, a Felügyeleti csoport vagy a Machine Learning-munkaterület lehetőséget. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben. A Machine Learning-munkaterületen gépi tanulási összetevők hozhatók létre.
Az Előfizetés hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés azonosítója Szükséges. Adja meg az Azure-előfizetés azonosítóját. Előfizetés neve Szükséges. Adja meg az Azure-előfizetés nevét. A felügyeleti csoport hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Felügyeleti csoport azonosítója Szükséges. Adja meg az Azure felügyeleti csoport azonosítóját. Felügyeleti csoport neve Szükséges. Adja meg az Azure felügyeleti csoport nevét. A Machine Learning-munkaterület hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés azonosítója Szükséges. Adja meg az Azure-előfizetés azonosítóját. Előfizetés neve Szükséges. Adja meg az Azure-előfizetés nevét. Erőforráscsoport Szükséges. Válassza ki a munkaterületet tartalmazó erőforráscsoportot. Ml-munkaterület neve Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület nevét. ML-munkaterület helye Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület helyét.
A Hitelesítés szakaszban adja meg vagy válassza ki a következő paramétereket:
Paraméter Leírás Szolgáltatásnév azonosítója Szükséges. Adja meg a szolgáltatásnév azonosítóját. Megbízólevél Válassza ki a szolgáltatásnévkulcsot vagy -tanúsítványt. Ha a szolgáltatásnévkulcsot választotta, adja meg a kulcsot (jelszót). Ha a Tanúsítvány lehetőséget választotta, adja meg a tanúsítványt. Bérlőazonosító Szükséges. Adja meg a bérlőazonosítót. Igazol Válassza ki a megadott beállítások érvényesítéséhez. A Részletek szakaszban adja meg a következő paramétereket:
Paraméter Leírás Kapcsolat neve Szükséges. A szolgáltatáskapcsolatra a tevékenység tulajdonságai között hivatkozó név. Nem az Azure-előfizetés neve. Leírás Opcionális. Adja meg a szolgáltatáskapcsolat leírását. Biztonság Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz. Válassza az Ellenőrzés és mentés lehetőséget a szolgáltatáskapcsolat érvényesítéséhez és létrehozásához.
Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.
További információ: Projektbeállítások megnyitása.
Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.
Válassza a Szolgáltatásnév (manuális) és a Tovább lehetőséget.
Az Új Azure-szolgáltatáskapcsolat párbeszédpanelen válassza ki a környezetet. Ha az Azure Stacket választja, adja meg a környezet URL-címét, amely hasonló
https://management.local.azurestack.external
.Válassza ki a hatókörszintet. Válassza az Előfizetés vagy a Felügyeleti csoport lehetőséget. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben.
Az Előfizetés hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés azonosítója Szükséges. Adja meg az Azure-előfizetés azonosítóját. Előfizetés neve Szükséges. Adja meg az Azure-előfizetés nevét. A felügyeleti csoport hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Felügyeleti csoport azonosítója Szükséges. Adja meg az Azure felügyeleti csoport azonosítóját. Felügyeleti csoport neve Szükséges. Adja meg az Azure felügyeleti csoport nevét.
A Hitelesítés szakaszban adja meg vagy válassza ki a következő paramétereket:
Paraméter Leírás Szolgáltatásnév azonosítója Szükséges. Adja meg a szolgáltatásnév azonosítóját. Megbízólevél Válassza ki a szolgáltatásnévkulcsot vagy -tanúsítványt. Ha a szolgáltatásnévkulcsot választotta, adja meg a kulcsot (jelszót). Ha a Tanúsítvány lehetőséget választotta, adja meg a tanúsítványt. Bérlőazonosító Szükséges. Adja meg a bérlőazonosítót. Igazol Válassza ki a megadott beállítások érvényesítéséhez. A Részletek szakaszban adja meg a következő paramétereket:
Paraméter Leírás Kapcsolat neve Szükséges. A szolgáltatáskapcsolatra a tevékenység tulajdonságai között hivatkozó név. Nem az Azure-előfizetés neve. Leírás Opcionális. Adja meg a szolgáltatáskapcsolat leírását. Biztonság Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz. Válassza az Ellenőrzés és mentés lehetőséget a szolgáltatáskapcsolat érvényesítéséhez és létrehozásához.
Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.
További információ: Projektbeállítások megnyitása.
Válassza az Új szolgáltatáskapcsolat lehetőséget, majd válassza az Azure Resource Managert.
Az Azure Resource Manager szolgáltatáskapcsolat hozzáadása párbeszédpanelen töltse ki az alábbi mezőket:
Adja meg a kapcsolat nevét.
Válassza ki a környezetet. Ha az Azure Stacket választja, adja meg a környezet URL-címét, amely hasonló
https://management.local.azurestack.external
.Válassza ki a hatókör szintjét, az előfizetést vagy a felügyeleti csoportot. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben.
Az Előfizetés hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés azonosítója Szükséges. Adja meg az Azure-előfizetés azonosítóját. Előfizetés neve Szükséges. Adja meg az Azure-előfizetés nevét. A felügyeleti csoport hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Felügyeleti csoport azonosítója Szükséges. Adja meg az Azure felügyeleti csoport azonosítóját. Felügyeleti csoport neve Szükséges. Adja meg az Azure felügyeleti csoport nevét.
Adja meg a szolgáltatásnév azonosítóját.
Válassza ki a hitelesítő adatok típusát:
- Egyszerű szolgáltatáskulcs: Adja meg a szolgáltatásnévkulcsot (jelszót).
- Tanúsítvány: Adja meg a .perm fájl tartalmát, beleértve a tanúsítványt és a titkos kulcs szakaszait is.
Adja meg a bérlőazonosítót.
Válassza a Kapcsolat ellenőrzése lehetőséget a szolgáltatáskapcsolat érvényesítéséhez.
Ha szeretné, válassza a Kapcsolat használatának engedélyezése az összes folyamat számára lehetőséget. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.
A szolgáltatáskapcsolat létrehozásához válassza a Mentés lehetőséget.
Az új szolgáltatáskapcsolat létrehozása után:
- Ha a felhasználói felületen használja a szolgáltatáskapcsolatot, válassza ki a folyamat Azure-előfizetési beállításában hozzárendelt kapcsolatnevet.
- Ha a szolgáltatáskapcsolatot YAML-fájlban használja, másolja ki a kapcsolat nevét, és illessze be a kódba értékként
azureSubscription
.
Szükség esetén módosítsa a szolgáltatásnevet, hogy elérhetővé tegye a megfelelő engedélyeket.
További információ a szolgáltatásnév használatával történő hitelesítésről: Szerepköralapú hozzáférés-vezérlés használata az Azure-előfizetés erőforrásaihoz való hozzáférés kezeléséhez vagy az Azure-erőforráscsoportok üzembe helyezésének automatizálása szolgáltatásnév használatával a Visual Studióban.
További információ: Azure Resource Manager-szolgáltatáskapcsolatok hibaelhárítása.
Azure Resource Manager-szolgáltatáskapcsolat létrehozása felügyelt identitást használó virtuális géppel
Feljegyzés
Ha felügyelt identitást szeretne használni a hitelesítéshez, egy saját üzemeltetésű ügynököt kell használnia egy Azure-beli virtuális gépen (VM).
Saját üzemeltetésű ügynököket konfigurálhat Azure-beli virtuális gépeken, hogy azure-beli felügyelt identitást használjon a Microsoft Entra ID-ban. Ebben a forgatókönyvben a rendszer által hozzárendelt felügyelt identitással (szolgáltatásnévvel) biztosít hozzáférést az ügynököknek a Microsoft Entra ID-t támogató bármely Azure-erőforráshoz, például az Azure Key Vault egy példányához.
Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.
További információ: Projektbeállítások megnyitása.
Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.
Válassza ki a felügyelt identitást a hitelesítési módszerhez.
Környezet esetén válassza ki a környezet nevét (Azure Cloud, Azure Stack vagy Government cloud options).
Válassza ki a hatókör szintjét. Válassza az Előfizetés, a Felügyeleti csoport vagy a Machine Learning-munkaterület lehetőséget. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben. A Machine Learning-munkaterületen gépi tanulási összetevők hozhatók létre.
Az Előfizetés hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés azonosítója Szükséges. Adja meg az Azure-előfizetés azonosítóját. Előfizetés neve Szükséges. Adja meg az Azure-előfizetés nevét. A felügyeleti csoport hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Felügyeleti csoport azonosítója Szükséges. Adja meg az Azure felügyeleti csoport azonosítóját. Felügyeleti csoport neve Szükséges. Adja meg az Azure felügyeleti csoport nevét. A Machine Learning-munkaterület hatóköréhez adja meg a következő paramétereket:
Paraméter Leírás Előfizetés azonosítója Szükséges. Adja meg az Azure-előfizetés azonosítóját. Előfizetés neve Szükséges. Adja meg az Azure-előfizetés nevét. Erőforráscsoport Szükséges. Válassza ki a munkaterületet tartalmazó erőforráscsoportot. Ml-munkaterület neve Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület nevét. ML-munkaterület helye Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület helyét.
Adja meg a bérlőazonosítót.
Adja meg a szolgáltatáskapcsolat nevét.
Szükség esetén adja meg a szolgáltatáskapcsolat leírását.
Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.
Válassza a Mentés lehetőséget.
Az új szolgáltatáskapcsolat létrehozása után:
- Ha a felhasználói felületen használja a szolgáltatáskapcsolatot, válassza ki a folyamat Azure-előfizetési beállításában hozzárendelt kapcsolatnevet.
- Ha a szolgáltatáskapcsolatot YAML-fájlban használja, másolja a kapcsolat nevét a kódba a következő értékként
azureSubscription
: .
Győződjön meg arról, hogy a virtuális gép (ügynök) rendelkezik a megfelelő engedélyekkel.
Ha például a kódnak meg kell hívnia az Azure Resource Managert, rendelje hozzá a virtuális gépet a megfelelő szerepkörhöz szerepköralapú hozzáférés-vezérléssel (RBAC) a Microsoft Entra ID-ban.
További információ: Hogyan használhatom a felügyelt identitásokat az Azure-erőforrásokhoz? című témakört, és a szerepköralapú hozzáférés-vezérlést az Azure-előfizetés erőforrásaihoz való hozzáférés kezeléséhez.
A folyamatról további információt az Azure Resource Manager szolgáltatáskapcsolatainak hibaelhárítása című témakörben talál.
Szolgáltatáskapcsolat létrehozása közzétételi profillal
Szolgáltatáskapcsolatot közzétételi profillal hozhat létre. A közzétételi profilokkal szolgáltatáskapcsolatot hozhat létre egy Azure-alkalmazás szolgáltatáshoz.
Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.
További információ: Projektbeállítások megnyitása.
Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.
Válassza a Hitelesítési módszerhez tartozó Közzétételi profil lehetőséget, és válassza a Tovább gombot.
Adja meg a következő paramétereket:
Paraméter Leírás Előfizetés Szükséges. Válasszon ki egy meglévő Azure-előfizetést. Ha nem jelennek meg Azure-előfizetések vagy -példányok, tekintse meg az Azure Resource Manager szolgáltatáskapcsolatainak hibaelhárítását. WebApp Szükséges. Adja meg a Azure-alkalmazás Service-alkalmazás nevét. Szolgáltatáskapcsolat neve Szükséges. A szolgáltatáskapcsolatra a tevékenység tulajdonságai között hivatkozó név. Nem az Azure-előfizetés neve. Leírás Opcionális. A szolgáltatáskapcsolat leírása. Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.
Válassza a Mentés lehetőséget.
Az új szolgáltatáskapcsolat létrehozása után:
- Ha a felhasználói felületen használja a szolgáltatáskapcsolatot, válassza ki a folyamat Azure-előfizetési beállításában hozzárendelt kapcsolatnevet.
- Ha a szolgáltatáskapcsolatot YAML-fájlban használja, másolja ki a kapcsolat nevét, és illessze be a kódba értékként
azureSubscription
.
Csatlakozás Azure Government Cloudhoz
További információ az Azure Government Cloudhoz való csatlakozásról: Csatlakozás az Azure Pipelinesból (Azure Government Cloud).
Csatlakozás az Azure Stackhez
Az Azure Stackhez való csatlakozással kapcsolatos információkért tekintse meg az alábbi cikkeket:
Súgó és támogatás
- Hibaelhárítási tippek megismerése.
- Kérjen tanácsot a Stack Overflow-ról.
- Tegye közzé kérdéseit, keressen válaszokat, vagy javasoljon egy funkciót az Azure DevOps fejlesztői közösségében.
- Támogatást kérhet az Azure DevOpshoz.