Csatlakozás az Azure-hoz Azure Resource Manager-szolgáltatáskapcsolat használatával

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Azure Resource Manager-szolgáltatáskapcsolattal csatlakozhat az Azure-erőforrásokhoz, például az Azure Key Vaulthoz. Ha Resource Manager-szolgáltatáskapcsolatot használ, egy folyamattal üzembe helyezhet egy Azure-erőforrást, például egy Azure-alkalmazás Service-alkalmazást anélkül, hogy minden alkalommal hitelesítenék.

Több hitelesítési lehetőség is van az Azure-hoz való csatlakozáshoz azure Resource Manager-szolgáltatáskapcsolatok használatával:

• Szolgáltatásnév számítási feladatok identitásának összevonásával
• Szolgáltatásnév titkos kóddal
• Rendszer által hozzárendelt felügyelt identitás
• Nyilvános profil

Számítási feladatok identitásának összevonását használó Azure Resource Manager-szolgáltatáskapcsolat létrehozása

A számítási feladatok identitásának összevonása az OpenID Connect (OIDC) használatával, titkos kulcsok használata nélkül hitelesíthető a Microsoft Entra által védett erőforrásokkal. A számítási feladatok identitás-összevonását automatikusan létrehozhatja hitelesítéshez, vagy manuálisan is létrehozhatja.

Javasoljuk, hogy ezt a megközelítésmódot használja, ha az alábbi elemek mindegyike igaz az Ön forgatókönyvére:

• Ön az Azure-előfizetése Tulajdonos szerepkörével rendelkezik.
• Nem csatlakozik az Azure Stackhez vagy az Azure US Government-környezetekhez.
• A Marketplace-bővítmények által használt tevékenységek frissülnek a számítási feladatok identitás-összevonásának támogatásához.

További információ: Számítási feladatok identitásának összevonása.

Szolgáltatáskapcsolat létrehozása számítási feladatok identitásának összevonásával (automatikus)

Ezzel a kijelöléssel az Azure DevOps automatikusan lekérdezi azt az előfizetést, felügyeleti csoportot vagy Machine Learning-munkaterületet, amelyhez csatlakozni szeretne, és létrehoz egy számítási feladat identitás-összevonását a hitelesítéshez.

1. Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.

   További információ: Projektbeállítások megnyitása.

2. Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.

   

3. Válassza a Számítási feladatok identitás összevonása (automatikus) és a Tovább lehetőséget.

   

4. Válasszon egy hatókörszintet. Válassza az Előfizetés, a Felügyeleti csoport vagy a Machine Learning-munkaterület lehetőséget. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben. A Machine Learning-munkaterületen gépi tanulási összetevők hozhatók létre.

   • Az Előfizetés hatóköréhez adja meg a következő paramétereket:

     Paraméter	Leírás
     Előfizetés	Szükséges. Válassza ki az Azure-előfizetést.
     Erőforráscsoport	Szükséges. Válassza ki az Azure-erőforráscsoportot.

   • A felügyeleti csoport hatóköréhez válassza ki az Azure felügyeleti csoportot.

   • A Machine Learning-munkaterület hatóköréhez adja meg a következő paramétereket:

     Paraméter	Leírás
     Előfizetés	Szükséges. Válassza ki az Azure-előfizetést.
     Erőforráscsoport	Szükséges. Válassza ki a munkaterületet tartalmazó erőforráscsoportot.
     Machine Learning-munkaterület	Szükséges. Válassza ki az Azure Machine Learning-munkaterületet.

5. Adjon meg egy szolgáltatáskapcsolatnevet.

6. Szükség esetén adja meg a szolgáltatáskapcsolat leírását.

7. Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.

8. Válassza a Mentés lehetőséget.

Az új szolgáltatáskapcsolat létrehozása után másolja ki a kapcsolat nevét, és illessze be a kódba értékként azureSubscription.

Egy adott Azure-erőforráson való üzembe helyezéshez a feladatnak több adatra van szüksége az adott erőforrásról. Nyissa meg az erőforrást az Azure Portalon, majd másolja az adatokat a kódba. Webalkalmazás üzembe helyezéséhez például másolja ki a Azure-alkalmazás Service-alkalmazás nevét, és illessze be a kódba értékkéntWebAppName.

Szolgáltatáskapcsolat létrehozása a számítási feladatok identitásának összevonásával (manuális)

Ezzel a beállítással manuálisan hozhat létre olyan szolgáltatáskapcsolatot, amely egy meglévő számítási feladat identitás-összevonását használja a hitelesítéshez.

1. Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.

   További információ: Projektbeállítások megnyitása.

2. Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.

   

3. Válassza a Számítási feladatok identitás összevonása (manuális) és a Tovább lehetőséget.

   

4. Az 1. lépésben: Alapismeretek:

   1. Adja meg a szolgáltatáskapcsolat nevét
   2. Szükség esetén adjon meg egy leírást.
   3. Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.
   4. Válassza a Tovább lehetőséget.

5. A 2. lépésben: Szolgáltatásnév részletei:

   2. lépés: A szolgáltatásnév részletei a következő paramétereket tartalmazzák. A következő paramétereket adhatja meg vagy választhatja ki:

   Paraméter	Leírás
   Kibocsátó	Szükséges. A DevOps automatikusan létrehozza a kiállító URL-címét
   Tárgyazonosító	Szükséges. A DevOps automatikusan létrehozza a tárgyazonosítót.
   Environment	Szükséges. Válasszon ki egy felhőkörnyezetet, amelyhez csatlakozni szeretne. Ha az Azure Stacket választja, adja meg a környezet URL-címét, amely hasonlóhttps://management.local.azurestack.external.

   1. Válassza ki a hatókörszintet. Válassza az Előfizetés, a Felügyeleti csoport vagy a Machine Learning-munkaterület lehetőséget. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben. A Machine Learning-munkaterületen gépi tanulási összetevők hozhatók létre.

      • Az Előfizetés hatóköréhez adja meg a következő paramétereket:

        Paraméter	Leírás
        Előfizetés azonosítója	Szükséges. Adja meg az Azure-előfizetés azonosítóját.
        Előfizetés neve	Szükséges. Adja meg az Azure-előfizetés nevét.

      • A felügyeleti csoport hatóköréhez adja meg a következő paramétereket:

        Paraméter	Leírás
        Felügyeleti csoport azonosítója	Szükséges. Adja meg az Azure felügyeleti csoport azonosítóját.
        Felügyeleti csoport neve	Szükséges. Adja meg az Azure felügyeleti csoport nevét.

      • A Machine Learning-munkaterület hatóköréhez adja meg a következő paramétereket:

        Paraméter	Leírás
        Előfizetés azonosítója	Szükséges. Adja meg az Azure-előfizetés azonosítóját.
        Előfizetés neve	Szükséges. Adja meg az Azure-előfizetés nevét.
        Erőforráscsoport	Szükséges. Válassza ki a munkaterületet tartalmazó erőforráscsoportot.
        Ml-munkaterület neve	Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület nevét.
        ML-munkaterület helye	Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület helyét.

   2. A Hitelesítés szakaszban adja meg vagy válassza ki a következő paramétereket:

      Paraméter	Leírás
      Szolgáltatásnév azonosítója	Szükséges. Adja meg a szolgáltatásnév azonosítóját.
      Bérlőazonosító	Szükséges. Adja meg a bérlőazonosítót.

   3. A Részletek szakaszban adja meg a következő paramétereket:

      Paraméter	Leírás
      Kapcsolat neve	Szükséges. A szolgáltatáskapcsolatra a tevékenység tulajdonságai között hivatkozó név. Nem az Azure-előfizetés neve.
      Leírás	Opcionális. Adja meg a szolgáltatáskapcsolat leírását.

   4. A Biztonság szakaszban válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.

   5. Válassza az Ellenőrzés és mentés lehetőséget a szolgáltatáskapcsolat érvényesítéséhez és létrehozásához.

Az új szolgáltatáskapcsolat létrehozása után másolja ki a kapcsolat nevét, és illessze be a kódba értékként azureSubscription.

Egy adott Azure-erőforráson való üzembe helyezéshez a feladatnak több adatra van szüksége az adott erőforrásról. Nyissa meg az erőforrást az Azure Portalon, majd másolja az adatokat a kódba. Webalkalmazás üzembe helyezéséhez például másolja ki a Azure-alkalmazás Service-alkalmazás nevét, és illessze be a kódba értékkéntWebAppName.

Meglévő Azure Resource Manager-szolgáltatáskapcsolat átalakítása számítási feladatok identitás-összevonásának használatára

A meglévő Azure Resource Manager-szolgáltatáskapcsolatokat gyorsan átalakíthatja úgy, hogy szolgáltatásnév helyett számítási feladatok identitás-összevonását használják a hitelesítéshez. Az Azure DevOps szolgáltatáskapcsolat-átalakítási eszközét akkor használhatja, ha a szolgáltatáskapcsolat megfelel az alábbi követelményeknek:

• Az Azure DevOps eredetileg létrehozta a szolgáltatáskapcsolatot. Ha manuálisan hozza létre a szolgáltatáskapcsolatot, nem konvertálhatja a szolgáltatáskapcsolatot a szolgáltatáskapcsolat-átalakítási eszközzel, mert az Azure DevOps nem rendelkezik a saját hitelesítő adatainak módosítására vonatkozó engedélyekkel.
• Csak egy projekt használja a szolgáltatáskapcsolatot. A projektszolgáltatás kapcsolatok nem konvertálhatók.

Szolgáltatáskapcsolat konvertálása:

1. Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.

   További információ: Projektbeállítások megnyitása.

2. Válassza ki azt a szolgáltatáskapcsolatot, amelyet át szeretne alakítani számítási feladat identitásának használatára.

3. Válassza a Konvertálás lehetőséget.

   

   Ha már rendelkezik lejárt titkos kóddal rendelkező szolgáltatásnév-hitelesítő adatokkal, egy másik konvertálási lehetőség jelenik meg.

   

4. A Konvertálás gombra kattintva erősítse meg, hogy új szolgáltatáskapcsolatot szeretne létrehozni.

   Az átalakítás eltarthat néhány percig. Ha vissza szeretné állítani a kapcsolatot, hét napon belül vissza kell állítania.

Több Azure Resource Manager-szolgáltatáskapcsolat konvertálása szkripttel

Szkript használatával egyszerre több szolgáltatáskapcsolatot is frissíthet, így mostantól a számítási feladatok identitás-összevonását használhatja a hitelesítéshez.

Ez a példa PowerShell-szkript két paramétert igényel: Az Azure DevOps szervezetét (például: https://dev.azure.com/fabrikam-tailspin) és az Azure DevOps-projektet (például: Space game web agent). A szkript ezután lekéri az Azure DevOps-projekt és -szervezet társított szolgáltatáskapcsolatait.

Amikor a szolgáltatáskapcsolatokat számítási feladat identitás-összevonására konvertálja, a rendszer kérni fogja, hogy erősítse meg a frissítést minden olyan kapcsolat esetében, amely még nem használja azt. A megerősítést követően a szkript frissíti ezeket a szolgáltatáskapcsolatokat az Azure DevOps REST API-val a számítási feladatok identitás-összevonásának használatához.

A szkript futtatásához a PowerShell 7.3-as vagy újabb verziójára és az Azure CLI-re van szükség. Mentse a szkriptet egy .ps1 fájlba, és futtassa a PowerShell 7 használatával.

#!/usr/bin/env pwsh
<# 
.SYNOPSIS 
    Convert multiple Azure Resource Manager service connection(s) to use Workload identity federation

.LINK
    https://aka.ms/azdo-rm-workload-identity-conversion

.EXAMPLE
    ./convert_azurerm_service_connection_to_oidc_simple.ps1 -Project <project> -OrganizationUrl https://dev.azure.com/<organization>
#> 

#Requires -Version 7.3

param ( 
    [parameter(Mandatory=$true,HelpMessage="Name of the Azure DevOps Project")]
    [string]
    [ValidateNotNullOrEmpty()]
    $Project,

    [parameter(Mandatory=$true,HelpMessage="Url of the Azure DevOps Organization")]
    [uri]
    [ValidateNotNullOrEmpty()]
    $OrganizationUrl
) 
$apiVersion = "7.1"
$PSNativeCommandArgumentPassing = "Standard" 

#-----------------------------------------------------------
# Log in to Azure
$azdoResource = "499b84ac-1321-427f-aa17-267ca6975798" # application id of Azure DevOps 
az login --allow-no-subscriptions --scope ${azdoResource}/.default
$OrganizationUrl = $OrganizationUrl.ToString().Trim('/')

#-----------------------------------------------------------
# Retrieve the service connection
$getApiUrl = "${OrganizationUrl}/${Project}/_apis/serviceendpoint/endpoints?authSchemes=ServicePrincipal&type=azurerm&includeFailed=false&includeDetails=true&api-version=${apiVersion}"
az rest --resource $azdoResource -u "${getApiUrl} " -m GET --query "sort_by(value[?authorization.scheme=='ServicePrincipal' && data.creationMode=='Automatic' && !(isShared && serviceEndpointProjectReferences[0].projectReference.name!='${Project}')],&name)" -o json `
        | Tee-Object -Variable rawResponse | ConvertFrom-Json | Tee-Object -Variable serviceEndpoints | Format-List | Out-String | Write-Debug
if (!$serviceEndpoints -or ($serviceEndpoints.count-eq 0)) {
    Write-Warning "No convertible service connections found"
    exit 1
}

foreach ($serviceEndpoint in $serviceEndpoints) {
    # Prompt user to confirm conversion
    $choices = @(
        [System.Management.Automation.Host.ChoiceDescription]::new("&Convert", "Converting service connection '$($serviceEndpoint.name)'...")
        [System.Management.Automation.Host.ChoiceDescription]::new("&Skip", "Skipping service connection '$($serviceEndpoint.name)'...")
        [System.Management.Automation.Host.ChoiceDescription]::new("&Exit", "Exit script")
    )
    $prompt = $serviceEndpoint.isShared ? "Convert shared service connection '$($serviceEndpoint.name)'?" : "Convert service connection '$($serviceEndpoint.name)'?"
    $decision = $Host.UI.PromptForChoice([string]::Empty, $prompt, $choices, $serviceEndpoint.isShared ? 1 : 0)

    if ($decision -eq 0) {

        Write-Host "$($choices[$decision].HelpMessage)"
    } elseif ($decision -eq 1) {
        Write-Host "$($PSStyle.Formatting.Warning)$($choices[$decision].HelpMessage)$($PSStyle.Reset)"
        continue 
    } elseif ($decision -ge 2) {
        Write-Host "$($PSStyle.Formatting.Warning)$($choices[$decision].HelpMessage)$($PSStyle.Reset)"
        exit 
    }

    # Prepare request body
    $serviceEndpoint.authorization.scheme = "WorkloadIdentityFederation"
    $serviceEndpoint.data.PSObject.Properties.Remove('revertSchemeDeadline')
    $serviceEndpoint | ConvertTo-Json -Depth 4 | Write-Debug
    $serviceEndpoint | ConvertTo-Json -Depth 4 -Compress | Set-Variable serviceEndpointRequest
    $putApiUrl = "${OrganizationUrl}/${Project}/_apis/serviceendpoint/endpoints/$($serviceEndpoint.id)?operation=ConvertAuthenticationScheme&api-version=${apiVersion}"
    # Convert service connection
    az rest -u "${putApiUrl} " -m PUT -b $serviceEndpointRequest --headers content-type=application/json --resource $azdoResource -o json `
            | ConvertFrom-Json | Set-Variable updatedServiceEndpoint

    $updatedServiceEndpoint | ConvertTo-Json -Depth 4 | Write-Debug
    if (!$updatedServiceEndpoint) {
        Write-Debug "Empty response"
        Write-Error "Failed to convert service connection '$($serviceEndpoint.name)'"
        exit 1
    }
    Write-Host "Successfully converted service connection '$($serviceEndpoint.name)'"
}

Meglévő Azure Resource Manager-szolgáltatáskapcsolat visszaállítása, amely szolgáltatásnév-titkos kulcsot használ

Egy átalakított automatikus szolgáltatáskapcsolatot hét napig visszaállíthat a titkos kóddal. Hét nap után manuálisan hozzon létre egy új titkos kulcsot.

Ha manuálisan hozza létre és konvertálja a szolgáltatáskapcsolatot, a szolgáltatáskapcsolat-átalakítási eszközzel nem állíthatja vissza a szolgáltatáskapcsolatot, mert az Azure DevOps nem rendelkezik a saját hitelesítő adatainak módosítására vonatkozó engedélyekkel.

Szolgáltatáskapcsolat visszaállítása:

1. Az Azure DevOps-projektben nyissa meg a Pipelines>Service-kapcsolatokat.

2. Válasszon ki egy meglévő szolgáltatáskapcsolatot a visszaállításhoz.

3. Válassza a Konvertálás visszaállítása az eredeti sémára lehetőséget.

   

4. Válassza újra a Visszaállítás lehetőséget a választás megerősítéséhez.

Azure Resource Manager-szolgáltatáskapcsolat létrehozása egyszerű titkos kóddal

Szolgáltatáskapcsolatot állíthat be az Azure-erőforrások hitelesítéséhez egy egyszerű titkos kód használatával. Ez a módszer akkor hasznos, ha további engedélyeket kell korlátoznia a felhasználók által a szolgáltatáskapcsolaton keresztül elért Azure-erőforrásokra vonatkozóan.

Dönthet úgy, hogy manuálisan vagy automatikusan konfigurálja a szolgáltatáskapcsolatot. Ajánlott az automatikus megközelítést használni, ha az Azure Pipelines-szervezet és az Azure-előfizetés tulajdonosaként jelentkezett be, és nem kell tovább korlátoznia a felhasználók által a szolgáltatáskapcsolaton keresztül elért Azure-erőforrások engedélyeit.

Javasoljuk, hogy ezt a megközelítésmódot használja, ha az alábbi elemek mindegyike igaz az Ön forgatókönyvére:

• Ön az Azure Pipelines-szervezet és az Azure-előfizetés tulajdonosa.
• Nem kell tovább korlátoznia a felhasználók által a szolgáltatáskapcsolaton keresztül elért Azure-erőforrásokra vonatkozó engedélyeket.
• Ön nem csatlakozik az Azure Stackhez vagy valamely Azure Government Cloudhoz.
• Nem az Azure DevOps Server 2019-ből vagy a Team Foundation Server korábbi verzióiból csatlakozik.

A szolgáltatáskapcsolat létrehozása:

1. Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.

   További információ: Projektbeállítások megnyitása.

2. Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.

   

3. Válassza a Szolgáltatásnév (automatikus) és a Tovább lehetőséget.

   

4. Válassza ki a hatókör szintjét. Válassza az Előfizetés, a Felügyeleti csoport vagy a Machine Learning-munkaterület lehetőséget. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben. A Machine Learning-munkaterületen gépi tanulási összetevők hozhatók létre.

   • Az Előfizetés hatóköréhez adja meg a következő paramétereket:

     Paraméter	Leírás
     Előfizetés azonosítója	Szükséges. Adja meg az Azure-előfizetés azonosítóját.
     Előfizetés neve	Szükséges. Adja meg az Azure-előfizetés nevét.

   • A felügyeleti csoport hatóköréhez adja meg a következő paramétereket, és válassza ki az Azure felügyeleti csoportot.

   • A Machine Learning-munkaterület hatóköréhez adja meg a következő paramétereket:

     Paraméter	Leírás
     Előfizetés azonosítója	Szükséges. Adja meg az Azure-előfizetés azonosítóját.
     Előfizetés neve	Szükséges. Adja meg az Azure-előfizetés nevét.
     Erőforráscsoport	Szükséges. Válassza ki a munkaterületet tartalmazó erőforráscsoportot.
     Ml-munkaterület neve	Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület nevét.
     ML-munkaterület helye	Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület helyét.

5. Adjon meg egy szolgáltatáskapcsolatnevet.

6. Szükség esetén adja meg a szolgáltatáskapcsolat leírását.

7. Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.

8. Válassza a Mentés lehetőséget.

Az új szolgáltatáskapcsolat létrehozása után:

• Ha a klasszikus szerkesztőt használja, válassza ki a folyamat Azure-előfizetési beállításában hozzárendelt kapcsolatnevet.
• HA YAML-fájlt használ, másolja a kapcsolat nevét a kódba értékként azureSubscription.

Egy adott Azure-erőforráson való üzembe helyezéshez adjon hozzá további információt az erőforrásról a tevékenységhez:

• Ha a klasszikus szerkesztőt használja, válassza ki a tevékenységhez hozzáadni kívánt adatokat. Válassza ki például az App Service nevét.
• HA YAML-fájlt használ, nyissa meg az erőforrást az Azure Portalon. Másolja ki a szükséges adatokat, és illessze be a feladatkódot. Webalkalmazás üzembe helyezéséhez például másolja ki az App Service-alkalmazás nevét, és illessze be értékként a WebAppName YAML feladatba.

Feljegyzés

Ha ezt a módszert követi, az Azure DevOps csatlakozik a Microsoft Entra-azonosítóhoz, és létrehoz egy alkalmazásregisztrációt egy három hónapig érvényes titkos kóddal. Amikor a szolgáltatáskapcsolat hamarosan lejár, a Microsoft Entra-azonosító megjeleníti ezt a kérdést: Hamarosan lejár egy tanúsítvány vagy titkos kód. Hozzon létre egy újat. Ebben az esetben frissítenie kell a szolgáltatáskapcsolatot.

Szolgáltatáskapcsolat frissítéséhez az Azure DevOps portálon szerkessze a kapcsolatot, majd válassza az Ellenőrzés lehetőséget. A szerkesztés mentése után a szolgáltatáskapcsolat további három hónapig érvényes.

Javasoljuk, hogy titkos kulcs létrehozása helyett használja a számítási feladatok identitás-összevonását. Ha számítási feladat identitás-összevonását használja, nem kell titkos kulcsokat elforgatnia, és az alkalmazásregisztráció megtartja a kívánt célt. A számítási feladatok identitás-összevonásának megkezdéséhez nyissa meg a szolgáltatáskapcsolat részleteit tartalmazó lapot, és válassza a Konvertálás lehetőséget. A szolgáltatáskapcsolat titkos kulcs helyett számítási feladatok identitás-összevonásának használatára lesz konvertálva. További információ: Meglévő Azure Resource Manager-szolgáltatáskapcsolat átalakítása számítási feladatok identitás-összevonásának használatára.

További információ: Azure Resource Manager-szolgáltatáskapcsolat hibaelhárítása.

Ha problémái vannak ezzel a megközelítéssel (például nem jelennek meg előfizetések a legördülő listában), vagy ha korlátozni szeretné a felhasználói engedélyeket, használhat inkább egy szolgáltatásnevet vagy egy felügyelt identitással rendelkező virtuális gépet.

Meglévő szolgáltatásnevet használó Azure Resource Manager-szolgáltatáskapcsolat létrehozása

Ha előre definiált hozzáférési engedélyeket szeretne használni, és még nincs definiálva szolgáltatásnév erre a célra, kövesse az alábbi oktatóanyagok egyikét egy új szolgáltatásnév létrehozásához:

• A portálon létrehozhat egy Microsoft Entra-alkalmazást és egy olyan szolgáltatásnevet, amely hozzáfér az erőforrásokhoz
• Tanúsítványt tartalmazó Azure-szolgáltatásnév létrehozása az Azure PowerShell használatával

Meglévő szolgáltatásnevet használó szolgáltatáskapcsolat létrehozása:

1. Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.

   További információ: Projektbeállítások megnyitása.

2. Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.

   

3. Válassza a Szolgáltatásnév (manuális) és a Tovább lehetőséget.

   

4. Az Új Azure-szolgáltatáskapcsolat párbeszédpanelen válassza ki a környezetet. Ha az Azure Stacket választja, adja meg a környezet URL-címét, amely hasonlóhttps://management.local.azurestack.external.

5. Válassza ki a hatókörszintet. Válassza az Előfizetés, a Felügyeleti csoport vagy a Machine Learning-munkaterület lehetőséget. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben. A Machine Learning-munkaterületen gépi tanulási összetevők hozhatók létre.

   • Az Előfizetés hatóköréhez adja meg a következő paramétereket:

     Paraméter	Leírás
     Előfizetés azonosítója	Szükséges. Adja meg az Azure-előfizetés azonosítóját.
     Előfizetés neve	Szükséges. Adja meg az Azure-előfizetés nevét.

   • A felügyeleti csoport hatóköréhez adja meg a következő paramétereket:

     Paraméter	Leírás
     Felügyeleti csoport azonosítója	Szükséges. Adja meg az Azure felügyeleti csoport azonosítóját.
     Felügyeleti csoport neve	Szükséges. Adja meg az Azure felügyeleti csoport nevét.

   • A Machine Learning-munkaterület hatóköréhez adja meg a következő paramétereket:

     Paraméter	Leírás
     Előfizetés azonosítója	Szükséges. Adja meg az Azure-előfizetés azonosítóját.
     Előfizetés neve	Szükséges. Adja meg az Azure-előfizetés nevét.
     Erőforráscsoport	Szükséges. Válassza ki a munkaterületet tartalmazó erőforráscsoportot.
     Ml-munkaterület neve	Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület nevét.
     ML-munkaterület helye	Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület helyét.

6. A Hitelesítés szakaszban adja meg vagy válassza ki a következő paramétereket:

   Paraméter	Leírás
   Szolgáltatásnév azonosítója	Szükséges. Adja meg a szolgáltatásnév azonosítóját.
   Megbízólevél	Válassza ki a szolgáltatásnévkulcsot vagy -tanúsítványt. Ha a szolgáltatásnévkulcsot választotta, adja meg a kulcsot (jelszót). Ha a Tanúsítvány lehetőséget választotta, adja meg a tanúsítványt.
   Bérlőazonosító	Szükséges. Adja meg a bérlőazonosítót.
   Igazol	Válassza ki a megadott beállítások érvényesítéséhez.

7. A Részletek szakaszban adja meg a következő paramétereket:

   Paraméter	Leírás
   Kapcsolat neve	Szükséges. A szolgáltatáskapcsolatra a tevékenység tulajdonságai között hivatkozó név. Nem az Azure-előfizetés neve.
   Leírás	Opcionális. Adja meg a szolgáltatáskapcsolat leírását.
   Biztonság	Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.

8. Válassza az Ellenőrzés és mentés lehetőséget a szolgáltatáskapcsolat érvényesítéséhez és létrehozásához.

Az új szolgáltatáskapcsolat létrehozása után:

• Ha a felhasználói felületen használja a szolgáltatáskapcsolatot, válassza ki a folyamat Azure-előfizetési beállításában hozzárendelt kapcsolatnevet.
• Ha a szolgáltatáskapcsolatot YAML-fájlban használja, másolja ki a kapcsolat nevét, és illessze be a kódba értékként azureSubscription.

Szükség esetén módosítsa a szolgáltatásnevet, hogy elérhetővé tegye a megfelelő engedélyeket.

További információ a szolgáltatásnév használatával történő hitelesítésről: Szerepköralapú hozzáférés-vezérlés használata az Azure-előfizetés erőforrásaihoz való hozzáférés kezeléséhez vagy az Azure-erőforráscsoportok üzembe helyezésének automatizálása szolgáltatásnév használatával a Visual Studióban.

További információ: Azure Resource Manager-szolgáltatáskapcsolatok hibaelhárítása.

Azure Resource Manager-szolgáltatáskapcsolat létrehozása felügyelt identitást használó virtuális géppel

Feljegyzés

Ha felügyelt identitást szeretne használni a hitelesítéshez, egy saját üzemeltetésű ügynököt kell használnia egy Azure-beli virtuális gépen (VM).

Saját üzemeltetésű ügynököket konfigurálhat Azure-beli virtuális gépeken, hogy azure-beli felügyelt identitást használjon a Microsoft Entra ID-ban. Ebben a forgatókönyvben a rendszer által hozzárendelt felügyelt identitással (szolgáltatásnévvel) biztosít hozzáférést az ügynököknek a Microsoft Entra ID-t támogató bármely Azure-erőforráshoz, például az Azure Key Vault egy példányához.

1. Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.

   További információ: Projektbeállítások megnyitása.

2. Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.

   

3. Válassza ki a felügyelt identitást a hitelesítési módszerhez.

   

4. Környezet esetén válassza ki a környezet nevét (Azure Cloud, Azure Stack vagy Government cloud options).

5. Válassza ki a hatókör szintjét. Válassza az Előfizetés, a Felügyeleti csoport vagy a Machine Learning-munkaterület lehetőséget. A felügyeleti csoportok olyan tárolók, amelyek segítenek a hozzáférés, a szabályzat és a megfelelőség kezelésében több előfizetésben. A Machine Learning-munkaterületen gépi tanulási összetevők hozhatók létre.

   • Az Előfizetés hatóköréhez adja meg a következő paramétereket:

     Paraméter	Leírás
     Előfizetés azonosítója	Szükséges. Adja meg az Azure-előfizetés azonosítóját.
     Előfizetés neve	Szükséges. Adja meg az Azure-előfizetés nevét.

   • A felügyeleti csoport hatóköréhez adja meg a következő paramétereket:

     Paraméter	Leírás
     Felügyeleti csoport azonosítója	Szükséges. Adja meg az Azure felügyeleti csoport azonosítóját.
     Felügyeleti csoport neve	Szükséges. Adja meg az Azure felügyeleti csoport nevét.

   • A Machine Learning-munkaterület hatóköréhez adja meg a következő paramétereket:

     Paraméter	Leírás
     Előfizetés azonosítója	Szükséges. Adja meg az Azure-előfizetés azonosítóját.
     Előfizetés neve	Szükséges. Adja meg az Azure-előfizetés nevét.
     Erőforráscsoport	Szükséges. Válassza ki a munkaterületet tartalmazó erőforráscsoportot.
     Ml-munkaterület neve	Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület nevét.
     ML-munkaterület helye	Szükséges. Adja meg a meglévő Azure Machine Learning-munkaterület helyét.

6. Adja meg a bérlőazonosítót.

7. Adja meg a szolgáltatáskapcsolat nevét.

8. Szükség esetén adja meg a szolgáltatáskapcsolat leírását.

9. Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.

10. Válassza a Mentés lehetőséget.

11. Az új szolgáltatáskapcsolat létrehozása után:

    • Ha a felhasználói felületen használja a szolgáltatáskapcsolatot, válassza ki a folyamat Azure-előfizetési beállításában hozzárendelt kapcsolatnevet.
    • Ha a szolgáltatáskapcsolatot YAML-fájlban használja, másolja a kapcsolat nevét a kódba a következő értékként azureSubscription: .

12. Győződjön meg arról, hogy a virtuális gép (ügynök) rendelkezik a megfelelő engedélyekkel.

    Ha például a kódnak meg kell hívnia az Azure Resource Managert, rendelje hozzá a virtuális gépet a megfelelő szerepkörhöz szerepköralapú hozzáférés-vezérléssel (RBAC) a Microsoft Entra ID-ban.

    További információ: Hogyan használhatom a felügyelt identitásokat az Azure-erőforrásokhoz? című témakört, és a szerepköralapú hozzáférés-vezérlést az Azure-előfizetés erőforrásaihoz való hozzáférés kezeléséhez.

A folyamatról további információt az Azure Resource Manager szolgáltatáskapcsolatainak hibaelhárítása című témakörben talál.

Szolgáltatáskapcsolat létrehozása közzétételi profillal

Szolgáltatáskapcsolatot közzétételi profillal hozhat létre. A közzétételi profilokkal szolgáltatáskapcsolatot hozhat létre egy Azure-alkalmazás szolgáltatáshoz.

1. Az Azure DevOps-projektben nyissa meg a Project Settings>Service-kapcsolatokat.

   További információ: Projektbeállítások megnyitása.

2. Válassza az Új szolgáltatáskapcsolat, majd az Azure Resource Manager és a Tovább lehetőséget.

   

3. Válassza a Hitelesítési módszerhez tartozó Közzétételi profil lehetőséget, és válassza a Tovább gombot.

   

4. Adja meg a következő paramétereket:

   Paraméter	Leírás
   Előfizetés	Szükséges. Válasszon ki egy meglévő Azure-előfizetést. Ha nem jelennek meg Azure-előfizetések vagy -példányok, tekintse meg az Azure Resource Manager szolgáltatáskapcsolatainak hibaelhárítását.
   WebApp	Szükséges. Adja meg a Azure-alkalmazás Service-alkalmazás nevét.
   Szolgáltatáskapcsolat neve	Szükséges. A szolgáltatáskapcsolatra a tevékenység tulajdonságai között hivatkozó név. Nem az Azure-előfizetés neve.
   Leírás	Opcionális. A szolgáltatáskapcsolat leírása.

5. Válassza az Összes folyamat hozzáférési engedélyének megadása lehetőséget, hogy az összes folyamat használhassa ezt a szolgáltatáskapcsolatot. Ha nem választja ezt a beállítást, manuálisan kell hozzáférést adnia a szolgáltatáskapcsolatot használó összes folyamathoz.

6. Válassza a Mentés lehetőséget.

Az új szolgáltatáskapcsolat létrehozása után:

• Ha a felhasználói felületen használja a szolgáltatáskapcsolatot, válassza ki a folyamat Azure-előfizetési beállításában hozzárendelt kapcsolatnevet.
• Ha a szolgáltatáskapcsolatot YAML-fájlban használja, másolja ki a kapcsolat nevét, és illessze be a kódba értékként azureSubscription.

Csatlakozás Azure Government Cloudhoz

További információ az Azure Government Cloudhoz való csatlakozásról: Csatlakozás az Azure Pipelinesból (Azure Government Cloud).

Csatlakozás az Azure Stackhez

Az Azure Stackhez való csatlakozással kapcsolatos információkért tekintse meg az alábbi cikkeket:

• Csatlakozás az Azure Stackhez
• Az Azure Stack csatlakoztatása az Azure-hoz VPN használatával
• Az Azure Stack csatlakoztatása az Azure-hoz az Azure ExpressRoute használatával

Súgó és támogatás

• Hibaelhárítási tippek megismerése.
• Kérjen tanácsot a Stack Overflow-ról.
• Tegye közzé kérdéseit, keressen válaszokat, vagy javasoljon egy funkciót az Azure DevOps fejlesztői közösségében.
• Támogatást kérhet az Azure DevOpshoz.