Megosztás a következőn keresztül:

Az Azure Resource Manager-szolgáltatáskapcsolatok hibaelhárítása

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020

Ez a cikk gyakori hibaelhárítási forgatókönyveket mutat be, amelyek segítenek megoldani az Azure Resource Manager-szolgáltatáskapcsolatok létrehozásakor felmerülő problémákat. A szolgáltatáskapcsolatok létrehozásáról, szerkesztéséről és biztonságossá tételéről a Szolgáltatáskapcsolatok kezelése című témakörben olvashat. A számítási feladatok identitásával kapcsolatos problémák megoldásához tekintse meg az Azure Resource Manager számítási feladatok identitásszolgáltatás-kapcsolatának hibaelhárítását .

Ez a cikk a "bérlő" és a "könyvtár" kifejezést használja átfedésben. A bérlő a Microsoft Entra-azonosító dedikált, elkülönített példánya, amelyet a szervezet fogad és kezel a felhőszolgáltatások összes identitását és hozzáférés-vezérlését. A címtár egy tároló a bérlőn belül, amely olyan objektumokat tartalmaz, mint a felhasználók, csoportok és alkalmazások, amelyek az erőforrásokhoz való hozzáférés kezelésére szolgálnak.

Jótanács

Segítséget kérhet a Copilottól a hibaüzenetek hibaelhárításához. További információ: Azure DevOps-szolgáltatás csatlakozási hibáinak elhárítása AI használatával.

Mi történik az Azure Resource Manager szolgáltatáskapcsolat létrehozásakor?

Több hitelesítési lehetőség is rendelkezésre áll az Azure-hoz azure Resource Manager-szolgáltatáskapcsolattal való csatlakozáshoz. Azt javasoljuk, hogy a számítási feladatok identitás-összevonásátalkalmazásregisztrációval vagy felügyelt identitással használja.

Ha a szolgáltatáskapcsolat létrehozása sikeres, az Azure DevOps automatikusan végrehajtja ezeket a lépéseket a Microsoft Entra-bérlőben. Ha a folyamat során hibákba ütközik, tekintse meg az alábbi hibaelhárítási forgatókönyveket.

Az új Azure Resource Manager-szolgáltatáskapcsolat mentésekor az Azure DevOps a következő műveleteket hajtja végre:

  1. Csatlakozik a kiválasztott előfizetés Microsoft Entra-bérlőjéhez.
  2. Létrehoz egy alkalmazást az Entra-azonosítóban a felhasználó nevében.
  3. Az alkalmazást közreműködőként rendeli hozzá a kiválasztott előfizetéshez.
  4. Azure Resource Manager-szolgáltatáskapcsolatot hoz létre az alkalmazás adatainak használatával.

Feljegyzés

Szolgáltatáskapcsolatok létrehozásához hozzá kell rendelnie az Endpoint Creator csoport létrehozói vagy rendszergazdai szerepkörét a projektbeállításokban: Projektbeállítások>Szolgáltatáskapcsolatok>További műveletek>Biztonsági. A projekt közreműködői alapértelmezés szerint hozzá lesznek adva ehhez a csoporthoz.

A felhasználó csak vendég engedéllyel rendelkezik a címtárban

Ez a hiba az automatikus szolgáltatáskapcsolat-létrehozási folyamat során fordul elő, amikor az Azure DevOps megpróbál létrehozni egy alkalmazást, és engedélyeket rendel hozzá a Microsoft Entra-azonosítóhoz (az Azure Resource Manager szolgáltatáskapcsolat létrehozásakor a 2–3. lépés). Ez akkor fordul elő, ha egy Microsoft Entra ID-címtárban csak vendég engedélyekkel rendelkező felhasználó megpróbál Azure Resource Manager-szolgáltatáskapcsolatot létrehozni az Azure DevOpsban, de nem rendelkezik megfelelő engedélyekkel.

A probléma megoldása:

  1. Jelentkezzen be az Azure Portalra rendszergazdai fiókkal. A fióknak tulajdonosnak vagy felhasználói fiók rendszergazdájának kell lennie.

  2. Válassza a Microsoft Entra-azonosítót a bal oldali navigációs sávon.

  3. Győződjön meg arról, hogy a felhasználói előfizetésnek megfelelő könyvtárat szerkeszti. Ha nem, válassza a Címtárváltás lehetőséget , és szükség esetén jelentkezzen be a megfelelő hitelesítő adatokkal.

  4. Válassza a Felhasználók a Kezelés szakaszban.

  5. Válassza a Felhasználói beállítások lehetőséget.

  6. A Külső felhasználók szakaszban válassza a Külső együttműködés beállításainak kezelése lehetőséget.

  7. A vendégfelhasználói engedélyek módosítása a Nem beállításra van korlátozva.

Ha készen áll arra, hogy rendszergazdai szintű engedélyeket adjon a felhasználónak, rendszergazdai szerepkör taggá is teheti a felhasználót. Hajtsa végre a következő lépéseket:

Figyelmeztetés

A felhasználók globális rendszergazdai szerepkörhöz való hozzárendelésével elolvashatják és módosíthatják a Microsoft Entra-szervezet összes felügyeleti beállítását. Ajánlott eljárásként rendelje hozzá ezt a szerepkört ötnél kevesebb személyhez a szervezetben.

  1. Jelentkezzen be az Azure Portalra rendszergazdai fiókkal. A fióknak tulajdonosnak vagy felhasználói fiók rendszergazdájának kell lennie.

  2. Válassza a Microsoft Entra-azonosítót a bal oldali navigációs panelen.

  3. Győződjön meg arról, hogy a felhasználói előfizetésnek megfelelő könyvtárat szerkeszti. Ha nem, válassza a Címtárváltás lehetőséget , és szükség esetén jelentkezzen be a megfelelő hitelesítő adatokkal.

  4. Válassza a Felhasználók a Kezelés szakaszban.

  5. A keresőmezővel keresse meg a kezelni kívánt felhasználót.

  6. Válassza a Címtárszerepkör lehetőséget a Kezelés szakaszban, majd módosítsa a szerepkört. Ha végzett, válassza a Mentés lehetőséget.

A módosítások globális alkalmazása általában 15–20 percet vesz igénybe. A felhasználó ezután megpróbálhatja újraépíteni a szolgáltatáskapcsolatot.

A felhasználó nem jogosult alkalmazások hozzáadására a címtárban

Ez a hiba az automatikus szolgáltatáskapcsolat-létrehozási folyamat során fordul elő, amikor az Azure DevOps az Ön nevében próbál létrehozni egy alkalmazást a Microsoft Entra-azonosítóban (az Azure Resource Manager szolgáltatáskapcsolat létrehozásakor a 2. lépés). Nincs engedélye integrált alkalmazások hozzáadására a címtárban. A címtáradminisztrátor jogosult a beállítás módosítására.

A probléma megoldása:

  1. A bal oldali navigációs panelen válassza a Microsoft Entra-azonosítót .

  2. Győződjön meg arról, hogy a felhasználói előfizetésnek megfelelő könyvtárat szerkeszti. Ha nem, válassza a Címtárváltás lehetőséget , és szükség esetén jelentkezzen be a megfelelő hitelesítő adatokkal.

  3. Válassza a Felhasználók lehetőséget, majd válassza a Felhasználói beállítások lehetőséget.

  4. Az Alkalmazásregisztrációk területen módosítsa a Felhasználók az alkalmazások regisztrálása lehetőséget Igen értékre.

A szolgáltatás főkomponensét olyan meglévő felhasználóval is létrehozhatja meg, aki már rendelkezik a szükséges engedélyekkel az Entra ID rendszerben. További információért lásd: Azure Resource Manager-szolgáltatáskapcsolat létrehozása meglévő szolgáltatásnévvel.

Nem sikerült beszerezni egy hozzáférési jogkivonatot, vagy nem található érvényes frissítési jogkivonat

Ezek a hibák általában akkor fordulnak elő, ha a munkamenet lejár.

A következő problémák megoldásához:

  1. Jelentkezzen ki az Azure DevOpsból.

  2. Nyisson meg egy InPrivate vagy inkognitó böngészőablakot, és nyissa meg az Azure DevOpsot.

  3. Jelentkezzen be a megfelelő hitelesítő adatokkal.

  4. Válassza ki a szervezetet és a projektet.

  5. Próbálja meg újból létrehozni a szolgáltatáskapcsolatot. A részletes lépésekért tekintse meg a szolgáltatáskapcsolatok kezelését ismertető témakört.

Úgy tűnik, hogy nem rendelkezik aktív Azure-előfizetéssel, amikor új szolgáltatáskapcsolatot próbál szerkeszteni vagy létrehozni

Ez a hiba általában akkor fordul elő, ha ön több Entra-azonosító-bérlő tagja.

A probléma megoldása:

  1. Nyissa meg a VS-profilt.

  2. Ellenőrizze, hogy több bérlője van-e.

  3. Jelöljön ki minden bérlőt, majd adja meg újra a hitelesítést.

  4. Próbáljon meg létrehozni egy szolgáltatáskapcsolatot, majd ellenőrizze, hogy az előfizetés betöltődik-e.

Nem sikerült hozzárendelni a közreműködői szerepkört

Ez a hiba az automatikus szolgáltatáskapcsolat-létrehozási folyamat során fordul elő, amikor az Azure DevOps megkísérli az alkalmazást közreműködőként hozzárendelni az előfizetéshez (az Azure Resource Manager szolgáltatáskapcsolat létrehozásakor a 3. lépés). Ez a hiba általában akkor fordul elő, ha nem rendelkezik írási engedéllyel a kiválasztott Azure-előfizetéshez.

A probléma megoldásához kérje meg az előfizetés rendszergazdáját, hogy rendelje hozzá a megfelelő szerepkört a Microsoft Entra-azonosítóhoz.

Az előfizetés nem szerepel a listán szolgáltatáskapcsolat létrehozásakor

A probléma több lehetséges oka is lehet.

  • Túllépte a különböző Azure-előfizetések legördülő menüjében felsorolt 50 Azure-előfizetést (számlázás, szolgáltatáskapcsolat stb.): Ha szolgáltatáskapcsolatot állít be, és több mint 50 Azure-előfizetéssel rendelkezik, az előfizetések némelyike nem szerepel a listán. Ebben a forgatókönyvben hajtsa végre a következő lépéseket:

    1. Hozzon létre egy új, natív Microsoft Entra-felhasználót az Azure-előfizetés Microsoft Entra-példányában.

    2. Állítsa be a Microsoft Entra-felhasználót, hogy megfelelő engedélyekkel rendelkezik a számlázás beállításához vagy a szolgáltatáskapcsolatok létrehozásához. További információkért lásd: Azure DevOps-számlázás beállítására jogosult felhasználó hozzáadása.

    3. Adja hozzá a Microsoft Entra-felhasználót az Azure DevOps-szervezethez egy érdekelt hozzáférési szinttel, majd adja hozzá a Projektgyűjtemény rendszergazdái csoportjához (számlázás céljából), vagy győződjön meg arról, hogy a felhasználó rendelkezik a csoportprojektben a szolgáltatáskapcsolatok létrehozásához szükséges engedélyekkel.

    4. Jelentkezzen be az Azure DevOpsba az új felhasználói hitelesítő adatokkal, és állítsa be a számlázást. A listában csak egy Azure-előfizetés látható.

  • Az Azure DevOps Servicesben gyorsítótárazott régi felhasználói jogkivonat: Ha az Azure-előfizetés nem jelenik meg egy Azure Resource Manager-szolgáltatáskapcsolat létrehozásakor, annak oka lehet, hogy az Azure DevOps Servicesben gyorsítótárazott régi felhasználói jogkivonatot használja. Ez a forgatókönyv nem egyértelmű azonnal, mivel az Azure-előfizetések listaképernyőjén nem jelennek meg olyan hibák vagy figyelmeztető üzenetek, amelyek arra utalnak, hogy a felhasználói jogkivonat elavult. A probléma megoldásához manuálisan frissítse a gyorsítótárazott felhasználói jogkivonatot az Azure DevOps Servicesben az alábbi lépések végrehajtásával:

    1. Jelentkezzen ki az Azure DevOps Services szolgáltatásból, és jelentkezzen be újra. Ez a művelet frissítheti a felhasználói jogkivonatot.
    2. Törölje a böngésző gyorsítótárát és a cookie-kat, biztosítva, hogy minden régi token eltávolításra kerüljön.
    3. Az Azure DevOps portálon nyissa meg a szolgáltatáskapcsolatokat, és újraauthorizálja a kapcsolatot az Azure-sal. Ez a lépés arra utasítja az Azure DevOpsot, hogy használjon egy új tokent.

  • Helytelen támogatási fióktípusok beállításai: A probléma megoldásához módosítsa a támogatott fióktípusok beállításait, és határozza meg, hogy ki használhatja az alkalmazást. Kövesse az alábbi lépéseket:

    1. Jelentkezzen be az Azure Portalra.

    2. Ha több bérlőhöz is hozzáfér, a felső menü Címtár+ előfizetés szűrőjével válassza ki azt a bérlőt, amelyben regisztrálni szeretne egy alkalmazást.

      Képernyőkép az Azure Portal címtár- és előfizetés-ikonjáról.

    3. Válassza ki a Microsoft Entra-azonosítót a bal oldali panelen.

    4. Válassza az Alkalmazásregisztrációk lehetőséget.

    5. Válassza ki az alkalmazást a regisztrált alkalmazások listájából.

    6. A Hitelesítés területen válassza a Támogatott fióktípusok lehetőséget.

    7. A Támogatott fióktípusok csoportban ki használhatja ezt az alkalmazást, vagy férhet hozzá ehhez az API-hoz? válassza a Fiókok lehetőséget bármely szervezeti könyvtárban.

      Képernyőkép a támogatott fióktípusokról.

    8. Ha végzett, válassza a Mentés lehetőséget.

Szolgáltatásnév vagy titkos kód lejárt

Az Azure DevOps által automatikusan létrehozott szolgáltatásnevek vagy titkos kódok lejárnak, és megújítást igényelnek. Ha problémákat tapasztal a jogkivonat frissítésével kapcsolatban, olvassa el a hozzáférési jogkivonat beszerzésének sikertelen lekérését vagy egy érvényes frissítési jogkivonat nem található. A titkos kulcsok megújításának elkerülése érdekében használja a számítási feladatok identitásának összevonását az Azure Resource Managerrel.

Ha a jogkivonat lejár, a következő hibaüzenetek egyike jelenhet meg:

  • AADSTS7000215: Invalid client secret is provided
  • AADSTS7000222: The provided client secret keys for app '***' are expired
  • Invalid client id or client secret

Az automatikusan létrehozott szolgáltatásnév vagy titkos kód hozzáférési jogkivonatának megújítása:

  1. Nyissa meg a Project beállításai>szolgáltatáskapcsolatokat, majd válassza ki a frissíteni kívánt szolgáltatáskapcsolatot.

  2. Válassza a Titkos kulcs elforgatása lehetőséget.

    Képernyőkép egy ARM-titkos kód elforgatásának lehetőségéről.

A szolgáltatási fiókhoz vagy titkos kulcshoz tartozó hozzáférési token megújult három hónapra.

Feljegyzés

Ez a művelet akkor is elérhető, ha a szolgáltatásnév jogkivonata még nem járt le. Győződjön meg arról, hogy a műveletet végrehajtó felhasználó rendelkezik megfelelő engedélyekkel az előfizetéshez és a Microsoft Entra-azonosítóhoz, mert az frissíti a szolgáltatásnévhez regisztrált alkalmazás titkos kódját. További információ: Alkalmazásregisztráció létrehozása titkos kóddal és Mi történik a Resource Manager szolgáltatáskapcsolat létrehozásakor?

Nem sikerült megszerezni a JWT-t a szolgáltatásfelelős ügyfélazonosítójának használatával.

Ez a probléma akkor fordul elő, ha olyan szolgáltatáskapcsolatot próbál menteni, amely lejárt titkos kóddal vagy más, a Microsoft Entra-azonosító szintjén jelentkező problémákkal rendelkezik.

A probléma megoldása:

  1. Nyissa meg a Project-beállítások>szolgáltatáskapcsolatait, majd válassza ki a módosítani kívánt szolgáltatáskapcsolatot.

  2. Válassza a szerkesztés lehetőséget a jobb felső sarokban, majd módosítsa a szolgáltatáskapcsolatot. A legegyszerűbb és javasolt módosítás egy leírás hozzáadása.

  3. A szolgáltatáskapcsolat mentéséhez válassza a Mentés lehetőséget.

Feljegyzés

Ha hasonló hibaüzenetet kap a Failed to obtain the Json Web Token(JWT) using service principal client ID. Exception message: AADSTS7000112: Application is disabled., a Microsoft Entra ID csapatával győződjön meg arról, hogy a Bejelentkezés engedélyezése a felhasználók számára opció nincs letiltva a szolgáltatásnévvel társított vállalati alkalmazásban.

Az Azure-előfizetés nem lesz átadva az előző feladat kimenetéből

Ha dinamikusan állítja be az Azure-előfizetést a kiadási folyamathoz, és egy előző feladat kimeneti változóját szeretné felhasználni, ez a probléma merülhet fel.

A probléma megoldásához győződjön meg arról, hogy az értékek a folyamat változók szakaszában vannak definiálva. Ezután átadhatja ezt a változót a futtatósor feladatai között.

Milyen hitelesítési mechanizmusok támogatottak? Hogyan működnek a felügyelt identitások?

Az Azure Resource Manager-szolgáltatáskapcsolatok a Service Principal Authentication (SPA) vagy a felügyelt identitáshitelesítés használatával csatlakozhatnak egy Azure-előfizetéshez.

Az Azure Resource Manager szolgáltatáskapcsolat az alábbi eszközökkel csatlakozhat egy Azure-előfizetéshez, felügyeleti csoporthoz vagy gépi tanulási munkaterülethez:

  • Alkalmazásregisztráció (ajánlott): A kapcsolat hitelesítése számítási feladatok identitás-összevonásával vagy titkos kóddal.
  • Felügyelt identitás: Az Azure-erőforrások felügyelt identitásai automatikusan felügyelt identitást biztosítanak az Azure-szolgáltatások számára a Microsoft Entra ID-ban. Ügynök által hozzárendelt felügyelt identitást is használhat.

Ha a szolgáltatáskapcsolatot felügyelt identitással állítja be hitelesítési módszerként, a folyamat nem hoz létre új felügyelt identitást. Egyszerűen létrehozza a szolgáltatáskapcsolatot. Ahhoz, hogy ez a hitelesítési módszer megfelelően működjön, bizonyos feltételeket teljesíteni kell. Mivel a felügyelt identitás a választott hitelesítési módszer, a használt virtuális gépnek rendszer által hozzárendelt identitással kell rendelkeznie. Emellett ennek a virtuális gépnek saját üzemeltetésű ügynökként kell működnie a folyamatokon belül a munkafolyamat teljes végrehajtásához, lehetővé téve a folyamat számára a módosítások szolgáltatáskapcsolaton keresztüli üzembe helyezését. A virtuális gépen a rendszer által hozzárendelt identitás azonosítja, hogy ugyanaz a virtuális gép szolgál ügynökként a folyamatban, lehetővé téve a hitelesítést. Ezzel a beállítással kihasználhatja a meglévő felügyelt identitást.

A virtuális gépek felügyelt identitásairól a Szerepkörök hozzárendelése című témakörben olvashat.

Feljegyzés

A Microsoft által üzemeltetett ügynökök nem támogatják a felügyelt identitásokat. Ebben a forgatókönyvben be kell állítania egy saját üzemeltetésű ügynököt egy Azure-beli virtuális gépen, és konfigurálnia kell egy felügyelt identitást az adott virtuális géphez.

Azure DevOps-szolgáltatás csatlakozási hibáinak elhárítása AI használatával

Ez a példa-chatüzenet a Copilot Chat számára segít a Copilotnak a hibakód és az üzenet elhárításában. Másolja és illessze be ezt az utasítást a Copilot Chatba, és cserélje le a helyőrzőt a megadott hibaüzenetre.

I'm getting this Azure DevOps service connection error: [PASTE YOUR ERROR MESSAGE HERE]

Can you help me troubleshoot this issue? Please provide step-by-step instructions to:
1. Identify the root cause
2. Fix the configuration in Azure or Entra ID
3. Verify the solution works

Context: This is for an Azure Resource Manager service connection in Azure DevOps.
  • Last updated on