Megosztás a következőn keresztül:


Az Azure Resource Manager-szolgáltatáskapcsolatok hibaelhárítása

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Ez a cikk azOkat a gyakori hibaelhárítási forgatókönyveket ismerteti, amelyekkel megoldhatja az Azure Resource Manager szolgáltatáskapcsolat létrehozásakor felmerülő problémákat. A szolgáltatáskapcsolatok létrehozásáról, szerkesztéséről és biztonságossá tételéről a Szolgáltatáskapcsolatok kezelése című témakörben olvashat.

Mi történik az Azure Resource Manager szolgáltatáskapcsolat létrehozásakor?

Ha nem rendelkezik szolgáltatáskapcsolattal, az alábbiak szerint hozhat létre egyet:

  1. A projekten belül válassza a Projekt beállításai, majd a Szolgáltatáskapcsolatok lehetőséget.

    Képernyőkép a szolgáltatáskapcsolatok projektbeállításokból való eléréséről

  2. Új szolgáltatáskapcsolat hozzáadásához válassza az Új szolgáltatáskapcsolat lehetőséget, majd válassza az Azure Resource Managert. Ha elkészült, válassza a Tovább gombot.

    Képernyőkép a szolgáltatáskapcsolatok típusairól.

  3. Válassza az alkalmazásregisztrációt (automatikus) és a számítási feladatok identitás-összevonását hitelesítő adatként.

  4. Válassza az Előfizetés lehetőséget, majd válassza ki az előfizetést a legördülő listából. Töltse ki az űrlap többi részét, majd amikor végzett, válassza a Mentés lehetőséget.

Az új Azure Resource Manager-szolgáltatáskapcsolat mentésekor az Azure DevOps a következő műveleteket hajtja végre:

  1. Csatlakozik a Microsoft Entra-bérlőhöz a kiválasztott előfizetéshez.
  2. Létrehoz egy alkalmazást a Microsoft Entra ID-ban a felhasználó nevében.
  3. Az alkalmazást közreműködőként rendeli hozzá a kiválasztott előfizetéshez.
  4. Létrehoz egy Azure Resource Manager-szolgáltatáskapcsolatot az alkalmazás adatainak felhasználásával.

Feljegyzés

Szolgáltatáskapcsolatok létrehozásához adja hozzá az Endpoint Creator csoporthoz a projektbeállításokban: Project settings>Service connections>Security. A közreműködők alapértelmezés szerint hozzáadódnak ehhez a csoporthoz.

Hibaelhárítási forgatókönyvek

Szolgáltatáskapcsolatok létrehozásakor a következő problémák léphetnek fel:

A felhasználó csak vendég engedéllyel rendelkezik a címtárban

  1. Jelentkezzen be az Azure Portalra rendszergazdai fiókkal. A fióknak tulajdonosnak vagy felhasználói fiók rendszergazdájának kell lennie.

  2. Válassza a Microsoft Entra-azonosítót a bal oldali navigációs sávon.

  3. Győződjön meg arról, hogy a felhasználói előfizetésnek megfelelő könyvtárat szerkeszti. Ha nem, válassza a Címtárváltás lehetőséget, és szükség esetén jelentkezzen be a megfelelő hitelesítő adatokkal.

  4. Válassza a Felhasználók lehetőséget a Kezelés szakaszban.

  5. Válassza a Felhasználói beállítások lehetőséget.

  6. A Külső felhasználók szakaszban válassza a Külső együttműködés beállításainak kezelése lehetőséget.

  7. A vendégfelhasználói engedélyek módosítása a Nem beállításra van korlátozva.

Ha készen áll arra, hogy rendszergazdai szintű engedélyeket adjon a felhasználónak, rendszergazdai szerepkör taggá is teheti a felhasználót. Hajtsa végre a következő lépéseket:

Figyelmeztetés

A felhasználók globális rendszergazdai szerepkörhöz való hozzárendelésével elolvashatják és módosíthatják a Microsoft Entra-szervezet összes felügyeleti beállítását. Ajánlott eljárásként rendelje hozzá ezt a szerepkört ötnél kevesebb személyhez a szervezetben.

  1. Jelentkezzen be az Azure Portalra rendszergazdai fiókkal. A fióknak tulajdonosnak vagy felhasználói fiók rendszergazdájának kell lennie.

  2. Válassza a Microsoft Entra-azonosítót a bal oldali navigációs panelen.

  3. Győződjön meg arról, hogy a felhasználói előfizetésnek megfelelő könyvtárat szerkeszti. Ha nem, válassza a Címtárváltás lehetőséget, és szükség esetén jelentkezzen be a megfelelő hitelesítő adatokkal.

  4. Válassza a Felhasználók lehetőséget a Kezelés szakaszban.

  5. A keresőmezővel keresse meg a kezelni kívánt felhasználót.

  6. Válassza a Címtárszerepkört a Kezelés szakaszban, majd módosítsa a szerepkört. Ha végzett, válassza a Mentés lehetőséget.

A módosítások globális alkalmazása általában 15–20 percet vesz igénybe. A felhasználó ezután megpróbálhatja újraépíteni a szolgáltatáskapcsolatot.

A felhasználó nem jogosult alkalmazások hozzáadására a címtárban

Rendelkeznie kell az integrált alkalmazások címtárban való hozzáadásához szükséges engedélyekkel. A címtáradminisztrátor jogosult a beállítás módosítására.

  1. A bal oldali navigációs panelen válassza a Microsoft Entra-azonosítót .

  2. Győződjön meg arról, hogy a felhasználói előfizetésnek megfelelő könyvtárat szerkeszti. Ha nem, válassza a Címtárváltás lehetőséget, és szükség esetén jelentkezzen be a megfelelő hitelesítő adatokkal.

  3. Válassza a Felhasználók lehetőséget, majd válassza a Felhasználói beállítások lehetőséget.

  4. A Alkalmazásregisztrációk területen módosítsa a Felhasználók alkalmazásregisztrációt Igen értékre.

A szolgáltatásnevet egy meglévő felhasználóval is létrehozhatja, aki már rendelkezik a szükséges engedélyekkel a Microsoft Entra-azonosítóban. További információért lásd: Azure Resource Manager-szolgáltatáskapcsolat létrehozása meglévő szolgáltatásnévvel.

Nem sikerült beszerezni egy hozzáférési jogkivonatot, vagy nem található érvényes frissítési jogkivonat

Ezek a hibák általában akkor fordulnak elő, ha a munkamenet lejárt. A következő problémák megoldásához:

  1. Jelentkezzen ki az Azure DevOpsból.
  2. Nyisson meg egy InPrivate vagy inkognitó böngészőablakot, és lépjen az Azure DevOpsra.
  3. Jelentkezzen be a megfelelő hitelesítő adatokkal.
  4. Válassza ki a szervezetet és a projektet.
  5. Hozza létre a szolgáltatáskapcsolatot.

Nem sikerült hozzárendelni a közreműködői szerepkört

Ez a hiba általában akkor fordul elő, ha nem rendelkezik írási engedéllyel a kiválasztott Azure-előfizetéshez.

A probléma megoldásához kérje meg az előfizetés rendszergazdáját, hogy rendelje hozzá a megfelelő szerepkört a Microsoft Entra-azonosítóhoz.

Az előfizetés nem szerepel a listán szolgáltatáskapcsolat létrehozásakor

  • Legfeljebb 50 Azure-előfizetés szerepel a különböző Azure-előfizetések legördülő menüjében (számlázás, szolgáltatáskapcsolat stb.): Ha szolgáltatáskapcsolatot állít be, és több mint 50 Azure-előfizetéssel rendelkezik, néhány előfizetése nem szerepel a listában. Ebben a forgatókönyvben hajtsa végre a következő lépéseket:

    1. Hozzon létre egy új, natív Microsoft Entra-felhasználót az Azure-előfizetés Microsoft Entra-példányában.
    2. Állítsa be a Microsoft Entra-felhasználót, hogy megfelelő engedélyekkel rendelkezik a számlázás beállításához vagy a szolgáltatáskapcsolatok létrehozásához. További információkért lásd: Azure DevOps-számlázás beállítására jogosult felhasználó hozzáadása.
    3. Adja hozzá a Microsoft Entra-felhasználót az Azure DevOps-szervezethez egy érdekelt hozzáférési szinttel, majd adja hozzá a Projektgyűjtemény rendszergazdái csoportjához (számlázás céljából), vagy győződjön meg arról, hogy a felhasználó rendelkezik a csoportprojektben a szolgáltatáskapcsolatok létrehozásához szükséges engedélyekkel.
    4. Jelentkezzen be az Azure DevOpsba az új felhasználói hitelesítő adatokkal, és állítsa be a számlázást. A listában csak egy Azure-előfizetés látható.
  • Az Azure DevOps Servicesben gyorsítótárazott régi felhasználói jogkivonat: Ha az Azure-előfizetés nem szerepel a listán az Azure Resource Manager-szolgáltatáskapcsolat létrehozásakor, annak oka lehet, hogy az Azure DevOps Servicesben gyorsítótárazott régi felhasználói jogkivonat. Ez a forgatókönyv nem egyértelmű azonnal, mivel az Azure-előfizetések listaképernyőjén nem jelennek meg olyan hibák vagy figyelmeztető üzenetek, amelyek arra utalnak, hogy a felhasználói jogkivonat elavult. A probléma megoldásához manuálisan frissítse a gyorsítótárazott felhasználói jogkivonatot az Azure DevOps Servicesben az alábbi lépések végrehajtásával:

    1. Jelentkezzen ki az Azure DevOps Services szolgáltatásból, és jelentkezzen be újra. Ez a művelet frissítheti a felhasználói jogkivonatot.
    2. Törölje a böngésző gyorsítótárát és a cookie-kat a régi jogkivonatok eltávolításának biztosítása érdekében.
    3. Az Azure DevOps portálon nyissa meg a szolgáltatáskapcsolatokat, és újraauthorizálja a kapcsolatot az Azure-sal. Ez a lépés arra kéri az Azure DevOpst, hogy használjon új jogkivonatot.

Néhány előfizetés hiányzik az előfizetések listájából

  • A támogatási fióktípusok beállításainak módosítása: Ez a probléma a támogatott fióktípusok beállításainak módosításával és annak meghatározásával oldható meg, hogy ki használhatja az alkalmazást. Hajtsa végre a következő lépéseket:

    1. Jelentkezzen be az Azure Portalra.
    2. Ha több bérlőhöz is hozzáfér, a felső menü Címtár+ előfizetés szűrőjével válassza ki azt a bérlőt, amelyben regisztrálni szeretne egy alkalmazást.

    Képernyőkép az Azure Portal címtár- és előfizetés-ikonjáról.

    1. Válassza ki a Microsoft Entra-azonosítót a bal oldali panelen.
    2. Válassza az Alkalmazásregisztrációk lehetőséget.
    3. Válassza ki az alkalmazást a regisztrált alkalmazások listájából.
    4. A Hitelesítés területen válassza a Támogatott fióktípusok lehetőséget.
    5. A Támogatott fióktípusok csoportban ki használhatja ezt az alkalmazást, vagy férhet hozzá ehhez az API-hoz? válassza a Fiókok lehetőséget bármely szervezeti könyvtárban.

    Képernyőkép a támogatott fióktípusokról.

    1. Ha végzett, válassza a Mentés lehetőséget.
  • Az Azure DevOps Servicesben gyorsítótárazott régi felhasználói jogkivonat: Ha az Azure-előfizetés nem szerepel a listán az Azure Resource Manager-szolgáltatáskapcsolat létrehozásakor, annak oka lehet, hogy az Azure DevOps Servicesben gyorsítótárazott régi felhasználói jogkivonat. Ez a forgatókönyv nem egyértelmű azonnal, mivel az Azure-előfizetések listaképernyőjén nem jelennek meg olyan hibák vagy figyelmeztető üzenetek, amelyek arra utalnak, hogy a felhasználói jogkivonat elavult. A probléma megoldásához manuálisan frissítse a gyorsítótárazott felhasználói jogkivonatot az Azure DevOps Servicesben az alábbi lépések végrehajtásával:

    1. Jelentkezzen ki az Azure DevOps Services szolgáltatásból, és jelentkezzen be újra. Ez a művelet frissítheti a felhasználói jogkivonatot.
    2. Törölje a böngésző gyorsítótárát és a cookie-kat a régi jogkivonatok eltávolításának biztosítása érdekében.
    3. Az Azure DevOps portálon nyissa meg a szolgáltatáskapcsolatokat, és újraauthorizálja a kapcsolatot az Azure-sal. Ez a lépés arra kéri az Azure DevOpst, hogy használjon új jogkivonatot.

A szolgáltatásnév jogkivonata lejárt

Az automatikusan létrehozott szolgáltatásnevek esetében gyakran merül fel probléma, hogy a szolgáltatásnév jogkivonata lejár, és meg kell újítani. Ha azonban probléma merült fel a jogkivonat frissítésével kapcsolatban, az érvényes frissítési jogkivonat nem található.

Ha a jogkivonat lejárt, az alábbi hibaüzenetek egyikét láthatja:

  • AADSTS7000215: Invalid client secret is provided
  • AADSTS7000222: The provided client secret keys for app '***' are expired
  • Invalid client id or client secret

Az automatikusan létrehozott szolgáltatásnév hozzáférési jogkivonatának megújítása:

  1. Nyissa meg a Project-beállítások>szolgáltatáskapcsolatait, majd válassza ki a módosítani kívánt szolgáltatáskapcsolatot.

  2. Válassza a Szerkesztés lehetőséget a jobb felső sarokban, majd az Ellenőrzés lehetőséget.

  3. Válassza a Mentés lehetőséget.

A szolgáltatásnév jogkivonata újabb három hónapig megújul.

Feljegyzés

Ez a művelet akkor is elérhető, ha a szolgáltatásnév jogkivonata még nem járt le.

Győződjön meg arról, hogy a műveletet végrehajtó felhasználó rendelkezik megfelelő engedélyekkel az előfizetéshez és a Microsoft Entra-azonosítóhoz, mert az frissíti a szolgáltatásnévhez regisztrált alkalmazás titkos kódját. További információ: Azure Resource Manager-szolgáltatáskapcsolat létrehozása automatizált biztonság használatával, és Mi történik a Resource Manager-szolgáltatáskapcsolat létrehozásakor?

Nem sikerült beolvasni a JWT-t a szolgáltatásnév ügyfélazonosítójának használatával

Ez a probléma akkor fordul elő, ha egy lejárt titkos kóddal rendelkező szolgáltatáskapcsolatot próbál ellenőrizni.

A probléma megoldása:

  1. Nyissa meg a Project-beállítások>szolgáltatáskapcsolatait, majd válassza ki a módosítani kívánt szolgáltatáskapcsolatot.

  2. Válassza a szerkesztés lehetőséget a jobb felső sarokban, majd módosítsa a szolgáltatáskapcsolatot. A legegyszerűbb és javasolt módosítás egy leírás hozzáadása.

  3. A szolgáltatáskapcsolat mentéséhez válassza a Mentés lehetőséget.

    Feljegyzés

    Válassza a Mentés lehetőséget. Ebben a lépésben ne próbálja meg ellenőrizni a szolgáltatáskapcsolatot.

  4. Lépjen ki a szolgáltatáskapcsolat szerkesztési ablakból, majd frissítse a szolgáltatáskapcsolatok lapot.

  5. Válassza a Szerkesztés lehetőséget a jobb felső sarokban, majd válassza az Ellenőrzés lehetőséget.

  6. A szolgáltatáskapcsolat mentéséhez válassza a Mentés lehetőséget.

Az Azure-előfizetés nem lesz átadva az előző feladat kimenetéből

Ha dinamikusan állítja be az Azure-előfizetést a kiadási folyamathoz, és egy előző feladat kimeneti változóját szeretné felhasználni, ez a probléma merülhet fel.

A probléma megoldásához győződjön meg arról, hogy az értékek a folyamat változók szakaszában vannak definiálva. Ezután átadhatja ezt a változót a folyamat tevékenységei között.

Milyen hitelesítési mechanizmusok támogatottak? Hogyan működnek a felügyelt identitások?

Az Azure Resource Manager-szolgáltatáskapcsolatok szolgáltatásnév-hitelesítéssel (SPA) vagy felügyelt identitáshitelesítéssel csatlakozhatnak az Azure-előfizetéshez. Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezzel az identitással hitelesítést végezhet bármely olyan szolgáltatásban, amely támogatja a Microsoft Entra-hitelesítést anélkül, hogy a hitelesítő adatokat a kódban vagy a szolgáltatáskapcsolatban őrizze meg.

A virtuális gépek felügyelt identitásairól a Szerepkörök hozzárendelése című témakörben olvashat.

Feljegyzés

A felügyelt identitások nem támogatottak a Microsoft által üzemeltetett ügynökökben. Ebben a forgatókönyvben be kell állítania egy saját üzemeltetésű ügynököt egy Azure-beli virtuális gépen, és konfigurálnia kell egy felügyelt identitást az adott virtuális géphez.