Azure Resource Manager számítási feladat identitásszolgáltatás-kapcsolatának hibaelhárítása
Segítség a számítási feladatok identitásszolgáltatás-kapcsolataival kapcsolatos gyakori problémák hibakereséséhez. Azt is megtudhatja, hogyan hozhat létre manuálisan szolgáltatáskapcsolatot, ha szükséges.
Hibaelhárítási ellenőrzőlista
A számítási feladatok identitásszolgáltatás-kapcsolataival kapcsolatos problémák elhárításához használja az alábbi ellenőrzőlistát:
- Tekintse át a folyamatfeladatokat, és győződjön meg arról, hogy támogatják a számítási feladatok identitását.
- Ellenőrizze, hogy a számítási feladatok identitásának összevonása aktív-e a bérlő számára.
- Ellenőrizze a kiállító URL-címét és az összevonás tárgyát a pontosság érdekében.
A következő szakaszok ismertetik a problémákat és azok megoldásának módját.
Folyamatfeladatok áttekintése
Nem minden folyamatfeladat támogatja a számítási feladatok identitását. Konkrétan csak az Azure Resource Manager szolgáltatáskapcsolati tulajdonságai használják a tevékenységprofil-identitás összevonását. Az alábbi táblázat az Azure DevOpshoz tartozó feladatok számítási feladatok identitás-összevonási támogatását sorolja fel. A Marketplace-ről telepített feladatok esetében forduljon a bővítmény közzétevőjéhez támogatásért.
| Task | Számítási feladatok identitás-összevonásának támogatása |
|---|---|
| AutomatedAnalysis@0 | I |
| AzureAppServiceManage@0 | I |
| AzureAppServiceSettings@1 | I |
| AzureCLI@1 | I |
| AzureCLI@2 | I |
| AzureCloudPowerShellDeployment@1 | AzureCloudPowerShellDeployment@2 használata |
| AzureCloudPowerShellDeployment@2 | I |
| AzureContainerApps@0 | I |
| AzureContainerApps@1 | I |
| AzureFileCopy@1 | AzureFileCopy@6 használata |
| AzureFileCopy@2 | AzureFileCopy@6 használata |
| AzureFileCopy@3 | AzureFileCopy@6 használata |
| AzureFileCopy@4 | AzureFileCopy@6 használata |
| AzureFileCopy@5 | AzureFileCopy@6 használata |
| AzureFileCopy@6 | I |
| AzureFunctionApp@1 | I |
| AzureFunctionApp@2 | I |
| AzureFunctionAppContainer@1 | I |
| AzureFunctionOnKubernetes@0 | AzureFunctionOnKubernetes@1 használata |
| AzureFunctionOnKubernetes@1 | I |
| AzureIoTEdge@2 | I |
| AzureKeyVault@1 | I |
| AzureKeyVault@2 | I |
| AzureMonitor@0 | AzureMonitor@1 használata |
| AzureMonitor@1 | I |
| AzureMysqlDeployment@1 | I |
| AzureNLBManagement@1 | N |
| AzurePolicyCheckGate@0 | I |
| AzurePowerShell@2 | I |
| AzurePowerShell@3 | I |
| AzurePowerShell@4 | I |
| AzurePowerShell@5 | I |
| AzureResourceGroupDeployment@2 | I |
| AzureResourceManagerTemplateDeployment@3 | I |
| AzureRmWebAppDeployment@3 | I |
| AzureRmWebAppDeployment@4 | I |
| AzureSpringCloud@0 | I |
| AzureVmssDeployment@0 | I |
| AzureWebApp@1 | I |
| AzureWebAppContainer@1 | I |
| ContainerBuild@0 | I |
| ContainerStructureTest@0 | I |
| Docker@0 | I |
| Docker@1 | Azure-szolgáltatáskapcsolat: Y Docker Registry szolgáltatáskapcsolat: N |
| Docker@2 | I |
| DockerCompose@0 | I |
| DockerCompose@1 | I |
| DotNetCoreCLI@2 | I |
| HelmDeploy@0 | Azure-szolgáltatáskapcsolat: Y |
| HelmDeploy@1 | Azure-szolgáltatáskapcsolat: Y |
| InvokeRESTAPI@1 | I |
| JavaToolInstaller@0 | I |
| JenkinsDownloadArtifacts@1 | I |
| Kubernetes@0 | Kubernetes@1 használata |
| Kubernetes@1 | I |
| KubernetesManifest@0 | KubernetesManifest@1 használata |
| KubernetesManifest@1 | I |
| Maven@4 | I |
| Notation@0 | I |
| PackerBuild@0 | PackerBuild@1 használata |
| PackerBuild@1 | I |
| PublishToAzureServiceBus@1 | PublishToAzureServiceBus@2 használata Azure-szolgáltatáskapcsolattal |
| PublishToAzureServiceBus@2 | I |
| ServiceFabricComposeDeploy@0 | N |
| ServiceFabricDeploy@1 | N |
| SqlAzureDacpacDeployment@1 | I |
| VSTest@3 | I |
Ellenőrizze, hogy a számítási feladatok identitásának összevonása aktív-e
Ha hibaüzenetek AADSTS700223 vagy AADSTS700238 jelenik meg, a számítási feladatok identitásának összevonása le lett tiltva a Microsoft Entra-bérlőben.
Ellenőrizze, hogy nincsenek olyan Microsoft Entra-szabályzatok, amelyek blokkolják az összevont hitelesítő adatokat.
Ellenőrizze a kiállító URL-címét a pontosság érdekében
Ha egy olyan üzenet jelenik meg, amely azt jelzi , hogy nem található egyező összevont identitásrekord, a kiállító URL-címe vagy az összevonás tárgya nem egyezik. A megfelelő kiállító URL-címe https://vstoken.dev.azure.com elemmel kezdődik.
A kiállító URL-címének kijavításához a szolgáltatáskapcsolat módosításával és mentésével frissítse a kiállító URL-címét. Ha nem az Azure DevOps hozta létre az identitást, a kiállító URL-címét manuálisan kell frissíteni. Azure-identitások esetében a kiállító URL-címe automatikusan frissül.
Gyakori problémák
A következő szakaszok azonosítják a gyakori problémákat, és ismertetik az okokat és a megoldásokat.
Nincs engedélyem alkalmazáspéldány létrehozására a Microsoft Entra-bérlőben
Nem használhatja az Azure DevOps szolgáltatáskapcsolat konfigurációs eszközét, ha nem rendelkezik a megfelelő engedélyekkel. Az engedélyszintje nem elegendő az eszköz használatához, ha nincs engedélye alkalmazáspéldányok létrehozására, vagy ha az Azure DevOps-felhasználójától eltérő Microsoft Entra-bérlőt használ.
Vagy engedélyekkel kell rendelkeznie a Microsoft Entra ID-ben alkalmazásregisztrációk létrehozásához, vagy rendelkeznie kell egy megfelelő szerepkörrel (mint például alkalmazásfejlesztő).
Két lehetősége van a probléma megoldására:
- 1. megoldás: A számítási feladatok identitásának manuális konfigurálása felügyelt identitáshitelesítés használatával
- 2. megoldás: A számítási feladatok identitásának manuális konfigurálása alkalmazásregisztrációs hitelesítéssel
Hibaüzenetek
Az alábbi táblázat a gyakori hibaüzeneteket és az azokat generáló problémákat azonosítja:
| Üzenet | Lehetséges probléma |
|---|---|
nem kérhető jogkivonat: Lekérés ?audience=api://AzureADTokenExchange: unsupported protocol scheme |
A tevékenység nem támogatja a számítási feladatok identitásának összevonását. |
| Az identitás nem található | A tevékenység nem támogatja a számítási feladatok identitásának összevonását. |
| Nem sikerült lekérni az Azure hozzáférési jogkivonatát | A tevékenység nem támogatja a számítási feladatok identitásának összevonását. |
| AADSTS700016: A(z) "****" azonosítójú alkalmazás nem található | A szolgáltatáskapcsolathoz használt identitás már nem létezik, lehet, hogy el lett távolítva a szolgáltatáskapcsolatból, vagy helytelenül lett konfigurálva. Ha manuálisan konfigurálja a szolgáltatáskapcsolatot egy előre létrehozott identitással, győződjön meg arról, hogy a appID/clientId kapcsolat megfelelően van konfigurálva. |
| AADSTS7000215: Érvénytelen ügyfélkód van megadva. | Lejárt titkos kóddal rendelkező szolgáltatáskapcsolatot használ. Alakítsa át a szolgáltatáskapcsolatot számítási feladat identitás-összevonásává , és cserélje le a lejárt titkos kódot összevont hitelesítő adatokra. |
| AADSTS700024: Az ügyfélmegfelelőség nem tartozik az érvényes időtartományba | Ha a hiba körülbelül 1 óra elteltével jelentkezik, használjon inkább szolgáltatáskapcsolatot a számítási feladatok identitásának összevonásával és egy felügyelt identitással . A felügyelt identitás jogkivonatainak élettartama körülbelül 24 óra. Ha a hiba 1 óra előtt, de 10 perc elteltével jelentkezik, helyezze át azokat a parancsokat, amelyek (implicit módon) hozzáférési jogkivonatot kérnek, például hogy hozzáférjenek az Azure Storage-hoz a szkript elejére. A hozzáférési jogkivonatot a rendszer gyorsítótárazza a későbbi parancsokhoz. |
AADSTS70021: Nem található egyező összevont identitásrekord a bemutatott állításhoz. Helyességi kiállító: https://app.vstoken.visualstudio.com. |
Nem jött létre összevont hitelesítő adat, vagy a kiállító URL-címe nem helyes. A megfelelő kiállító URL-címe formátuma https://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX. A kiállító URL-címét a szolgáltatáskapcsolat szerkesztésével és mentésével javíthatja. Ha az Azure DevOps nem hozta létre az identitást, manuálisan kell frissítenie a kiállítót. A megfelelő kiállítót a szolgáltatáskapcsolat szerkesztési párbeszédpanelén vagy a REST API használata esetén a válaszban (az engedélyezési paraméterek alatt) találja. |
AADSTS70021: Nem található egyező összevont identitásrekord a bemutatott állításhoz. Helyességi kiállító: https://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX. Érvényesség tárgya: sc://<org>/<project>/<service-connection>. |
A kiállító URL-címe vagy az összevonás tárgya nem egyezik. Átnevezték az Azure DevOps-szervezetet vagy -projektet, vagy egy manuálisan létrehozott szolgáltatáskapcsolatot átneveztek anélkül, hogy frissítenék az összevonás tárgyát az identitáson. |
| AADSTS700211: Nem található egyező összevont identitásrekord a bemutatott állításkibocsátóhoz | Nem jött létre összevont hitelesítő adat, vagy a kiállító URL-címe nem helyes. |
| AADSTS700213: Nem található egyező összevont identitásrekord a bemutatott állítás tárgyához | Nem lett létrehozva összevont hitelesítő adat, vagy a tárgy nem helyes. |
| AADSTS700223 | A számítási feladatok identitásának összevonása korlátozott vagy le van tiltva a Microsoft Entra-bérlőn. Ebben a forgatókönyvben lehetséges, hogy ehelyett egy felügyelt identitást használ az összevonáshoz. További információért lásd a Számításifeladat-identitás felügyelt identitással témakört. |
| AADSTS70025: Az ügyfélalkalmazás nem rendelkezik konfigurált összevont identitás hitelesítő adataival | Győződjön meg arról, hogy az összevont hitelesítő adatok konfigurálva vannak az alkalmazásregisztráción vagy a felügyelt identitáson. |
| A Microsoft Entra elutasította az Azure DevOps által kibocsátott jogkivonatot AADSTS700238 | A számítási feladatok identitásának összevonása korlátozott a Microsoft Entra-bérlőn. A szervezet (https://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX) kiállítója nem használhat számítási feladatok identitás-összevonását. Kérje meg a Microsoft Entra-bérlő rendszergazdáját vagy felügyeleti csapatát, hogy engedélyezze a számítási feladatok identitásának összevonását az Azure DevOps-szervezet számára. |
| AADSTS900382: A bizalmas ügyfél nem támogatott a felhők közötti használatban | Egyes szuverén felhők blokkolják a számítási feladatok identitásának összevonását. |
| Nem sikerült beolvasni a JSON-webjogkivonatot (JWT) a szolgáltatásnév ügyfélazonosítójával | Az összevonási identitás hitelesítő adatai helytelenül vannak konfigurálva, vagy a Microsoft Entra-bérlő blokkolja az OpenID Connectet (OIDC). |
| A szkript hiba miatt meghiúsult: UnrecognizedArgumentError: unrecognized arguments: --federated-token | AzureCLI-feladatot használ egy olyan ügynökön, amelyen telepítve van az Azure CLI egy korábbi verziója. A számítási feladatok identitásának összevonásához az Azure CLI 2.30 vagy újabb verziója szükséges. |
| Nem sikerült létrehozni egy alkalmazást a Microsoft Entra-azonosítóban. Hiba: Nem megfelelő jogosultságok a művelet Microsoft Graphban való végrehajtásához. Győződjön meg arról, hogy a felhasználó rendelkezik a Microsoft Entra-alkalmazás létrehozásához szükséges engedélyekkel. | Az alkalmazásregisztrációk létrehozásának lehetősége le lett tiltva a Microsoft Entra-bérlőben. Rendelje hozzá a szolgáltatáskapcsolatot létrehozó felhasználót az Alkalmazásfejlesztő Microsoft Entra szerepkörhöz. Másik lehetőségként manuálisan is létrehozhatja a szolgáltatáskapcsolatot egy felügyelt identitás használatával. További információért lásd a Számításifeladat-identitás felügyelt identitással témakört. |
A fent nem látható AADSTS-hiba? Ellenőrizze a Microsoft Entra hitelesítési és engedélyezési hibakódjait.