Megosztás a következőn keresztül:


Azure Pipelines – Sprint 227-frissítés

Features

Számítási feladatok identitásának összevonása az Azure Pipelinesban (nyilvános előzetes verzió)

Leállítja a titkos kulcsok és tanúsítványok azure-szolgáltatáskapcsolatokban való tárolását? Nem kell aggódnia amiatt, hogy a titkos kulcsok elévülnek, amikor lejárnak? Most bejelentjük a Workload Identity Federation nyilvános előzetes verzióját az Azure-szolgáltatáskapcsolatokhoz.A számítási feladatok identitásának összevonása egy iparági szabványnak megfelelő, Open ID Csatlakozás (OIDC) technológiával egyszerűsíti az Azure Pipelines és az Azure közötti hitelesítést. Instead of secrets, a federation subject is used to facilitate this authentication.

Ennek a funkciónak a részeként az Azure (ARM) szolgáltatáskapcsolata egy másik sémával frissült, amely támogatja a számítási feladatok identitásának összevonását. Ez lehetővé teszi, hogy az Azure-szolgáltatáskapcsolatot használó folyamatfeladatok összevonási tárgy (sc://<org>/<project>/<service connection name>) használatával hitelesítsék magukat. A séma meglévő hitelesítési sémákkal való használatának fő előnyei a következők:

  • Egyszerűsített felügyelet: Többé nem hozhat létre, másolhat és tárolhat titkos kulcsokat az Azure AD szolgáltatásnevekből az Azure DevOpsba. Az Azure-szolgáltatáskapcsolatok más hitelesítési sémáiban (például szolgáltatásnév) használt titkos kódok egy bizonyos időszak (jelenleg két év) után lejárnak. Ha lejárnak, a folyamatok sikertelenek lesznek. Új titkos kulcsot kell létrehoznia, és frissítenie kell a szolgáltatáskapcsolatot. A számítási feladatok identitás-összevonására való váltás szükségtelenné teszi ezeket a titkos kulcsokat, és javítja a szolgáltatáskapcsolatok létrehozásának és kezelésének általános élményét.
  • Továbbfejlesztett biztonság: A számítási feladatok identitásának összevonásával nincs állandó titkos kód az Azure Pipelines és az Azure közötti kommunikációban. Ennek eredményeképpen a folyamatfeladatokban futó tevékenységek nem szivároghatnak ki és nem tudnak kiszivárogtatni olyan titkos kulcsokat, amelyek hozzáférnek az éles környezetekhez. Ez gyakran aggodalomra ad okot ügyfeleink számára.

Ezeket a funkciókat kétféleképpen használhatja ki:

  • Új Azure-szolgáltatáskapcsolat létrehozásakor használja az új számítási feladat identitás-összevonási sémát . Az előrehaladtával ez lesz az ajánlott mechanizmus.
  • Konvertálja a meglévő Azure-szolgáltatáskapcsolatokat (amelyek titkos kódokon alapulnak) az új sémára. Ezt az átalakítást egyszerre egy kapcsolattal hajthatja végre. A legjobb az egészben, hogy nem kell módosítania azokat a folyamatokat, amelyek ezeket a szolgáltatáskapcsolatokat használják. Az átalakítás befejezése után a rendszer automatikusan alkalmazza az új sémát.

Ha új Azure-szolgáltatáskapcsolatot szeretne létrehozni a számítási feladatok identitásának összevonásával, egyszerűen válassza ki a számítási feladatok identitás-összevonását (automatikus) vagy (manuális) az Azure-szolgáltatáskapcsolat-létrehozási felületen:

 Screenshot of resource.

Screenshot of identify federation.

Egy korábban létrehozott Azure-szolgáltatáskapcsolat konvertálásához válassza a "Konvertálás" műveletet a kapcsolat kiválasztása után:

 Screenshot of convert.

Az Azure Pipelines részét képező összes Azure-feladat mostantól támogatja ezt az új sémát. Ha azonban a Marketplace-ről származó feladatot vagy egy saját készítésű egyéni feladatot használ az Azure-ban való üzembe helyezéshez, akkor előfordulhat, hogy még nem támogatja a számítási feladatok identitásának összevonását. Ezekben az esetekben kérjük, hogy frissítse a feladatot, hogy támogassa a számítási feladatok identitásának összevonását a biztonság javítása érdekében. A támogatott tevékenységek teljes listája itt található.

Ebben az előzetes verzióban csak az Azure-szolgáltatáskapcsolatokhoz támogatjuk a számítási feladatok identitásának összevonását. Ez a séma nem működik más típusú szolgáltatáskapcsolatokkal. További részletekért tekintse meg a dokumentációnkat.

Ez a blogbejegyzés további részleteket tartalmaz.

A folyamatügynökök pat helyett Microsoft Entra-azonosítóval regisztrálhatók

A Folyamatügynök mostantól több argumentumot is támogat egy szolgáltatásnév vagy egy felhasználó használatával egy ügynök regisztrálásához. A biztonsági beállításokban hozzáférést kell adnia az ügynökkészlethez használt identitásnak. Így nem szükséges személyes hozzáférési jogkivonatot (PAT) használni az ügynökök egyszeri beállításához.

Ügynök regisztrálása szolgáltatásnév használatával

Ha szolgáltatásnévvel szeretne regisztrálni egy Pipelines-ügynököt az Azure DevOps Services szolgáltatásban, adja meg a következő argumentumokat:

--auth 'SP' --clientid 00001111-aaaa-2222-bbbb-3333cccc4444 --clientsecret --tenantid aaaabbbb-0000-cccc-1111-dddd2222eeee

Szolgáltatásnév használata az Ügynök virtuálisgép-bővítményben

Az Azure-beli virtuális gépek egy virtuálisgép-bővítmény használatával az üzembehelyezési csoportokba is belefoglalhatók. A virtuálisgép-bővítmény úgy lett frissítve, hogy az ügynök regisztrálásához pat helyett szolgáltatásnevet használjon:

"settings": {
  "userServicePrincipal": true     
}
"protectedSettings": {
  "clientId": "[parameters('clientId')]"      
  "clientSecret": "[parameters('clientSecret')]"      
  "tenantId": "[parameters('tenantId')]"      
}

Ügynök interaktív regisztrálása eszközkód-folyamat használatával

A beállítás egyszerű befejezéséhez webböngészőt használhat. Az ügynökkonfigurációs szkript futtatásakor adja meg az "AAD" értéket a hitelesítés típusához. A szkript végigvezeti a következő lépéseken, beleértve a weben való navigálás helyét és a beírandó kódot. Miután megadta a kódot a weben, térjen vissza a konzolra az ügynök beállításának befejezéséhez.

 Screenshot of authentication flow.

REST API-k környezetekhez

A környezet olyan erőforrások gyűjteménye, amelyeket egy folyamat központi telepítéseivel célozhat meg. A környezetek biztosítják az üzembe helyezési előzményeket, a munkaelemek és véglegesítések nyomon követhetőségét, valamint a hozzáférés-vezérlési mechanizmusokat.

Tudjuk, hogy programozott módon szeretne környezeteket létrehozni, ezért közzétettük a REST API dokumentációját.

Nem tervezett folyamatfuttatások megakadályozása

Ma, ha a YAML-folyamat nem ad meg szakaszt trigger , az a tárházba leküldött módosításokért fut. Ez zavart okozhat abban, hogy egy folyamat miért futott, és miért vezetett sok nem tervezett futtatáshoz.

Hozzáadtunk egy szervezeti és projektszintű folyamatbeállítást a Implicit YAML CI-eseményindító letiltása nevű beállításhoz, amely lehetővé teszi ennek a viselkedésnek a módosítását. Dönthet úgy, hogy nem aktiválja a folyamatokat, ha hiányzik az eseményindító szakasza.

 Screenshot of YAML CI trigger.

GitHub-adattárak létrehozása alapértelmezés szerint biztonságosan

Az utolsó sprintben bevezettünk egy központosított vezérlőt a PRS-ek elágaztatott GitHub-adattárakból való létrehozásához.

Ezzel a futammal szervezeti szinten engedélyezzük a Securely build pull requests from forked repositories lehetőséget az új szervezetek számára. A meglévő szervezetekre nincs hatással.

A kódlefedettségi szabályzat állapotának letiltott felülbírálása sikertelen lesz a buildelés sikertelensége esetén

Korábban a kódlefedettségi szabályzat állapota felül lett bírálva a "Sikertelen" állapotra, ha a lekéréses kérelemben való buildelés sikertelen volt. Ez egy letiltó volt néhányuk számára, akik a buildet opcionális ellenőrzésként, a kódlefedettségi szabályzatot pedig kötelezően ellenőrizték a PRs-ek esetében, ami a PRS-ek letiltását eredményezte.

Screenshot of PRs blocked.

Ezzel a sprinttel a kódlefedettségi szabályzat nem lesz felülírva "Sikertelen" értékkel, ha a build meghiúsul. Ez a funkció minden ügyfél számára engedélyezve lesz.

Screenshot of results after change.

Következő lépések

Megjegyzés:

Ezek a funkciók a következő két-három hétben jelennek meg.

Lépjen az Azure DevOpsba, és nézze meg.

Visszajelzés küldése

Szeretnénk hallani, mit gondol ezekről a funkciókról. A súgómenüvel jelentheti a problémát, vagy javaslatot adhat.

Make a suggestion

Tanácsokat és kérdéseket is kaphat a közösség által a Stack Overflow-on.