Memecahkan masalah koneksi layanan ARM.

  • Artikel

Layanan Azure DevOps | Azure DevOps Server 2022 - Azure DevOps Server 2019

Artikel ini menyajikan skenario pemecahan masalah umum untuk membantu Anda mengatasi masalah yang mungkin Anda temui saat membuat koneksi layanan Azure Resource Manager. Lihat Mengelola koneksi layanan untuk mempelajari cara membuat, mengedit, dan mengamankan koneksi layanan.

Apa yang terjadi saat Anda membuat koneksi layanan ARM?

Jika Anda tidak memiliki koneksi layanan, Anda dapat membuatnya sebagai berikut:

  1. Dari dalam proyek Anda, pilih Pengaturan proyek, lalu pilih Koneksi layanan.

    Cuplikan layar memperlihatkan cara mengakses koneksi layanan dari pengaturan proyek

  2. Pilih Koneksi layanan baru untuk menambahkan koneksi layanan baru, lalu pilih Azure Resource Manager. Pilih Berikutnya saat Anda selesai.

    Cuplikan layar memperlihatkan jenis koneksi layanan.

  3. Pilih Perwakilan layanan (otomatis), lalu pilih **Berikutnya.

  4. Pilih Langganan, lalu pilih langganan Anda dari daftar drop-down. Isi formulir lalu pilih Simpan setelah selesai.

    Cuplikan layar memperlihatkan formulir koneksi layanan ARM baru.

Saat Anda menyimpan koneksi layanan ARM baru, Azure DevOps kemudian:

  1. Koneksi ke penyewa Microsoft Entra untuk langganan yang dipilih.
  2. Buat aplikasi di Microsoft Entra ID atas nama pengguna.
  3. Setelah aplikasi berhasil dibuat, tetapkan aplikasi sebagai kontributor ke langganan yang dipilih.
  4. Membuat koneksi layanan Azure Resource Manager menggunakan detail aplikasi ini.

Catatan

Untuk membuat koneksi layanan, Anda harus ditambahkan ke grup Pembuat Titik Akhir di pengaturan proyek Anda: Pengaturan proyek>Keamanan koneksi layanan.> Kontributor ditambahkan ke grup ini secara default.

Skenario pemecahan masalah

Di bawah ini adalah beberapa masalah yang mungkin terjadi saat membuat koneksi layanan:

Hak istimewa untuk menyelesaikan operasi tidak memadai

Ini biasanya terjadi ketika sistem mencoba membuat aplikasi di ID Microsoft Entra atas nama Anda.

Ini adalah masalah izin yang mungkin disebabkan oleh penyebab berikut:

Pengguna hanya memiliki izin tamu di direktori

Pendekatan terbaik untuk mengatasi masalah ini, sekaligus hanya memberikan izin tambahan minimum kepada pengguna, adalah dengan meningkatkan izin pengguna Tamu sebagai berikut.

  1. Masuk ke portal Azure menggunakan akun administrator. Akun harus menjadi pemilik, administrator global, atau administrator akun pengguna.

  2. Pilih ID Microsoft Entra di bilah navigasi kiri.

  3. Pastikan Anda mengedit direktori yang sesuai dengan langganan pengguna. Jika tidak, pilih Beralih direktori dan masuk menggunakan kredensial yang sesuai jika diperlukan.

  4. Pilih Pengguna dari bagian Kelola .

  5. Pilih Pengaturan pengguna.

  6. Pilih Kelola pengaturan kolaborasi eksternal dari bagian Pengguna eksternal.

  7. Ubah izin pengguna Tamu adalah opsi terbatas ke Tidak.

Atau, jika Anda siap untuk memberikan izin tambahan kepada pengguna (tingkat administrator), Anda dapat menjadikan pengguna sebagai anggota peran Administrator global . Untuk melakukannya, ikuti langkah-langkah di bawah ini:

Peringatan

Pengguna yang ditetapkan ke peran Administrator global dapat membaca dan memodifikasi setiap pengaturan administratif di organisasi Microsoft Entra Anda. Sebagai praktik terbaik, kami menyarankan Anda untuk menetapkan peran ini kepada kurang dari lima orang di organisasi Anda.

  1. Masuk ke portal Azure menggunakan akun administrator. Akun harus menjadi pemilik, administrator global, atau administrator akun pengguna.

  2. Pilih ID Microsoft Entra dari panel navigasi kiri.

  3. Pastikan Anda mengedit direktori yang sesuai dengan langganan pengguna. Jika tidak, pilih Beralih direktori dan masuk menggunakan kredensial yang sesuai jika diperlukan.

  4. Pilih Pengguna dari bagian Kelola .

  5. Gunakan kotak pencarian untuk mencari pengguna yang ingin Anda kelola.

  6. Pilih Peran direktori dari bagian Kelola , lalu ubah peran menjadi Administrator global. Pilih Simpan saat Anda selesai.

Biasanya diperlukan waktu 15 hingga 20 menit untuk menerapkan perubahan secara global. Pengguna kemudian dapat mencoba membuat ulang koneksi layanan.

Pengguna tidak berwenang untuk menambahkan aplikasi di direktori

Anda harus memiliki izin untuk menambahkan aplikasi terintegrasi di direktori. Administrator direktori memiliki izin untuk mengubah pengaturan ini.

  1. Pilih ID Microsoft Entra di panel navigasi kiri.

  2. Pastikan Anda mengedit direktori yang sesuai dengan langganan pengguna. Jika tidak, pilih Beralih direktori dan masuk menggunakan kredensial yang sesuai jika diperlukan.

  3. Pilih Pengguna, lalu pilih Pengaturan pengguna.

  4. Di bawah Pendaftaran aplikasi, lalu ubah opsi Pengguna dapat mendaftarkan aplikasi ke Ya.

Anda juga dapat membuat perwakilan layanan dengan pengguna yang sudah ada yang sudah memiliki izin yang diperlukan di ID Microsoft Entra. Lihat Membuat koneksi layanan Azure Resource Manager dengan perwakilan layanan yang ada untuk informasi selengkapnya.

Gagal mendapatkan token akses atau token refresh yang valid tidak ditemukan

Kesalahan ini biasanya terjadi ketika sesi Anda telah kedaluwarsa. Untuk mengatasi masalah ini:

  1. Keluar dari Azure DevOps.
  2. Buka jendela browser InPrivate atau penyamaran dan navigasikan ke Azure DevOps.
  3. Masuk menggunakan kredensial yang sesuai.
  4. Pilih organisasi dan proyek Anda.
  5. Buat koneksi layanan Anda.

Gagal menetapkan peran Kontributor

Kesalahan ini biasanya terjadi saat Anda tidak memiliki izin Tulis untuk langganan Azure yang dipilih.

Untuk mengatasi masalah ini, minta administrator langganan untuk menetapkan peran yang sesuai di ID Microsoft Entra.

Langganan tidak tercantum saat membuat koneksi layanan

Maksimal 50 langganan Azure tercantum di berbagai menu drop-down langganan Azure (penagihan, koneksi layanan, dll.). Jika Anda menyiapkan koneksi layanan dan memiliki lebih dari 50 langganan Azure, beberapa langganan Anda tidak akan tercantum. Dalam skenario ini, selesaikan langkah-langkah berikut:

  1. Buat yang baru, pengguna Microsoft Entra asli di instans Microsoft Entra dari langganan Azure Anda.

  2. Siapkan pengguna Microsoft Entra sehingga memiliki izin sesuai untuk menyiapkan tagihan atau membuat sambungan layanan. Untuk informasi selengkapnya, lihat Menambahkan pengguna yang dapat menyiapkan tagihan untuk Azure DevOps.

  3. Tambahkan pengguna Microsoft Entra ke organisasi Azure DevOps dengan tingkat akses Pemangku Kepentingan , lalu tambahkan ke grup Administrator Koleksi Proyek (untuk penagihan), atau pastikan bahwa pengguna memiliki izin yang memadai di Proyek Tim untuk membuat koneksi layanan.

  4. Masuk ke Azure DevOps dengan kredensial pengguna baru, dan siapkan tagihan. Anda hanya akan melihat satu langganan Azure dalam daftar.

Beberapa langganan hilang dari daftar langganan

Masalah ini dapat diperbaiki dengan mengubah pengaturan jenis akun yang didukung dan menentukan siapa yang dapat menggunakan aplikasi Anda. Untuk melakukannya, ikuti langkah-langkah di bawah ini:

  1. Masuk ke portal Azure.

  2. Jika Anda memiliki akses ke beberapa penyewa, gunakan filter Direktori + langganan di menu atas untuk memilih penyewa tempat Anda ingin mendaftarkan aplikasi.

    Cuplikan layar memperlihatkan ikon direktori dan langganan di Portal Microsoft Azure.

  3. Pilih ID Microsoft Entra dari panel kiri.

  4. Pilih Pendaftaran aplikasi.

  5. Pilih aplikasi Anda dari daftar aplikasi terdaftar.

  6. Di bawah Autentikasi, pilih Jenis akun yang didukung.

  7. Di bawah Jenis akun yang didukung, Siapa dapat menggunakan aplikasi ini atau mengakses API ini? pilih Akun di direktori organisasi apa pun.

    Cuplikan layar memperlihatkan jenis akun yang didukung.

  8. Pilih Simpan saat Anda selesai.

Token perwakilan layanan kedaluwarsa

Masalah yang sering muncul dengan perwakilan layanan yang secara otomatis dibuat adalah bahwa token perwakilan layanan kedaluwarsa dan perlu diperbarui. Namun, jika Anda memiliki masalah dengan refresh token, lihat token refresh yang valid tidak ditemukan.

Untuk memperbarui token akses untuk perwakilan layanan yang dibuat secara otomatis:

  1. Buka Pengaturan proyek>Koneksi layanan, lalu pilih koneksi layanan yang ingin Anda ubah.

  2. Pilih Edit di sudut kanan atas, dan pilih Verifikasi.

  3. Pilih Simpan.

Token perwakilan layanan Anda sekarang telah diperpanjang selama tiga bulan lagi.

Catatan

Operasi ini tersedia bahkan jika token perwakilan layanan belum kedaluwarsa.

Gagal mendapatkan JWT dengan menggunakan ID klien perwakilan layanan

Masalah ini terjadi ketika Anda mencoba memverifikasi koneksi layanan yang memiliki rahasia kedaluwarsa.

Untuk mengatasi masalah ini:

  1. Buka Pengaturan proyek>Koneksi layanan, lalu pilih koneksi layanan yang ingin Anda ubah.

  2. Pilih Edit di sudut kanan atas, lalu buat perubahan apa pun pada koneksi layanan Anda. Perubahan yang paling mudah dan direkomendasikan adalah menambahkan deskripsi.

  3. Pilih Simpan untuk menyimpan koneksi layanan.

    Catatan

    Pilih Simpan. Jangan mencoba memverifikasi koneksi layanan pada langkah ini.

  4. Keluar dari jendela edit koneksi layanan, lalu refresh halaman koneksi layanan.

  5. Pilih Edit di sudut kanan atas, dan sekarang pilih Verifikasi.

  6. Pilih Simpan untuk menyimpan koneksi layanan Anda.

Langganan Azure tidak diteruskan dari output tugas sebelumnya

Saat Anda mengatur langganan Azure secara dinamis untuk alur rilis dan ingin menggunakan variabel output dari tugas sebelumnya, Anda mungkin mengalami masalah ini.

Untuk mengatasi masalah ini, pastikan bahwa nilai ditentukan dalam bagian variabel alur Anda. Anda kemudian dapat meneruskan variabel ini di antara tugas alur Anda.

Mekanisme autentikasi apa yang didukung? Bagaimana cara kerja identitas terkelola?

Koneksi layanan Azure Resource Manager dapat tersambung ke langganan Azure dengan menggunakan Autentikasi Perwakilan Layanan (SPA) atau autentikasi identitas terkelola. Identitas terkelola untuk sumber daya Azure memberikan layanan Azure identitas terkelola otomatis di Microsoft Entra ID. Anda dapat menggunakan identitas ini untuk mengautentikasi ke layanan apa pun yang mendukung autentikasi Microsoft Entra tanpa menyimpan kredensial dalam kode atau dalam koneksi layanan.

Untuk mempelajari tentang identitas terkelola untuk komputer virtual, lihat Menetapkan peran.

Catatan

Identitas terkelola tidak didukung di agen yang dihosting Microsoft. Dalam skenario ini, Anda harus menyiapkan agen yang dihost sendiri di Azure VM dan mengonfigurasi identitas terkelola untuk VM tersebut.