Bagikan melalui

Mengatur koneksi layanan identitas beban kerja Azure Resource Manager secara manual

  • Artikel

Saat Anda memecahkan masalah koneksi layanan identitas beban kerja Azure Resource Manager, Anda mungkin perlu mengonfigurasi koneksi secara manual alih-alih menggunakan alat otomatis yang tersedia di Azure DevOps.

Kami menyarankan agar Anda mencoba pendekatan otomatis sebelum memulai konfigurasi manual.

Ada dua opsi untuk autentikasi: gunakan identitas terkelola atau gunakan perwakilan layanan. Keuntungan dari opsi identitas terkelola adalah Anda dapat menggunakannya jika Anda tidak memiliki izin untuk membuat perwakilan layanan atau jika Anda menggunakan penyewa Microsoft Entra yang berbeda dari pengguna Azure DevOps Anda.

Mengatur koneksi layanan identitas beban kerja untuk menggunakan autentikasi identitas terkelola

Anda mungkin perlu membuat identitas terkelola secara manual yang menggunakan kredensial federasi, lalu memberikan izin yang diperlukan. Anda juga dapat menggunakan REST API untuk proses ini.

Buat identitas terkelola

  1. Masuk ke portal Azure.

  2. Di kotak penelusuran, masukkan Identitas Terkelola.

  3. Pilih Buat.

  4. Di panel Buat Identitas Terkelola yang Ditetapkan Pengguna, masukkan atau pilih nilai untuk item berikut ini:

    • Langganan: Pilih langganan untuk membuat identitas terkelola yang ditetapkan pengguna.
    • Grup sumber daya: Pilih grup sumber daya untuk membuat identitas terkelola yang ditetapkan pengguna, atau pilih Buat baru untuk membuat grup sumber daya baru.
    • Wilayah: Pilih wilayah untuk menyebarkan identitas terkelola yang ditetapkan pengguna, misalnya, US Timur.
    • Nama: Masukkan nama untuk identitas terkelola yang ditetapkan pengguna Anda, misalnya, UADEVOPS.

  5. Salin nilai ID Langganan dan ID Klien untuk identitas terkelola Anda untuk digunakan nanti.

  6. Buka Properti Pengaturan>.

  7. Salin nilai Id Penyewa untuk digunakan nanti.

  8. Buka Pengaturan>Kredensial federasi.

  9. Pilih Tambahkan kredensial.

  10. Pilih skenario Pengeluar sertifikat lainnya.

  11. Masukkan nilai untuk Pengeluar Sertifikat dan Pengidentifikasi subjek. Anda akan mengganti nilai-nilai ini nanti saat membuat koneksi layanan.

    Bidang Deskripsi
    Penerbit Memasuki https://vstoken.dev.azure.com/<unique-identifier>. unique-identifier adalah GUID organisasi Azure DevOps Anda.
    Pengidentifikasi subjek Tentukan sc://<Azure DevOps organization>/<project name>/<service connection name>. Koneksi layanan tidak perlu dibuat.

  12. Pilih Simpan.

  13. Biarkan jendelanya tetap terbuka. Kemudian dalam prosesnya, Anda kembali ke jendela dan memperbarui kredensial federasi pendaftaran aplikasi Anda.

Memberikan izin ke identitas terkelola

  1. Di portal Azure, buka sumber daya Azure yang ingin Anda berikan izinnya (misalnya, grup sumber daya).

  2. Pilih Kontrol Akses (IAM) .

    Cuplikan layar yang memperlihatkan pemilihan Kontrol akses di menu sumber daya.

  3. Pilih Tambahkan penetapan peran. Tetapkan peran yang diperlukan ke identitas terkelola Anda (misalnya, Kontributor).

  4. Pilih Tinjau dan tetapkan.

Membuat koneksi layanan untuk autentikasi identitas terkelola

  1. Di Azure DevOps, buka proyek Anda dan buka >koneksi Layanan Alur.>

  2. Pilih Koneksi layanan baru.

  3. Pilih Azure Resource Manager, lalu pilih Berikutnya.

  4. Pilih Federasi Identitas Beban Kerja (manual), lalu pilih Berikutnya.

    Cuplikan layar yang memperlihatkan memilih koneksi layanan Identitas Beban Kerja.

  5. Untuk Nama koneksi layanan, masukkan nilai yang Anda gunakan untuk Pengidentifikasi subjek saat membuat kredensial federasi Anda.

  6. Untuk ID Langganan dan Nama Langganan, masukkan nilai untuk langganan di akun portal Azure Anda.

    Cuplikan layar yang memperlihatkan kredensial langganan gabungan.

  7. Di bagian autentikasi:

    1. Untuk Id Perwakilan Layanan, masukkan nilai Id Klien dari identitas terkelola Anda.

    2. Untuk ID Penyewa, masukkan nilai Id Penyewa dari identitas terkelola Anda.

      Cuplikan layar yang memperlihatkan portal Azure nilai identitas terkelola.

  8. Di Azure DevOps, salin nilai yang dihasilkan untuk Pengeluar Sertifikat dan Pengidentifikasi subjek.

    Cuplikan layar yang memperlihatkan kredensial DevOps untuk autentikasi gabungan.

  9. Di portal Azure, kembali ke kredensial federasi pendaftaran aplikasi Anda.

  10. Tempelkan nilai untuk Pengeluar Sertifikat dan Pengidentifikasi subjek yang Anda salin dari proyek Azure DevOps Ke dalam kredensial federasi Anda di portal Azure.

    Cuplikan layar yang memperlihatkan perbandingan kredensial federasi di Azure DevOps dan portal Azure.

  11. Di portal Azure, pilih Perbarui untuk menyimpan kredensial yang diperbarui.

  12. Di Azure DevOps, pilih Verifikasi dan simpan.

Mengatur koneksi layanan identitas beban kerja untuk menggunakan autentikasi perwakilan layanan

Anda mungkin perlu membuat perwakilan layanan secara manual yang memiliki kredensial federasi, lalu memberikan izin yang diperlukan. Anda juga dapat menggunakan REST API untuk proses ini.

Membuat pendaftaran aplikasi dan kredensial federasi

  1. Di portal Azure, buka pendaftaran aplikasi.

  2. Pilih Pendaftaran baru.

    Cuplikan layar yang memperlihatkan pendaftaran aplikasi baru.

  3. Untuk Nama, masukkan nama untuk pendaftaran aplikasi Anda, lalu pilih Siapa yang dapat menggunakan aplikasi ini atau mengakses API ini.

  4. Salin nilai untuk ID Aplikasi (klien) dan ID Direktori (penyewa) dari pendaftaran aplikasi Anda untuk digunakan nanti.

    Cuplikan layar yang memperlihatkan ID klien pendaftaran aplikasi dan ID penyewa.

  5. Buka Kelola>Sertifikat & rahasia.

  6. Pilih Kredensial federasi.

    Cuplikan layar yang memperlihatkan tab kredensial federasi.

  7. Pilih Tambahkan kredensial.

  8. Pilih skenario Pengeluar sertifikat lainnya.

    Cuplikan layar yang memperlihatkan pemilihan skenario kredensial federasi.

  9. Masukkan nilai untuk Pengeluar Sertifikat dan Pengidentifikasi subjek. Anda akan mengganti nilai-nilai ini nanti saat membuat koneksi layanan.

    Bidang Deskripsi
    Penerbit Memasuki https://vstoken.dev.azure.com/<unique-identifier>. unique-identifier adalah GUID organisasi Azure DevOps Anda.
    Pengidentifikasi subjek Tentukan sc://<Azure DevOps organization>/<project name>/<service connection name>. Koneksi layanan Anda tidak perlu dibuat.

  10. Pilih Simpan.

  11. Biarkan jendelanya tetap terbuka. Kemudian dalam prosesnya, Anda kembali ke jendela dan memperbarui kredensial federasi pendaftaran aplikasi Anda.

Memberikan izin ke pendaftaran aplikasi

  1. Di portal Azure, buka sumber daya Azure yang ingin Anda berikan izinnya (misalnya, grup sumber daya).

  2. Pilih Kontrol Akses (IAM) .

    Cuplikan layar yang memperlihatkan pemilihan Kontrol akses di menu sumber daya.

  3. Pilih Tambahkan penetapan peran. Tetapkan peran yang diperlukan ke pendaftaran aplikasi (misalnya, Kontributor).

  4. Pilih Tinjau dan tetapkan.

Membuat koneksi layanan untuk autentikasi perwakilan layanan

  1. Di Azure DevOps, buka proyek Anda dan buka >koneksi Layanan Alur.>

  2. Pilih Koneksi layanan baru.

  3. Pilih Azure Resource Manager, lalu pilih Berikutnya.

  4. Pilih Federasi Identitas Beban Kerja (manual), lalu pilih Berikutnya.

    Cuplikan layar yang memperlihatkan memilih koneksi layanan identitas beban kerja.

  5. Untuk Nama koneksi layanan, masukkan nilai Pengidentifikasi subjek dari kredensial federasi Anda.

  6. Untuk ID Langganan dan Nama Langganan, masukkan nilai untuk langganan di akun portal Azure Anda.

    Cuplikan layar yang memperlihatkan kredensial langganan gabungan.

  7. Di bagian autentikasi:

    1. Untuk Id Perwakilan Layanan, masukkan nilai ID Aplikasi (klien) dari pendaftaran aplikasi Anda.

    2. Untuk Id Penyewa, masukkan nilai ID Direktori (penyewa) dari pendaftaran aplikasi Anda.

  8. Salin nilai yang dihasilkan untuk Pengeluar Sertifikat dan Pengidentifikasi subjek.

    Cuplikan layar yang memperlihatkan kredensial DevOps untuk autentikasi gabungan.

  9. Di portal Azure, kembali ke kredensial federasi pendaftaran aplikasi Anda.

  10. Tempelkan nilai untuk Pengeluar Sertifikat dan Pengidentifikasi subjek yang Anda salin dari proyek Azure DevOps Ke dalam kredensial federasi Anda di portal Azure.

    Perbandingan cuplikan layar kredensial federasi di Azure DevOps dan portal Azure.

  11. Di portal Azure, pilih Perbarui untuk menyimpan kredensial yang diperbarui.

  12. Di Azure DevOps, pilih Verifikasi dan simpan.