Usare GitHub Actions per connettersi ad Azure

Informazioni su come usare un account di accesso di Azure con Azure PowerShell o l'interfaccia della riga di comando di Azure per interagire con le risorse di Azure.

Per usare Azure PowerShell o l'interfaccia della riga di comando di Azure in un flusso di lavoro di GitHub Actions, è necessario prima accedere con l'azione di accesso di Azure.

L'azione di accesso di Azure supporta due modi diversi per l'autenticazione con Azure:

• Entità servizio con segreti
• OpenID Connessione (OIDC) con un'entità servizio di Azure usando una credenziale di identità federata

Per impostazione predefinita, l'azione di accesso accede con l'interfaccia della riga di comando di Azure e configura l'ambiente di esecuzione di GitHub Actions per l'interfaccia della riga di comando di Azure. È possibile usare Azure PowerShell con la proprietà enable-AzPSSession dell'azione di accesso di Azure. In questo modo viene configurato l'ambiente di esecuzione di GitHub Actions con il modulo Azure PowerShell.

È possibile usare l'account di accesso di Azure per connettersi a cloud pubblici o sovrani, tra cui Azure per enti pubblici e l'hub di Azure Stack.

Usare l'azione di accesso di Azure con OpenID Connessione

Per configurare un account di accesso di Azure con OpenID Connessione e usarlo in un flusso di lavoro di GitHub Actions, è necessario:

• Un'applicazione Microsoft Entra, con un'entità servizio assegnata con un ruolo appropriato alla sottoscrizione.
• Un'applicazione Microsoft Entra configurata con credenziali federate per considerare attendibili i token rilasciati da GitHub Actions nel repository GitHub. È possibile configurare questa opzione nella portale di Azure o con le API REST di Microsoft Graph.
• Flusso di lavoro di GitHub Actions che richiede token di rilascio di GitHub al flusso di lavoro e usa l'azione di accesso di Azure.

Creare un'applicazione e un'entità servizio Microsoft Entra

Sarà necessario creare un'applicazione Microsoft Entra e un'entità servizio e quindi assegnare un ruolo nella sottoscrizione all'applicazione in modo che il flusso di lavoro abbia accesso alla sottoscrizione.

Azure portal

1. Se non si dispone di un'applicazione esistente, registrare una nuova applicazione Microsoft Entra e un'entità servizio in grado di accedere alle risorse. Come parte di questo processo, assicurarsi di:

   • Registrare l'applicazione con Microsoft Entra ID e creare un'entità servizio
   • Assegnare un ruolo all'applicazione

2. Aprire Registrazioni app in portale di Azure e trovare l'applicazione. Copiare i valori per ID applicazione (client) e ID directory (tenant) da usare nel flusso di lavoro di GitHub Actions.

3. Aprire Sottoscrizioni in portale di Azure e trovare la sottoscrizione. Copiare l'ID sottoscrizione.

Interfaccia della riga di comando di Azure

1. Creare l'applicazione Microsoft Entra.

   az ad app create --display-name myApp
   

   Questo comando restituirà JSON con un oggetto appId che corrisponde a client-id. objectId è APPLICATION-OBJECT-ID e verrà usato per la creazione di credenziali federate con chiamate API Graph.

2. Creare un'entità servizio. Sostituire con il $appID valore appId dall'output JSON. Questo comando genera l'output JSON con un'altra objectId operazione verrà usata nel passaggio successivo. Il nuovo objectId è .assignee-object-id

    az ad sp create --id $appId
   

3. Creare una nuova assegnazione di ruolo per sottoscrizione e oggetto. Per impostazione predefinita, l'assegnazione di ruolo verrà associata alla sottoscrizione predefinita. Sostituire $subscriptionId con l'ID sottoscrizione, $resourceGroupName con il nome del gruppo di risorse e $assigneeObjectId con generato assignee-object-id (l'ID oggetto dell'entità servizio appena creato).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Copiare i valori per clientId, subscriptionIde tenantId da usare più avanti nel flusso di lavoro di GitHub Actions.

Azure PowerShell

1. Creare l'applicazione Microsoft Entra.

   New-AzADApplication -DisplayName myApp
   

   Questo comando restituirà la proprietà che corrisponde a AppIdClientId. La Id proprietà è APPLICATION-OBJECT-ID e verrà usata per la creazione di credenziali federate con chiamate API Graph.

2. Creare un'entità servizio. Sostituire con l'AppId $clientId dell'output. Questo comando genera l'output con un valore diverso Id e verrà usato nel passaggio successivo. Il nuovo Id è .ObjectId

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   New-AzADServicePrincipal -ApplicationId $clientId
   

3. Creare una nuova assegnazione di ruolo. A partire dal modulo Az PowerShell versione 7.x, New-AzADServicePrincipal non assegna più il Contributor ruolo all'entità servizio per impostazione predefinita. Sostituire $resourceGroupName con il nome del gruppo di risorse e $objectId con .Id

   $objectId = (Get-AzADServicePrincipal -DisplayName myApp).Id
   New-AzRoleAssignment -ObjectId $objectId -RoleDefinitionName Contributor -ResourceGroupName $resourceGroupName
   

4. Ottenere i valori per clientId, subscriptionIde tenantId da usare più avanti nel flusso di lavoro di GitHub Actions.

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   $subscriptionId = (Get-AzContext).Subscription.Id
   $tenantId = (Get-AzContext).Subscription.TenantId
   

Aggiungere credenziali federate

È possibile aggiungere credenziali federate nella portale di Azure o con l'API REST di Microsoft Graph.

Azure portal

1. Passare a Registrazioni app nel portale di Azure e aprire l'app da configurare.
2. All'interno dell'app passare a Certificati e segreti.
   
3. Nella scheda Credenziali federate selezionare Aggiungi credenziali.
4. Selezionare lo scenario delle credenziali gitHub Actions che distribuisce le risorse di Azure. Generare le credenziali immettendo i dettagli delle credenziali.

Campo	Description	Esempio
Organization	Il nome dell'organizzazione GitHub o il nome utente di GitHub.	contoso
Repository	Nome del repository GitHub.	contoso-app
Tipo di entità	Filtro usato per definire l'ambito delle richieste OIDC dai flussi di lavoro di GitHub. Questo campo viene usato per generare l'attestazione subject .	Environment, Branch, Pull requestTag
Nome GitHub	Nome dell'ambiente, del ramo o del tag.	main
Nome	Identificatore per le credenziali federate.	contoso-deploy

Per una panoramica più dettagliata, vedere Configurare un'app per considerare attendibile un repository GitHub.

Interfaccia della riga di comando di Azure

Eseguire il comando seguente per creare una nuova credenziale di identità federata per l'applicazione Microsoft Entra.

• Sostituire APPLICATION-OBJECT-ID con objectId (generato durante la creazione dell'app) per l'applicazione Microsoft Entra.
• Impostare un valore per CREDENTIAL-NAME per fare riferimento in un secondo momento.
• Impostare subject. Il valore di questo valore è definito da GitHub a seconda del flusso di lavoro:
  • Processi nell'ambiente GitHub Actions: repo:< Organization/Repository >:environment:< Name >
  • Per i processi non associati a un ambiente, includere il percorso di riferimento per branch/tag in base al percorso di riferimento usato per attivare il flusso di lavoro: repo:< Organization/Repository >:ref:< ref path>. Ad esempio, repo:n-username/ node_express:ref:refs/heads/my-branch o repo:n-username/ node_express:ref:refs/tags/my-tag.
  • Per i flussi di lavoro attivati da un evento di richiesta pull: repo:< Organization/Repository >:pull_request.

az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Per una panoramica più dettagliata, vedere Configurare un'app per considerare attendibile un provider di identità esterno.

Azure PowerShell

Eseguire il cmdlet New-AzADAppFederatedCredential per creare una nuova credenziale di identità federata per l'applicazione Microsoft Entra.

• Sostituire APPLICATION-OBJECT-ID con l'ID (generato durante la creazione dell'app) per l'applicazione Microsoft Entra.
• Impostare un valore per CREDENTIAL-NAME per fare riferimento in un secondo momento.
• Impostare subject. Il valore di questo valore è definito da GitHub a seconda del flusso di lavoro:
  • Processi nell'ambiente GitHub Actions: repo:< Organization/Repository >:environment:< Name >
  • Per i processi non associati a un ambiente, includere il percorso di riferimento per branch/tag in base al percorso di riferimento usato per attivare il flusso di lavoro: repo:< Organization/Repository >:ref:< ref path>. Ad esempio, repo:n-username/ node_express:ref:refs/heads/my-branch o repo:n-username/ node_express:ref:refs/tags/my-tag.
  • Per i flussi di lavoro attivati da un evento di richiesta pull: repo:< Organization/Repository >:pull_request.

New-AzADAppFederatedCredential -ApplicationObjectId APPLICATION-OBJECT-ID -Audience api://AzureADTokenExchange -Issuer 'https://token.actions.githubusercontent.com/' -Name 'GitHub-Actions-Test' -Subject 'repo:octo-org/octo-repo:environment:Production'

Per una panoramica più dettagliata, vedere Configurare un'app per considerare attendibile un repository GitHub.

Creare segreti di GitHub

È necessario specificare l'ID client, l'ID tenant e l'ID sottoscrizione dell'applicazione all'azione di accesso. Questi valori possono essere forniti direttamente nel flusso di lavoro o possono essere archiviati nei segreti gitHub e a cui si fa riferimento nel flusso di lavoro. Il salvataggio dei valori come segreti GitHub è l'opzione più sicura.

1. Aprire il repository GitHub e passare a Impostazioni.

   

2. Selezionare Segreti di sicurezza > e variabili > Azioni.

   

3. Creare segreti per AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_SUBSCRIPTION_ID. Usare questi valori dell'applicazione Azure Active Directory per i segreti di GitHub:

   Segreto GitHub	Applicazione di Azure Active Directory
   AZURE_CLIENT_ID	ID applicazione (client)
   AZURE_TENANT_ID	ID della directory (tenant)
   AZURE_SUBSCRIPTION_ID	ID sottoscrizione

4. Salvare ogni segreto selezionando Aggiungi segreto.

Configurare l'accesso di Azure con l'autenticazione Connessione OpenID

Il flusso di lavoro di GitHub Actions usa openID Connessione per l'autenticazione con Azure. Per altre informazioni su questa interazione, vedere la documentazione di GitHub Actions.

In questo esempio si userà OpenID Connessione'interfaccia della riga di comando di Azure per eseguire l'autenticazione con Azure con l'azione di accesso di Azure. Nell'esempio vengono usati segreti GitHub per i client-idvalori , tenant-ide subscription-id . È anche possibile passare questi valori direttamente nell'azione di accesso.

L'azione di accesso di Azure include un parametro di input facoltativo audience che per impostazione predefinita è api://AzureADTokenExchange. È possibile aggiornare questo parametro per i valori di gruppo di destinatari personalizzati.

Linux

Questo flusso di lavoro esegue l'autenticazione con OpenID Connessione e usa l'interfaccia della riga di comando di Azure per ottenere i dettagli della sottoscrizione connessa ed elencare il gruppo di risorse.

name: Run Azure Login with OpenID Connect
on: [push]

permissions:
      id-token: write
      contents: read
      
jobs: 
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    - name: 'Az CLI login'
      uses: azure/login@v1
      with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
  
    - name: 'Run Azure CLI commands'
      run: |
          az account show
          az group list
          pwd 

Windows

Questo flusso di lavoro esegue l'autenticazione con OpenID Connessione e usa PowerShell per restituire un elenco di gruppi di risorse associati alla sottoscrizione di Azure connessa.

name: Run Azure Login with OpenID Connect and PowerShell
on: [push]

permissions:
  id-token: write
  contents: read
      
jobs: 
  Windows-latest:
    runs-on: windows-latest
    steps:
      - name: OIDC Login to Azure Public Cloud with AzPowershell (enableAzPSSession true)
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }} 
          enable-AzPSSession: true

      - name: 'Get resource group with PowerShell action'
        uses: azure/powershell@v1
        with:
          inlineScript: |
            Get-AzResourceGroup
          azPSVersion: "latest"

Verificare l'esito positivo dell'accesso di Azure con OpenID

Aprire l'azione Az CLI login e verificare che sia stata eseguita correttamente. Dovrebbe essere visualizzato il messaggio Login successful. Se l'account di accesso non riesce, verrà visualizzato il messaggio Az CLI Login failed..

Usare l'azione di accesso di Azure con un segreto dell'entità servizio

Per usare l'accesso di Azure con un'entità servizio, è prima necessario aggiungere l'entità servizio di Azure come segreto al repository GitHub.

Creare un'entità servizio

In questo esempio verrà creato un segreto denominato AZURE_CREDENTIALS che è possibile usare per l'autenticazione con Azure.

1. Aprire Azure Cloud Shell nel portale di Azure o nell'interfaccia della riga di comando di Azure in locale.

   Nota

   Se si usa l'hub di Azure Stack, è necessario impostare l'endpoint di gestione SQL su not supported. az cloud update -n {environmentName} --endpoint-sql-management https://notsupported

2. Creare una nuova entità servizio nel portale di Azure per l'app. L'entità servizio deve essere assegnata con un ruolo appropriato.

       az ad sp create-for-rbac --name "myApp" --role contributor \
                                   --scopes /subscriptions/{subscription-id}/resourceGroups/{resource-group} \
                                   --json-auth
   

   Il parametro --json-auth restituisce il dizionario dei risultati accettato dall'azione di accesso, accessibile nelle versioni >dell'interfaccia della riga di comando di Azure = 2.51.0. Versioni precedenti a questo utilizzo --sdk-auth con un avviso di deprecazione.

3. Copiare l'oggetto JSON per l'entità servizio.

   {
       "clientId": "<GUID>",
       "clientSecret": "<GUID>",
       "subscriptionId": "<GUID>",
       "tenantId": "<GUID>",
       (...)
   }
   

Aggiungere l'entità servizio come segreto GitHub

1. In GitHub passare al repository.

2. Passare a Impostazioni nel menu di spostamento.

3. Selezionare Segreti di sicurezza > e variabili > Azioni.

   

4. Selezionare Nuovo segreto repository.

5. Incollare l'intero output JSON del comando dell'interfaccia della riga di comando di Azure nel campo del valore del segreto. Assegnare al segreto il nome AZURE_CREDENTIALS.

6. Selezionare Aggiungi segreto.

Usare l'azione di accesso di Azure

Usare il segreto dell'entità servizio con l'azione di accesso di Azure per eseguire l'autenticazione con Azure.

In questo flusso di lavoro l'autenticazione viene eseguita usando l'azione di accesso di Azure con i dettagli dell'entità servizio archiviati in secrets.AZURE_CREDENTIALS. Quindi, eseguire un'azione dell'interfaccia della riga di comando di Azure. Per altre informazioni su come fare riferimento ai segreti di GitHub in un file del flusso di lavoro, vedere Uso di segreti crittografati in un flusso di lavoro nella documentazione di GitHub.

Una volta configurato un passaggio di accesso di Azure funzionante, è possibile usare le azioni di Azure PowerShell o dell'interfaccia della riga di comando di Azure. È anche possibile usare altre azioni di Azure, ad esempio la distribuzione in app Web di Azure e Funzioni di Azure.

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'

Usare l'azione di Azure PowerShell

In questo esempio si accede con l'azione di accesso di Azure e quindi si recupera un gruppo di risorse con l'azione di Azure PowerShell.

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'
          enable-AzPSSession: true
      - name: Azure PowerShell Action
        uses: Azure/powershell@v1
        with:
          inlineScript: Get-AzResourceGroup -Name "< YOUR RESOURCE GROUP >"
          azPSVersion: "latest"

Usare l'azione dell'interfaccia della riga di comando di Azure

In questo esempio si accede con l'azione di accesso di Azure e quindi si recupera un gruppo di risorse con l'azione dell'interfaccia della riga di comando di Azure.

on: [push]

name: AzureLoginSample

jobs:
build-and-deploy:
  runs-on: ubuntu-latest
  steps:

    - name: Log in with Azure
      uses: azure/login@v1
      with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

    - name: Azure CLI script
      uses: azure/CLI@v1
      with:
          azcliversion: 2.0.72
          inlineScript: |
            az account show
            az storage -h

Connessione ai cloud Azure per enti pubblici e dell'hub di Azure Stack

Per accedere a uno dei cloud Azure per enti pubblici, impostare l'ambiente dei parametri facoltativo con nomi AzureUSGovernment cloud supportati o AzureChinaCloud. Se questo parametro non viene specificato, accetta il valore AzureCloud predefinito e si connette al cloud pubblico di Azure.

   - name: Login to Azure US Gov Cloud with CLI
     uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: false
   - name: Login to Azure US Gov Cloud with Az Powershell
      uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: true

Connettersi con altri servizi di Azure

Gli articoli seguenti forniscono informazioni dettagliate sulla connessione a GitHub da Azure e da altri servizi.

Microsoft Entra ID

• Accedere a GitHub Enterprise con Microsoft Entra ID (Single Sign-On)

Power BI

• Connettere Power BI a GitHub

Connettori

• Connettore GitHub per App per la logica di Azure, Power Automate e Power Apps

Azure Databricks

• Usare GitHub come controllo della versione per i notebook

Distribuire app da GitHub ad Azure