Risolvere i problemi relativi alle connessioni al servizio ARM

  • Articolo

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Questo articolo presenta gli scenari comuni di risoluzione dei problemi che consentono di risolvere i problemi che possono verificarsi durante la creazione di una connessione al servizio Azure Resource Manager. Vedere Gestire le connessioni al servizio per informazioni su come creare, modificare e proteggere le connessioni al servizio.

Cosa accade quando si crea una connessione al servizio ARM?

Se non si ha una connessione al servizio, è possibile crearne una come indicato di seguito:

  1. Nel progetto selezionare Impostazioni progetto e quindi Connessioni al servizio.

    Screenshot che mostra come accedere alle connessioni al servizio dalle impostazioni del progetto

  2. Selezionare Nuova connessione al servizio per aggiungere una nuova connessione al servizio e quindi selezionare Azure Resource Manager. Al termine, selezionare Avanti .

    Screenshot che mostra i tipi di connessioni al servizio.

  3. Selezionare Entità servizio (automatica) e quindi selezionare **Avanti.

  4. Selezionare Sottoscrizione e quindi selezionare la sottoscrizione dall'elenco a discesa. Compilare il modulo e quindi selezionare Salva al termine.

    Screenshot che mostra il nuovo modulo di connessione al servizio ARM.

Quando si salva la nuova connessione al servizio ARM, Azure DevOps:

  1. Connessione al tenant di Microsoft Entra per la sottoscrizione selezionata.
  2. Crea un'applicazione in Microsoft Entra ID per conto dell'utente.
  3. Dopo la creazione dell'applicazione, assegnare l'applicazione come collaboratore alla sottoscrizione selezionata.
  4. Crea una connessione al servizio Azure Resource Manager usando i dettagli dell'applicazione.

Nota

Per creare connessioni al servizio, è necessario essere aggiunti al gruppo Creator di endpoint nelle impostazioni del progetto: >Impostazioni progetto Connessioni>del servizio Sicurezza. I collaboratori vengono aggiunti a questo gruppo per impostazione predefinita.

Scenari di risoluzione dei problemi

Di seguito sono riportati alcuni dei problemi che possono verificarsi durante la creazione di connessioni al servizio:

Privilegi insufficienti per completare l'operazione

Ciò si verifica in genere quando il sistema tenta di creare un'applicazione in Microsoft Entra ID per conto dell'utente.

Si tratta di un problema di autorizzazione che può essere dovuto alle cause seguenti:

L'utente dispone solo dell'autorizzazione guest nella directory

L'approccio migliore per risolvere questo problema, concedendo solo le autorizzazioni aggiuntive minime all'utente, consiste nell'aumentare le autorizzazioni utente guest come indicato di seguito.

  1. Accedere al portale di Azure usando un account amministratore. L'account deve essere un proprietario, un amministratore globale o un amministratore dell'account utente.

  2. Selezionare Microsoft Entra ID nella barra di spostamento a sinistra.

  3. Assicurarsi di modificare la directory appropriata corrispondente alla sottoscrizione utente. In caso contrario, selezionare Cambia directory e accedere usando le credenziali appropriate, se necessario.

  4. Selezionare Utenti nella sezione Gestisci .

  5. Selezionare Impostazioni utente.

  6. Selezionare Gestisci impostazioni di collaborazione esterna nella sezione Utenti esterni.

  7. Modificare le autorizzazioni utente guest sono limitate su No.

In alternativa, se si è pronti a concedere all'utente autorizzazioni aggiuntive (a livello di amministratore), è possibile rendere l'utente membro del ruolo di amministratore globale. A tale scopo, seguire questa procedura:

Avviso

Gli utenti assegnati al ruolo di amministratore globale possono leggere e modificare tutte le impostazioni amministrative nell'organizzazione Microsoft Entra. La procedura consigliata prevede di assegnare questo ruolo a meno di cinque utenti nell'organizzazione.

  1. Accedere al portale di Azure usando un account amministratore. L'account deve essere un proprietario, un amministratore globale o un amministratore dell'account utente.

  2. Nel riquadro di spostamento a sinistra seleziona Microsoft Entra ID.

  3. Assicurarsi di modificare la directory appropriata corrispondente alla sottoscrizione utente. In caso contrario, selezionare Cambia directory e accedere usando le credenziali appropriate, se necessario.

  4. Selezionare Utenti nella sezione Gestisci .

  5. Usare la casella di ricerca per cercare l'utente che si vuole gestire.

  6. Selezionare Ruolo directory nella sezione Gestisci e quindi modificare il ruolo in Amministratore globale. Al termine, selezionare Salva .

L'applicazione delle modifiche a livello globale richiede in genere da 15 a 20 minuti. L'utente può quindi provare a ricreare la connessione al servizio.

L'utente non è autorizzato ad aggiungere applicazioni nella directory

È necessario disporre delle autorizzazioni per aggiungere applicazioni integrate nella directory. L'amministratore della directory dispone delle autorizzazioni per modificare questa impostazione.

  1. Selezionare Microsoft Entra ID nel riquadro di spostamento sinistro.

  2. Assicurarsi di modificare la directory appropriata corrispondente alla sottoscrizione utente. In caso contrario, selezionare Cambia directory e accedere usando le credenziali appropriate, se necessario.

  3. Selezionare Utenti e quindi Impostazioni utente.

  4. In Registrazioni app e quindi modificare l'opzione Utenti possono registrare le applicazioni in .

È anche possibile creare l'entità servizio con un utente esistente che dispone già delle autorizzazioni necessarie in Microsoft Entra ID. Per altre informazioni, vedere Creare una connessione al servizio Azure Resource Manager con un'entità servizio esistente.

Impossibile ottenere un token di accesso o non è stato trovato un token di aggiornamento valido

Questi errori si verificano in genere quando la sessione è scaduta. Per risolvere questi problemi:

  1. Disconnettersi da Azure DevOps.
  2. Aprire una finestra del browser InPrivate o in incognito e passare ad Azure DevOps.
  3. Accedere usando le credenziali appropriate.
  4. Selezionare l'organizzazione e il progetto.
  5. Creare la connessione al servizio.

Impossibile assegnare il ruolo Collaboratore

Questo errore si verifica in genere quando non si dispone dell'autorizzazione di scrittura per la sottoscrizione di Azure selezionata.

Per risolvere questo problema, chiedere all'amministratore della sottoscrizione di assegnare il ruolo appropriato in Microsoft Entra ID.

La sottoscrizione non è elencata durante la creazione di una connessione al servizio

Un massimo di 50 sottoscrizioni di Azure è elencato nei vari menu a discesa della sottoscrizione di Azure (fatturazione, connessione al servizio e così via). Se si configura una connessione al servizio e si hanno più di 50 sottoscrizioni di Azure, alcune delle sottoscrizioni non verranno elencate. In questo scenario completare i passaggi seguenti:

  1. Creare un nuovo utente Microsoft Entra nativo nell'istanza di Microsoft Entra della sottoscrizione di Azure.

  2. Configurare l'utente di Microsoft Entra in modo che disponga delle autorizzazioni appropriate per configurare la fatturazione o creare connessioni al servizio. Per altre informazioni, vedere Aggiungere un utente che possa configurare la fatturazione per Azure DevOps.

  3. Aggiungere l'utente Di Microsoft Entra all'organizzazione Di Azure DevOps con un livello di accesso stakeholder e quindi aggiungerlo al gruppo Project Collection Amministrazione istrators (per la fatturazione) oppure assicurarsi che l'utente disponga di autorizzazioni sufficienti nel progetto team per creare connessioni al servizio.

  4. Accedere ad Azure DevOps con le nuove credenziali utente e configurare una fatturazione. Nell'elenco verrà visualizzata solo una sottoscrizione di Azure.

Alcune sottoscrizioni non sono presenti nell'elenco delle sottoscrizioni

Questo problema può essere risolto modificando le impostazioni dei tipi di account supportati e definendo chi può usare l'applicazione. A tale scopo, effettuare i passaggi seguenti:

  1. Accedere al portale di Azure.

  2. Se si ha accesso a più tenant, usare il filtro Directory e sottoscrizione nel menu in alto per selezionare il tenant in cui si vuole registrare un'applicazione.

    Screenshot che mostra l'icona della directory e delle sottoscrizioni nel portale di Azure.

  3. Selezionare Microsoft Entra ID nel riquadro sinistro.

  4. Selezionare Registrazioni app.

  5. Selezionare l'applicazione dall'elenco delle applicazioni registrate.

  6. In Autenticazione selezionare Tipi di account supportati.

  7. In Tipi di account supportati, Chi può usare questa applicazione o accedere a questa API? selezionare Account in qualsiasi directory organizzativa.

    Screenshot che mostra i tipi di account supportati.

  8. Al termine, selezionare Salva .

Token dell'entità servizio scaduto

Un problema che spesso si verifica con le entità servizio create automaticamente è che il token dell'entità servizio scade e deve essere rinnovato. Tuttavia, se si verifica un problema con l'aggiornamento del token, vedere Il token di aggiornamento valido non è stato trovato.

Per rinnovare il token di accesso per un'entità servizio creata automaticamente:

  1. Passare a Project settings Service connections (Connessioni al servizio)>e quindi selezionare la connessione al servizio da modificare.

  2. Selezionare Modifica nell'angolo in alto a destra e quindi selezionare Verifica.

  3. Seleziona Salva.

Il token dell'entità servizio è stato rinnovato per altri tre mesi.

Nota

Questa operazione è disponibile anche se il token dell'entità servizio non è scaduto.

Impossibile ottenere il token JWT usando l'ID client dell'entità servizio

Questo problema si verifica quando si tenta di verificare una connessione al servizio con un segreto scaduto.

Per risolvere il problema:

  1. Passare a Project settings Service connections (Connessioni al servizio)>e quindi selezionare la connessione al servizio da modificare.

  2. Selezionare Modifica nell'angolo superiore destro e quindi apportare qualsiasi modifica alla connessione al servizio. La modifica più semplice e consigliata consiste nell'aggiungere una descrizione.

  3. Selezionare Salva per salvare la connessione al servizio.

    Nota

    Seleziona Salva. Non provare a verificare la connessione al servizio in questo passaggio.

  4. Uscire dalla finestra di modifica della connessione al servizio e quindi aggiornare la pagina connessioni al servizio.

  5. Selezionare Modifica nell'angolo in alto a destra e quindi selezionare Verifica.

  6. Selezionare Salva per salvare la connessione al servizio.

La sottoscrizione di Azure non viene passata dall'output dell'attività precedente

Quando si imposta la sottoscrizione di Azure in modo dinamico per la pipeline di versione e si vuole usare la variabile di output di un'attività precedente, è possibile che si verifichi questo problema.

Per risolvere il problema, assicurarsi che i valori siano definiti all'interno della sezione variables della pipeline. È quindi possibile passare questa variabile tra le attività della pipeline.

Quali meccanismi di autenticazione sono supportati? Come funzionano le identità gestite?

Una connessione al servizio Azure Resource Manager può connettersi a una sottoscrizione di Azure usando un'autenticazione dell'entità servizio (SPA) o l'autenticazione dell'identità gestita. Le identità gestite per le risorse di Azure offrono servizi di Azure con un'identità gestita automaticamente in Microsoft Entra ID. È possibile usare questa identità per eseguire l'autenticazione a qualsiasi servizio che supporti l'autenticazione di Microsoft Entra senza rendere persistenti le credenziali nel codice o nella connessione al servizio.

Per informazioni sulle identità gestite per le macchine virtuali, vedere Assegnazione di ruoli.

Nota

Le identità gestite non sono supportate negli agenti ospitati da Microsoft. In questo scenario è necessario configurare un agente self-hosted in una macchina virtuale di Azure e configurare un'identità gestita per tale macchina virtuale.