Delen via

Handmatig een Azure Resource Manager-verbinding voor identiteitsservice voor workloads instellen

  • Artikel

Wanneer u problemen met een Azure Resource Manager-identiteitsserviceverbinding oplost, moet u de verbinding mogelijk handmatig configureren in plaats van het geautomatiseerde hulpprogramma te gebruiken dat beschikbaar is in Azure DevOps.

U wordt aangeraden de geautomatiseerde benadering uit te voeren voordat u een handmatige configuratie start.

Er zijn twee opties voor verificatie: een beheerde identiteit gebruiken of een service-principal gebruiken. Het voordeel van de optie beheerde identiteit is dat u deze kunt gebruiken als u geen machtigingen hebt om service-principals te maken of als u een andere Microsoft Entra-tenant gebruikt dan uw Azure DevOps-gebruiker.

Een identiteitsserviceverbinding voor workloads instellen voor het gebruik van verificatie van beheerde identiteiten

Mogelijk moet u handmatig een beheerde identiteit maken die federatieve referenties gebruikt en vervolgens de vereiste machtigingen verlenen. U kunt ook de REST API voor dit proces gebruiken.

Een beheerde identiteit maken

  1. Meld u aan bij het Azure-portaal.

  2. Voer in het zoekvak Beheerde identiteiten in.

  3. Selecteer Maken.

  4. Voer in het deelvenster Door gebruiker toegewezen beheerde identiteit maken waarden in of selecteer deze voor de volgende items:

    • Abonnement: selecteer het abonnement waarin de door de gebruiker toegewezen beheerde identiteit moet worden gemaakt.
    • Resourcegroep: Selecteer een resourcegroep waarin u de door de gebruiker toegewezen beheerde identiteit wilt maken of selecteer Nieuw maken om een nieuwe resourcegroep te maken.
    • Regio: Selecteer een regio om de door de gebruiker toegewezen beheerde identiteit te implementeren, bijvoorbeeld VS - oost.
    • Naam: Voer de naam in voor uw door de gebruiker toegewezen beheerde identiteit, bijvoorbeeld UADEVOPS.

  5. Kopieer de waarden voor abonnements-id en client-id voor uw beheerde identiteit om later te gebruiken.

  6. Ga naar Instellingeneigenschappen>.

  7. Kopieer de waarde van de tenant-id om later te gebruiken.

  8. Ga naar Federatieve>instellingenreferenties.

  9. Selecteer Referenties toevoegen.

  10. Selecteer het scenario voor andere verleners .

  11. Voer waarden in voor verlener en onderwerp-id. U vervangt deze waarden later wanneer u een serviceverbinding maakt.

    Veld Beschrijving
    Verlener Voer https://vstoken.dev.azure.com/<unique-identifier> in. Dit unique-identifier is de GUID van uw Azure DevOps-organisatie.
    Onderwerp-id Geef sc://<Azure DevOps organization>/<project name>/<service connection name> op. De serviceverbinding hoeft niet al te worden gemaakt.

  12. Selecteer Opslaan.

  13. Houd dit venster open. Later in het proces keert u terug naar het venster en werkt u uw federatieve referenties voor app-registratie bij.

Machtigingen verlenen aan de beheerde identiteit

  1. Ga in Azure Portal naar de Azure-resource waarvoor u machtigingen wilt verlenen (bijvoorbeeld een resourcegroep).

  2. Klik op Toegangsbeheer (IAM) .

    Schermopname van het selecteren van toegangsbeheer in het resourcemenu.

  3. Selecteer Roltoewijzing toevoegen. Wijs de vereiste rol toe aan uw beheerde identiteit (bijvoorbeeld Inzender).

  4. Selecteer Controleren en toewijzen.

Een serviceverbinding maken voor verificatie van beheerde identiteiten

  1. Open uw project in Azure DevOps en ga naar >Pipelines>Service-verbindingen.

  2. Selecteer Nieuwe serviceverbinding.

  3. Selecteer Azure Resource Manager en selecteer vervolgens Volgende.

  4. Selecteer Federatie van workloadidentiteit (handmatig) en selecteer vervolgens Volgende.

    Schermopname van het selecteren van de verbinding met de Workload Identity-service.

  5. Voer voor de serviceverbindingsnaam de waarde in die u hebt gebruikt voor onderwerp-id bij het maken van uw federatieve referenties.

  6. Voer voor abonnements-id en abonnementsnaam de waarden in voor het abonnement in uw Azure Portal-account.

    Schermopname van federatieve abonnementsreferenties.

  7. In de sectie Verificatie:

    1. Voer voor service-principal-id de waarde van de client-id in van uw beheerde identiteit.

    2. Voer voor tenant-id de waarde van tenant-id uit uw beheerde identiteit in.

      Schermopname van waarden voor beheerde identiteiten in Azure Portal.

  8. Kopieer in Azure DevOps de gegenereerde waarden voor issuer en onderwerp-id.

    Schermopname van DevOps-referenties voor federatieve verificatie.

  9. Ga in Azure Portal terug naar uw federatieve referenties voor app-registratie.

  10. Plak de waarden voor issuer en onderwerp-id die u hebt gekopieerd uit uw Azure DevOps-project in uw federatieve referenties in Azure Portal.

    Schermopname van een vergelijking van federatieve referenties in Azure DevOps en Azure Portal.

  11. Selecteer Bijwerken in Azure Portal om de bijgewerkte referenties op te slaan.

  12. Selecteer Verifiëren en opslaan in Azure DevOps.

Een verbinding met een workloadidentiteitsservice instellen om service-principalverificatie te gebruiken

Mogelijk moet u handmatig een service-principal met federatieve referenties maken en vervolgens de vereiste machtigingen verlenen. U kunt ook de REST API voor dit proces gebruiken.

Een app-registratie en federatieve referenties maken

  1. Ga in Azure Portal naar app-registraties.

  2. Selecteer Nieuwe registratie.

    Schermopname van een nieuwe app-registratie.

  3. Voer bij Naam een naam in voor uw app-registratie en selecteer vervolgens Wie kan deze toepassing gebruiken of toegang krijgen tot deze API.

  4. Kopieer de waarden voor toepassings-id (client) en map-id (tenant) uit uw app-registratie om later te gebruiken.

    Schermopname van de client-id en tenant-id van de app-registratie.

  5. Ga naar Certificaten en geheimen beheren>.

  6. Selecteer Federatieve referenties.

    Schermopname van het tabblad Federatieve referenties.

  7. Selecteer Referenties toevoegen.

  8. Selecteer het scenario voor andere verleners .

    Schermopname van het selecteren van een scenario met federatieve referenties.

  9. Voer waarden in voor verlener en onderwerp-id. U vervangt deze waarden later wanneer u een serviceverbinding maakt.

    Veld Beschrijving
    Verlener Voer https://vstoken.dev.azure.com/<unique-identifier> in. Dit unique-identifier is de GUID van uw Azure DevOps-organisatie.
    Onderwerp-id Geef sc://<Azure DevOps organization>/<project name>/<service connection name> op. Uw serviceverbinding hoeft nog niet te worden gemaakt.

  10. Selecteer Opslaan.

  11. Houd dit venster open. Later in het proces keert u terug naar het venster en werkt u uw federatieve referenties voor app-registratie bij.

Machtigingen verlenen aan de app-registratie

  1. Ga in Azure Portal naar de Azure-resource waarvoor u machtigingen wilt verlenen (bijvoorbeeld een resourcegroep).

  2. Klik op Toegangsbeheer (IAM) .

    Schermopname van het selecteren van toegangsbeheer in het resourcemenu.

  3. Selecteer Roltoewijzing toevoegen. Wijs de vereiste rol toe aan de app-registratie (bijvoorbeeld Inzender).

  4. Selecteer Controleren en toewijzen.

Een serviceverbinding maken voor service-principal-verificatie

  1. Open uw project in Azure DevOps en ga naar >Pipelines>Service-verbindingen.

  2. Selecteer Nieuwe serviceverbinding.

  3. Selecteer Azure Resource Manager en selecteer vervolgens Volgende.

  4. Selecteer Federatie van workloadidentiteit (handmatig) en selecteer vervolgens Volgende.

    Schermopname van het selecteren van de verbinding van de workload identity service.

  5. Voer voor de naam van de serviceverbinding de waarde van de onderwerp-id in van uw federatieve referenties.

  6. Voer voor abonnements-id en abonnementsnaam de waarden in voor het abonnement in uw Azure Portal-account.

    Schermopname van federatieve abonnementsreferenties.

  7. In de sectie Verificatie:

    1. Voer voor service-principal-id de waarde in van de toepassings-id (client-id) van uw app-registratie.

    2. Voer voor Tenant-id de waarde in van map-id (tenant)-id van uw app-registratie.

  8. Kopieer de gegenereerde waarden voor verlener en onderwerp-id.

    Schermopname van DevOps-referenties voor federatieve verificatie.

  9. Ga in Azure Portal terug naar uw federatieve referenties voor app-registratie.

  10. Plak de waarden voor issuer en onderwerp-id die u hebt gekopieerd uit uw Azure DevOps-project in uw federatieve referenties in Azure Portal.

    Schermopname van de vergelijking van federatieve referenties in Azure DevOps en Azure Portal.

  11. Selecteer Bijwerken in Azure Portal om de bijgewerkte referenties op te slaan.

  12. Selecteer Verifiëren en opslaan in Azure DevOps.