Rozwiązywanie problemów z połączeniami w usłudze ARM

  • Artykuł

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

W tym artykule przedstawiono typowe scenariusze rozwiązywania problemów, które ułatwiają rozwiązywanie problemów, które mogą wystąpić podczas tworzenia połączenia z usługą Azure Resource Manager. Zobacz Zarządzanie połączeniami usług, aby dowiedzieć się, jak tworzyć, edytować i zabezpieczać połączenia usług.

Co się stanie po utworzeniu połączenia z usługą ARM?

Jeśli nie masz połączenia z usługą, możesz go utworzyć w następujący sposób:

  1. W projekcie wybierz pozycję Ustawienia projektu, a następnie wybierz pozycję Połączenia z usługą.

    Zrzut ekranu przedstawiający sposób uzyskiwania dostępu do połączeń usługi z ustawień projektu

  2. Wybierz pozycję Nowe połączenie usługi, aby dodać nowe połączenie z usługą, a następnie wybierz pozycję Azure Resource Manager. Po zakończeniu wybierz przycisk Dalej .

    Zrzut ekranu przedstawiający typy połączeń usługi.

  3. Wybierz pozycję Jednostka usługi (automatyczna), a następnie wybierz pozycję **Dalej.

  4. Wybierz pozycję Subskrypcja, a następnie wybierz swoją subskrypcję z listy rozwijanej. Wypełnij formularz, a następnie wybierz pozycję Zapisz po zakończeniu.

    Zrzut ekranu przedstawiający nowy formularz połączenia z usługą ARM.

Po zapisaniu nowego połączenia z usługą ARM usługa Azure DevOps:

  1. Połączenie do dzierżawy Microsoft Entra dla wybranej subskrypcji.
  2. Zostanie utworzona aplikacja w usłudze Microsoft Entra ID w imieniu użytkownika.
  3. Po pomyślnym utworzeniu aplikacji przypisz aplikację jako współautor do wybranej subskrypcji.
  4. Zostanie utworzone połączenie usługi Azure Resource Manager przy użyciu szczegółów tej aplikacji.

Uwaga

Aby utworzyć połączenia z usługą, należy dodać do grupy Twórca punktu końcowego w ustawieniach projektu: Zabezpieczenia połączeń> usługi Ustawienia>projektu. Współautorzy są domyślnie dodawani do tej grupy.

Scenariusze rozwiązywania problemów

Poniżej przedstawiono niektóre problemy, które mogą wystąpić podczas tworzenia połączeń usługi:

Niewystarczające uprawnienia do ukończenia operacji

Zwykle występuje to, gdy system próbuje utworzyć aplikację w identyfikatorze Entra firmy Microsoft w Twoim imieniu.

Jest to problem z uprawnieniami, który może być spowodowany następującymi przyczynami:

Użytkownik ma tylko uprawnienia gościa w katalogu

Najlepszym podejściem do rozwiązania tego problemu, przy jednoczesnym przyznaniu użytkownikowi tylko minimalnych dodatkowych uprawnień, jest zwiększenie uprawnień użytkownika-gościa w następujący sposób.

  1. Zaloguj się do witryny Azure Portal przy użyciu konta administratora. Konto powinno być właścicielem, administratorem globalnym lub administratorem konta użytkownika.

  2. Wybierz pozycję Microsoft Entra ID na pasku nawigacyjnym po lewej stronie.

  3. Upewnij się, że edytujesz odpowiedni katalog odpowiadający subskrypcji użytkownika. W przeciwnym razie wybierz pozycję Przełącz katalog i zaloguj się przy użyciu odpowiednich poświadczeń, jeśli jest to wymagane.

  4. Wybierz pozycję Użytkownicy w sekcji Zarządzanie .

  5. Wubierz Ustawienia użytkownika.

  6. Wybierz pozycję Zarządzaj ustawieniami współpracy zewnętrznej w sekcji Użytkownicy zewnętrzni.

  7. Zmiana uprawnień użytkownika-gościa jest ograniczona do opcji Nie.

Alternatywnie, jeśli chcesz przyznać użytkownikowi dodatkowe uprawnienia (poziom administratora), możesz ustawić użytkownika jako członka roli administratora globalnego. Aby to zrobić, wykonaj poniższe kroki:

Ostrzeżenie

Użytkownicy przypisani do roli administratora globalnego mogą odczytywać i modyfikować każde ustawienie administracyjne w organizacji firmy Microsoft Entra. Najlepszym rozwiązaniem jest przypisanie tej roli do mniej niż pięciu osób w organizacji.

  1. Zaloguj się do witryny Azure Portal przy użyciu konta administratora. Konto powinno być właścicielem, administratorem globalnym lub administratorem konta użytkownika.

  2. W lewym okienku nawigacji, wybierz Tożsamość Microsoft Entra.

  3. Upewnij się, że edytujesz odpowiedni katalog odpowiadający subskrypcji użytkownika. W przeciwnym razie wybierz pozycję Przełącz katalog i zaloguj się przy użyciu odpowiednich poświadczeń, jeśli jest to wymagane.

  4. Wybierz pozycję Użytkownicy w sekcji Zarządzanie .

  5. Użyj pola wyszukiwania, aby wyszukać użytkownika, którym chcesz zarządzać.

  6. Wybierz pozycję Rola katalogu w sekcji Zarządzanie , a następnie zmień rolę na Administrator globalny. Po zakończeniu wybierz pozycję Zapisz .

Zastosowanie zmian na całym świecie trwa zwykle od 15 do 20 minut. Następnie użytkownik może spróbować ponownie utworzyć połączenie z usługą.

Użytkownik nie ma autoryzacji do dodawania aplikacji w katalogu

Musisz mieć uprawnienia do dodawania zintegrowanych aplikacji w katalogu. Administrator katalogu ma uprawnienia do zmiany tego ustawienia.

  1. Wybierz pozycję Microsoft Entra ID w okienku nawigacji po lewej stronie.

  2. Upewnij się, że edytujesz odpowiedni katalog odpowiadający subskrypcji użytkownika. W przeciwnym razie wybierz pozycję Przełącz katalog i zaloguj się przy użyciu odpowiednich poświadczeń, jeśli jest to wymagane.

  3. Wybierz pozycję Użytkownicy, a następnie wybierz pozycję Ustawienia użytkownika.

  4. W obszarze Rejestracje aplikacji, a następnie zmień opcję Użytkownicy mogą rejestrować aplikacje na Tak.

Możesz również utworzyć jednostkę usługi przy użyciu istniejącego użytkownika, który ma już wymagane uprawnienia w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Tworzenie połączenia usługi Azure Resource Manager z istniejącą jednostką usługi .

Nie można uzyskać tokenu dostępu lub nie można odnaleźć prawidłowego tokenu odświeżania

Te błędy zwykle występują, gdy sesja wygasła. Aby rozwiązać następujące problemy:

  1. Wyloguj się z usługi Azure DevOps.
  2. Otwórz okno przeglądarki InPrivate lub incognito i przejdź do usługi Azure DevOps.
  3. Zaloguj się przy użyciu odpowiednich poświadczeń.
  4. Wybierz organizację i projekt.
  5. Utwórz połączenie usługi.

Nie można przypisać roli Współautor

Ten błąd zwykle występuje, gdy nie masz uprawnień do zapisu dla wybranej subskrypcji platformy Azure.

Aby rozwiązać ten problem, poproś administratora subskrypcji o przypisanie Ci odpowiedniej roli w identyfikatorze Entra firmy Microsoft.

Subskrypcja nie jest wyświetlana podczas tworzenia połączenia z usługą

Maksymalnie 50 subskrypcji platformy Azure jest wyświetlanych w różnych menu rozwijanych subskrypcji platformy Azure (rozliczenia, połączenie z usługą itp.). Jeśli konfigurujesz połączenie z usługą i masz więcej niż 50 subskrypcji platformy Azure, niektóre subskrypcje nie zostaną wyświetlone. W tym scenariuszu wykonaj następujące kroki:

  1. Utwórz nowego, natywnego użytkownika usługi Microsoft Entra w wystąpieniu usługi Microsoft Entra subskrypcji platformy Azure.

  2. Skonfiguruj użytkownika usługi Microsoft Entra, aby miał odpowiednie uprawnienia do konfigurowania rozliczeń lub tworzenia połączeń z usługami. Aby uzyskać więcej informacji, zobacz Dodawanie użytkownika, który może skonfigurować rozliczenia dla usługi Azure DevOps.

  3. Dodaj użytkownika Microsoft Entra do organizacji usługi Azure DevOps z poziomem dostępu uczestnikiem projektu, a następnie dodaj go do grupy Project Collection Administracja istrators (na potrzeby rozliczeń) lub upewnij się, że użytkownik ma wystarczające uprawnienia w projekcie zespołowym, aby utworzyć połączenia usług.

  4. Zaloguj się do usługi Azure DevOps przy użyciu nowych poświadczeń użytkownika i skonfiguruj rozliczenia. Na liście będzie widoczna tylko jedna subskrypcja platformy Azure.

Brak niektórych subskrypcji z listy subskrypcji

Ten problem można rozwiązać, zmieniając obsługiwane ustawienia typów kont i definiując, kto może korzystać z aplikacji. Aby to zrobić, wykonaj poniższe czynności:

  1. Zaloguj się w witrynie Azure Portal.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj filtru Katalog i subskrypcja w górnym menu, aby wybrać dzierżawę, w której chcesz zarejestrować aplikację.

    Zrzut ekranu przedstawiający ikonę katalogu i subskrypcji w witrynie Azure Portal.

  3. Wybierz pozycję Microsoft Entra ID w okienku po lewej stronie.

  4. Wybierz pozycję Rejestracje aplikacji.

  5. Wybierz aplikację z listy zarejestrowanych aplikacji.

  6. W obszarze Uwierzytelnianie wybierz pozycję Obsługiwane typy kont.

  7. W obszarze Obsługiwane typy kont KtoTo może użyć tej aplikacji lub uzyskać dostęp do tego interfejsu API? wybierz pozycję Konta w dowolnym katalogu organizacyjnym.

    Zrzut ekranu przedstawiający obsługiwane typy kont.

  8. Po zakończeniu wybierz pozycję Zapisz .

Token jednostki usługi wygasł

Często pojawia się problem z jednostkami usługi, które są tworzone automatycznie, jest to, że token jednostki usługi wygasa i musi zostać odnowiony. Jeśli jednak masz problem z odświeżaniem tokenu, zobacz nie znaleziono prawidłowego tokenu odświeżania.

Aby odnowić token dostępu dla automatycznie utworzonej jednostki usługi:

  1. Przejdź do pozycji Połączenia usługi Ustawienia>projektu, a następnie wybierz połączenie usługi, które chcesz zmodyfikować.

  2. Wybierz pozycję Edytuj w prawym górnym rogu, a następnie wybierz pozycję Weryfikuj.

  3. Wybierz pozycję Zapisz.

Token jednostki usługi został odnowiony od trzech miesięcy.

Uwaga

Ta operacja jest dostępna, nawet jeśli token jednostki usługi nie wygasł.

Nie można uzyskać JWT przy użyciu identyfikatora klienta jednostki usługi

Ten problem występuje, gdy próbujesz zweryfikować połączenie usługi z wygasłym wpisem tajnym.

Aby rozwiązać ten problem:

  1. Przejdź do pozycji Połączenia usługi Ustawienia>projektu, a następnie wybierz połączenie usługi, które chcesz zmodyfikować.

  2. Wybierz pozycję Edytuj w prawym górnym rogu, a następnie wprowadź zmiany w połączeniu z usługą. Najprostszą i zalecaną zmianą jest dodanie opisu.

  3. Wybierz pozycję Zapisz , aby zapisać połączenie z usługą.

    Uwaga

    Wybierz pozycję Zapisz. Nie próbuj zweryfikować połączenia z usługą w tym kroku.

  4. Zamknij okno edycji połączenia z usługą, a następnie odśwież stronę połączeń usługi.

  5. Wybierz pozycję Edytuj w prawym górnym rogu, a następnie wybierz pozycję Weryfikuj.

  6. Wybierz pozycję Zapisz , aby zapisać połączenie z usługą.

Subskrypcja platformy Azure nie jest przekazywana z poprzednich danych wyjściowych zadania

W przypadku dynamicznego ustawiania subskrypcji platformy Azure dla potoku wydania i korzystania ze zmiennej wyjściowej z poprzedniego zadania może wystąpić ten problem.

Aby rozwiązać ten problem, upewnij się, że wartości są zdefiniowane w sekcji zmiennych potoku. Następnie można przekazać tę zmienną między zadaniami potoku.

Jakie mechanizmy uwierzytelniania są obsługiwane? Jak działają tożsamości zarządzane?

Połączenie usługi Azure Resource Manager może łączyć się z subskrypcją platformy Azure przy użyciu uwierzytelniania jednostki usługi (SPA) lub uwierzytelniania tożsamości zarządzanej. Tożsamości zarządzane dla zasobów platformy Azure udostępniają usługom platformy Azure automatycznie zarządzaną tożsamość w usłudze Microsoft Entra ID. Tej tożsamości można użyć do uwierzytelniania w dowolnej usłudze, która obsługuje uwierzytelnianie firmy Microsoft Entra bez utrwalania poświadczeń w kodzie lub w połączeniu z usługą.

Aby dowiedzieć się więcej o tożsamościach zarządzanych dla maszyn wirtualnych, zobacz Przypisywanie ról.

Uwaga

Tożsamości zarządzane nie są obsługiwane w agentach hostowanych przez firmę Microsoft. W tym scenariuszu należy skonfigurować własnego agenta na maszynie wirtualnej platformy Azure i skonfigurować tożsamość zarządzaną dla tej maszyny wirtualnej.