Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uzyskaj pomoc przy debugowaniu typowych problemów z połączeniami z usługą tożsamości roboczego obciążenia. Dowiesz się również, jak ręcznie utworzyć połączenie z usługą, jeśli jest to konieczne.
Lista kontrolna rozwiązywania problemów
Skorzystaj z poniższej listy kontrolnej, aby rozwiązać problemy z połączeniami usługi tożsamości obciążenia pracą.
- Przejrzyj zadania potoku, aby upewnić się, że obsługują one tożsamość obciążenia.
- Sprawdź, czy federacja tożsamości obciążeń roboczych jest aktywna dla dzierżawcy.
- Sprawdź dokładność adresu URL wystawcy i identyfikatora podmiotu federacji.
W poniższych sekcjach opisano problemy i sposoby ich rozwiązywania.
Przegląd zadań w potoku przetwarzania
Nie wszystkie zadania w ramach potoków obsługują tożsamość w kontekście obciążeń. W szczególności tylko właściwości połączenia usługi Azure Resource Manager w zadaniach używają federacji tożsamości roboczej. W poniższej tabeli wymieniono wsparcie dla federacji tożsamości dla obciążeń w zadaniach uwzględnionych w usłudze Azure DevOps. W przypadku zadań zainstalowanych z witryny Marketplace skontaktuj się z wydawcą rozszerzenia, aby uzyskać wsparcie.
| Zadanie | Obsługa federacji tożsamości obciążeniowej |
|---|---|
| AutomatedAnalysis@0 | Y |
| AzureAppServiceManage@0 | Y |
| AzureAppServiceSettings@1 | Y |
| AzureCLI@1 | Y |
| AzureCLI@2 | Y |
| AzureCloudPowerShellDeployment@1 | Korzystanie z AzureCloudPowerShellDeployment@2 |
| AzureCloudPowerShellDeployment@2 | Y |
| AzureContainerApps@0 | Y |
| AzureContainerApps@1 | Y |
| AzureFileCopy@1 | Korzystanie z AzureFileCopy@6 |
| AzureFileCopy@2 | Korzystanie z AzureFileCopy@6 |
| AzureFileCopy@3 | Korzystanie z AzureFileCopy@6 |
| AzureFileCopy@4 | Korzystanie z AzureFileCopy@6 |
| AzureFileCopy@5 | Korzystanie z AzureFileCopy@6 |
| AzureFileCopy@6 | Y |
| AzureFunctionApp@1 | Y |
| AzureFunctionApp@2 | Y |
| AzureFunctionAppContainer@1 | Y |
| AzureFunctionOnKubernetes@0 | Korzystanie z AzureFunctionOnKubernetes@1 |
| AzureFunctionOnKubernetes@1 | Y |
| AzureIoTEdge@2 | Y |
| AzureKeyVault@1 | Y |
| AzureKeyVault@2 | Y |
| AzureMonitor@0 | Korzystanie z AzureMonitor@1 |
| AzureMonitor@1 | Y |
| AzureMysqlDeployment@1 | Y |
| AzureNLBManagement@1 | N |
| AzurePolicyCheckGate@0 | Y |
| AzurePowerShell@2 | Y |
| AzurePowerShell@3 | Y |
| AzurePowerShell@4 | Y |
| AzurePowerShell@5 | Y |
| AzureResourceGroupDeployment@2 | Y |
| AzureResourceManagerTemplateDeployment@3 | Y |
| AzureRmWebAppDeployment@3 | Y |
| AzureRmWebAppDeployment@4 | Y |
| AzureSpringCloud@0 | Y |
| AzureVmssDeployment@0 | Y |
| AzureWebApp@1 | Y |
| AzureWebAppContainer@1 | Y |
| ContainerBuild@0 | Y |
| ContainerStructureTest@0 | Y |
| Docker@0 | Y |
| Docker@1 | Połączenie z usługą platformy Azure: Y Połączenie usługi Rejestru Dockera: N |
| Docker@2 | Y |
| DockerCompose@0 | Y |
| DockerCompose@1 | Y |
| DotNetCoreCLI@2 | Y |
| HelmDeploy@0 | Połączenie z usługą platformy Azure: Y |
| HelmDeploy@1 | Połączenie z usługą platformy Azure: Y |
| InvokeRESTAPI@1 | Y |
| JavaToolInstaller@0 | Y |
| JenkinsDownloadArtifacts@1 | Y |
| Kubernetes@0 | Korzystanie z Kubernetes@1 |
| Kubernetes@1 | Y |
| KubernetesManifest@0 | Korzystanie z KubernetesManifest@1 |
| KubernetesManifest@1 | Y |
| Maven@4 | Y |
| Notation@0 | Y |
| PackerBuild@0 | Korzystanie z PackerBuild@1 |
| PackerBuild@1 | Y |
| PublishToAzureServiceBus@1 | Używaj PublishToAzureServiceBus@2 przy użyciu połączenia z usługą Azure |
| PublishToAzureServiceBus@2 | Y |
| ServiceFabricComposeDeploy@0 | N |
| ServiceFabricDeploy@1 | N |
| SqlAzureDacpacDeployment@1 | Y |
| VSTest@3 | Y |
Sprawdź, czy federacja tożsamości obciążenia jest aktywna
Jeśli w dzierżawie firmy Microsoft Entra są wyświetlane komunikaty o błędach AADSTS700223 lub AADSTS700238, federacja tożsamości środowiska pracy została wyłączona.
Sprawdź, czy nie ma żadnych zasad Microsoft Entra, które blokują poświadczenia federacyjne.
Sprawdź adres URL wystawcy pod kątem dokładności
Jeśli zobaczysz komunikat wskazujący brak pasującego rekordu tożsamości federacyjnej, oznacza to, że albo adres URL wystawcy, albo podmiot federacji się nie zgadza. Prawidłowy adres URL wystawcy zaczyna się od https://login.microsoftonline.com.
Adres URL wystawcy można naprawić, edytując i zapisując połączenie usługi w celu zaktualizowania adresu URL wystawcy. Jeśli usługa Azure DevOps nie utworzyła tożsamości, adres URL wystawcy musi zostać zaktualizowany ręcznie. W przypadku tożsamości platformy Azure adres URL wystawcy aktualizuje się automatycznie.
Typowe problemy
W następnych sekcjach opisano typowe problemy i opisano przyczyny i rozwiązania.
Nie mam uprawnień do tworzenia głównego obiektu usługi w dzierżawie Microsoft Entra
Nie możesz użyć narzędzia do konfiguracji połączenia usługi Azure DevOps, jeśli nie masz odpowiednich uprawnień. Poziom uprawnień jest niewystarczający do korzystania z narzędzia, jeśli nie masz uprawnień do tworzenia jednostek usługi lub jeśli używasz innej dzierżawy Microsoft Entra niż użytkownik usługi Azure DevOps.
Musisz mieć uprawnienia do tworzenia rejestracji aplikacji w identyfikatorze Microsoft Entra ID lub mieć odpowiednią rolę (na przykład Deweloper aplikacji).
Dostępne są dwie opcje rozwiązania problemu:
- Rozwiązanie 1. Ręczne konfigurowanie tożsamości obciążenia przy użyciu uwierzytelniania tożsamości zarządzanej
- Rozwiązanie 2. Ręczne konfigurowanie tożsamości obciążenia przy użyciu uwierzytelniania rejestracji aplikacji
Komunikaty o błędach
W poniższej tabeli przedstawiono typowe komunikaty o błędach i problemy, które mogą je wygenerować:
| Komunikat | Możliwy problem |
|---|---|
nie można zażądać tokenu: Pobierz ?audience=api://AzureADTokenExchange: unsupported protocol scheme |
Zadanie nie obsługuje federacji tożsamości roboczej. |
| Tożsamość nie znaleziona | Zadanie nie obsługuje federacji tożsamości roboczej. |
| Nie można pobrać tokenu dostępu dla platformy Azure | Zadanie nie obsługuje federacji tożsamości roboczej. |
| AADSTS700016: Nie odnaleziono aplikacji o identyfikatorze "****" | Tożsamość używana do połączenia z usługą już nie istnieje, mogła zostać usunięta z połączenia z usługą lub jest niepoprawnie skonfigurowana. Jeśli połączenie usługi skonfigurowano ręcznie przy użyciu wstępnie utworzonej tożsamości, upewnij się, że appID/clientId jest poprawnie skonfigurowany. |
| AADSTS7000215: podano nieprawidłowy klucz tajny klienta. | Używasz połączenia z usługą, które ma wygasły sekret. Przekształć połączenie usługi w federację tożsamości obciążeń i zastąp wygasły tajny klucz poświadczeniami federacyjnymi. |
| AADSTS700024: Deklaracja klienta nie mieści się w ważnym przedziale czasowym | Jeśli błąd wystąpi po około 1 godzinie, zamiast tego użyj połączenia usługi z federacją tożsamości obciążenia i tożsamością zarządzaną. Tokeny tożsamości zarządzanej mają okres istnienia około 24 godzin. Jeśli błąd wystąpi przed 1 godziną, ale po 10 minutach, przenieś polecenia, które (niejawnie) żądają tokenu dostępu, na przykład uzyskiwania dostępu do usługi Azure Storage na początku skryptu. Token dostępu zostanie buforowany dla kolejnych poleceń. |
AADSTS70021: nie znaleziono pasującego rekordu tożsamości federacyjnej dla przedstawionej asercji. Wystawca asercji: https://app.vstoken.visualstudio.com. |
Nie utworzono poświadczeń federacyjnych lub adres URL wystawcy nie jest poprawny. Prawidłowy adres URL wystawcy ma format https://login.microsoftonline.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX. Można naprawić adres URL wystawcy, poprzez edycję i zapisanie połączenia z usługą. Jeśli usługa Azure DevOps nie utworzyła tożsamości, musisz ręcznie zaktualizować wystawcę. Właściwego wystawcę można znaleźć w oknie dialogowym edycji połączenia z usługą lub w odpowiedzi, jeśli używasz interfejsu API REST. |
AADSTS70021: nie znaleziono pasującego rekordu tożsamości federacyjnej dla przedstawionej asercji. Wystawca asercji: https://login.microsoftonline.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX. Temat asercji: sc://<org>/<project>/<service-connection>. |
Adres URL wydawcy lub temat federacji nie jest zgodny. Nazwa organizacji lub projektu usługi Azure DevOps została zmieniona lub zmieniono nazwę ręcznie utworzonego połączenia usługi bez aktualizowania podmiotu federacji w tożsamości. |
| AADSTS700211: Nie znaleziono pasującego rekordu tożsamości federacyjnej dla wystawcy asercji | Nie utworzono poświadczeń federacyjnych lub adres URL wystawcy nie jest poprawny. |
| AADSTS700213: Nie znaleziono pasującego rekordu tożsamości federacyjnej dla przedstawionego podmiotu asercji | Nie utworzono poświadczenia federacyjnego lub podmiot nie jest poprawny. |
| AADSTS700223 | Federacja tożsamości pracy jest ograniczona lub wyłączona w dzierżawie Microsoft Entra. W tym scenariuszu można zamiast tego użyć tożsamości zarządzanej dla federacji. Aby uzyskać więcej informacji, zobacz temat Tożsamość obciążenia z tożsamością zarządzaną. |
| AADSTS70025: Aplikacja kliencka nie ma skonfigurowanych poświadczeń tożsamości federacyjnej | Upewnij się, że poświadczenia federacyjne są skonfigurowane w rejestracji aplikacji lub tożsamości zarządzanej. |
| Firma Microsoft Entra odrzuciła token wystawiony przez usługę Azure DevOps z kodem błędu AADSTS700238 | Federacja tożsamości roboczej została ograniczona w dzierżawie Microsoft Entra. Wystawca dla organizacji (https://login.microsoftonline.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX) nie ma pozwolenia na korzystanie z federacji tożsamości obciążeń. Poproś administratora dzierżawy Microsoft Entra lub zespół administracyjny o zezwolenie na federację tożsamości dla organizacji Azure DevOps. |
| AADSTS900382: Poufny klient nie jest obsługiwany w usłudze Cross Cloud | Niektóre usługi chmurowe blokują federację tożsamości obciążenia roboczego. |
| Nie udało się uzyskać tokenu JWT (JSON Web Token) za pomocą głównego identyfikatora klienta usługi | Poświadczenia tożsamości federacyjnej są błędnie skonfigurowane lub dzierżawca Microsoft Entra blokuje OpenID Connect (OIDC). |
| Skrypt nie powiódł się z powodu błędu: UnrecognizedArgumentError: unrecognized arguments: --federated-token | Używasz zadania AzureCLI na agencie, który ma zainstalowaną wcześniejszą wersję interfejsu wiersza polecenia platformy Azure. Federacja tożsamości dla obciążenia roboczego wymaga Azure CLI w wersji 2.30 lub nowszej. |
| Nie można utworzyć aplikacji w identyfikatorze Entra firmy Microsoft. Błąd: Niewystarczające uprawnienia do ukończenia operacji w programie Microsoft Graph. Upewnij się, że użytkownik ma uprawnienia do tworzenia aplikacji Firmy Microsoft Entra. | Możliwość tworzenia rejestracji aplikacji została wyłączona w dzierżawie firmy Microsoft Entra. Przypisz użytkownikowi, który tworzy połączenie z usługą, rolę Deweloper aplikacji firmy Microsoft Entra. Alternatywnie utwórz połączenie usługi ręcznie przy użyciu tożsamości zarządzanej. Aby uzyskać więcej informacji, zobacz temat Tożsamość obciążenia z tożsamością zarządzaną. |
Czy błąd AADSTS, który widzisz, nie jest na liście powyżej? Sprawdź kody błędów uwierzytelniania i autoryzacji Microsoft Entra.