Utilizar GitHub Actions para ligar ao Azure

Saiba como utilizar o início de sessão do Azure com Azure PowerShell ou a CLI do Azure para interagir com os seus recursos do Azure.

Para utilizar Azure PowerShell ou a CLI do Azure num fluxo de trabalho GitHub Actions, primeiro tem de iniciar sessão com a ação de início de sessão do Azure.

A ação de início de sessão do Azure suporta duas formas diferentes de autenticação com o Azure:

• Principal de serviço com segredos
• OpenID Connect (OIDC) com um principal de serviço do Azure com uma Credencial de Identidade Federada

Por predefinição, a ação de início de sessão inicia sessão com a CLI do Azure e configura o ambiente de GitHub Actions runner para a CLI do Azure. Pode utilizar Azure PowerShell com enable-AzPSSession a propriedade da ação de início de sessão do Azure. Isto configura o ambiente GitHub Actions runner com o módulo Azure PowerShell.

Pode utilizar o início de sessão do Azure para ligar a clouds públicas ou soberanas, incluindo Azure Government e o Azure Stack Hub.

Utilizar a ação de início de sessão do Azure com o OpenID Connect

Para configurar um Início de Sessão do Azure com o OpenID Connect e utilizá-lo num fluxo de trabalho GitHub Actions, precisará de:

• Uma aplicação do Azure Active Directory, com um principal de serviço que tem acesso de contribuidor à sua subscrição
• Uma aplicação do Azure Active Directory configurada com uma credencial federada para confiar em tokens emitidos por GitHub Actions para o seu repositório do GitHub. Pode configurar esta opção no portal do Azure ou com as APIs REST do Microsoft Graph. A federação de identidade da carga de trabalho está em pré-visualização pública
• Um fluxo de trabalho GitHub Actions que pede tokens de problemas do GitHub ao fluxo de trabalho e utiliza a ação de início de sessão do Azure

Criar uma aplicação e um principal de serviço do Azure Active Directory

Terá de criar uma aplicação e um principal de serviço do Azure Active Directory e, em seguida, atribuir uma função na sua subscrição à sua aplicação para que o fluxo de trabalho tenha acesso à sua subscrição.

Portal do Azure

1. Se não tiver uma aplicação existente, registe uma nova aplicação e principal de serviço do Azure Active Directory que possa aceder aos recursos. Como parte deste processo, certifique-se de que:

   • Registar a sua aplicação com Azure AD e criar um principal de serviço
   • Atribuir uma função à aplicação

2. Abra Registos de aplicações no portal do Azure e localize a sua aplicação. Copie os valores do ID da Aplicação (cliente) e do ID do Diretório (inquilino) para utilizar no fluxo de trabalho GitHub Actions.

3. Abra Subscrições no portal do Azure e localize a sua subscrição. Copie o ID da Subscrição.

CLI do Azure

1. Crie a aplicação do Azure Active Directory.

   az ad app create --display-name myApp
   

   Este comando irá produzir JSON com um appId que é o seu client-id. O objectId é APPLICATION-OBJECT-ID e será utilizado para criar credenciais federadas com Graph API chamadas.

2. Criar um principal de serviço. Substitua o $appID pelo appId da saída JSON. Este comando gera saída JSON com um diferente objectId será utilizado no próximo passo. O novo objectId é o assignee-object-id.

    az ad sp create --id $appId
   

3. Crie uma nova atribuição de função por subscrição e objeto. Por predefinição, a atribuição de função estará associada à sua subscrição predefinida. Substitua pelo $subscriptionId ID da subscrição, $resourceGroupName pelo nome do grupo de recursos e $assigneeObjectId pelo gerado assignee-object-id (o ID do objeto do principal de serviço recentemente criado).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Copie os valores para clientId, subscriptionIde tenantId para utilizar mais tarde no fluxo de trabalho GitHub Actions.

Azure PowerShell

1. Crie a aplicação do Azure Active Directory.

   New-AzADApplication -DisplayName myApp
   

   Este comando irá produzir a AppId propriedade que é o seu ClientId. A Id propriedade é APPLICATION-OBJECT-ID e será utilizada para criar credenciais federadas com Graph API chamadas.

2. Criar um principal de serviço. Substitua o $clientId pelo AppId da saída. Este comando gera saída com um diferente Id e será utilizado no próximo passo. O novo Id é o ObjectId.

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   New-AzADServicePrincipal -ApplicationId $clientId
   

3. Criar uma nova atribuição de função. A partir da versão 7.x do módulo do Az PowerShell, New-AzADServicePrincipal já não atribui a Contributor função ao principal de serviço por predefinição. Substitua $resourceGroupName pelo nome do grupo de recursos e $objectId pelo gerado Id.

   $objectId = (Get-AzADServicePrincipal -DisplayName myApp).Id
   New-AzRoleAssignment -ObjectId $objectId -RoleDefinitionName Contributor -ResourceGroupName $resourceGroupName
   

4. Obtenha os valores para clientId, subscriptionIde tenantId para utilizar mais tarde no fluxo de trabalho GitHub Actions.

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   $subscriptionId = (Get-AzContext).Subscription.Id
   $tenantId = (Get-AzContext).Subscription.TenantId
   

Adicionar credenciais federadas (pré-visualização)

Pode adicionar credenciais federadas no portal do Azure ou com a API REST do Microsoft Graph.

Portal do Azure

1. Aceda a Registos de aplicações no portal do Azure e abra a aplicação que pretende configurar.
2. Na aplicação, aceda a Certificados e segredos.
   
3. No separador Credenciais federadas , selecione Adicionar credencial.
4. Selecione o cenário de credenciais GitHub Actions implementar recursos do Azure. Gere a sua credencial ao introduzir os detalhes das credenciais.

Campo	Descrição	Exemplo
Organização	O nome da sua organização do GitHub ou o nome de utilizador do GitHub.	contoso
Repositório	O seu nome do Repositório do GitHub.	contoso-app
Tipo de entidade	O filtro utilizado para definir o âmbito dos pedidos OIDC dos fluxos de trabalho do GitHub. Este campo é utilizado para gerar a subject afirmação.	Environment, Branch, Pull request, Tag
Nome do GitHub	O nome do ambiente, ramo ou etiqueta.	main
Name	Identificador da credencial federada.	contoso-deploy

Para obter uma descrição geral mais detalhada, veja Configurar uma aplicação para confiar num repositório do GitHub.

CLI do Azure

Execute o seguinte comando para criar uma nova credencial de identidade federada para a sua aplicação do Azure Active Directory.

• Substitua APPLICATION-OBJECT-ID pelo objectId (gerado durante a criação da aplicação) para a sua aplicação do Azure Active Directory.
• Defina um valor para CREDENTIAL-NAME para referenciar mais tarde.
• Defina o subject. O valor deste valor é definido pelo GitHub consoante o fluxo de trabalho:
  • Tarefas no seu ambiente de GitHub Actions:repo:< Organization/Repository >:environment:< Name >
  • Para Tarefas não associadas a um ambiente, inclua o caminho ref para ramo/etiqueta com base no caminho ref utilizado para acionar o fluxo de trabalho: repo:< Organization/Repository >:ref:< ref path>. Por exemplo, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
  • Para fluxos de trabalho acionados por um evento de pedido Pull: repo:< Organization/Repository >:pull_request.

az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:environment:Production","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 

Para obter uma descrição geral mais detalhada, veja Configurar uma aplicação para confiar num repositório do GitHub.

Azure PowerShell

Execute o seguinte comando para criar uma nova credencial de identidade federada para a sua aplicação do Azure Active Directory.

• Substitua APPLICATION-OBJECT-ID pelo ID (gerado durante a criação da aplicação) para a sua aplicação do Azure Active Directory.
• Defina um valor para CREDENTIAL-NAME para referenciar mais tarde.
• Defina o subject. O valor deste valor é definido pelo GitHub consoante o fluxo de trabalho:
  • Tarefas no seu ambiente de GitHub Actions:repo:< Organization/Repository >:environment:< Name >
  • Para Tarefas não associadas a um ambiente, inclua o caminho ref para ramo/etiqueta com base no caminho ref utilizado para acionar o fluxo de trabalho: repo:< Organization/Repository >:ref:< ref path>. Por exemplo, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
  • Para fluxos de trabalho acionados por um evento de pedido Pull: repo:< Organization/Repository >:pull_request.

Invoke-AzRestMethod -Method POST -Uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' -Payload  '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:environment:Production","description":"Testing","audiences":["api://AzureADTokenExchange"]}'

Para obter uma descrição geral mais detalhada, veja Configurar uma aplicação para confiar num repositório do GitHub.

Criar segredos do GitHub

Tem de fornecer o ID de Cliente da sua aplicação, o ID do Inquilino e o ID da Subscrição à ação de início de sessão. Estes valores podem ser fornecidos diretamente no fluxo de trabalho ou podem ser armazenados em segredos do GitHub e referenciados no fluxo de trabalho. Guardar os valores como segredos do GitHub é a opção mais segura.

1. Abra o seu repositório do GitHub e aceda a Definições.

   

2. Selecione Segredos de Segurança > e variáveis Ações>.

   

3. Criar segredos para AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_SUBSCRIPTION_ID. Utilize estes valores da sua aplicação do Azure Active Directory para os seus segredos do GitHub:

   Segredo do GitHub	Aplicação do Azure Active Directory
   AZURE_CLIENT_ID	ID da Aplicação (cliente)
   AZURE_TENANT_ID	ID do Diretório (inquilino)
   AZURE_SUBSCRIPTION_ID	ID da subscrição

4. Guarde cada segredo ao selecionar Adicionar segredo.

Configurar o Início de Sessão do Azure com a autenticação do OpenID Connect

O fluxo de trabalho GitHub Actions utiliza o OpenID Connect para autenticar com o Azure. Para saber mais sobre esta interação, veja a documentação do GitHub Actions.

Neste exemplo, irá utilizar a CLI do OpenID Connect do Azure para autenticar com o Azure com a ação de início de sessão do Azure . O exemplo utiliza segredos do GitHub para os client-idvalores , tenant-ide subscription-id . Também pode transmitir estes valores diretamente na ação de início de sessão.

A ação de início de sessão do Azure inclui um parâmetro de entrada opcional audience que é predefinido para api://AzureADTokenExchange. Pode atualizar este parâmetro para valores de audiência personalizados.

Linux

Este fluxo de trabalho autentica-se com o OpenID Connect e utiliza a CLI do Azure para obter os detalhes da subscrição ligada e do grupo de recursos de lista.

name: Run Azure Login with OpenID Connect
on: [push]

permissions:
      id-token: write
      contents: read
      
jobs: 
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    - name: 'Az CLI login'
      uses: azure/login@v1
      with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
  
    - name: 'Run Azure CLI commands'
      run: |
          az account show
          az group list
          pwd 

Windows

Este fluxo de trabalho autentica-se com o OpenID Connect e utiliza o PowerShell para produzir uma lista de grupos de recursos associados à subscrição do Azure ligada.

name: Run Azure Login with OpenID Connect and PowerShell
on: [push]

permissions:
      id-token: write
      contents: read
      
jobs: 
  Windows-latest:
      runs-on: windows-latest
      steps:
        - name: OIDC Login to Azure Public Cloud with AzPowershell (enableAzPSSession true)
          uses: azure/login@v1
          with:
            client-id: ${{ secrets.AZURE_CLIENT_ID }}
            tenant-id: ${{ secrets.AZURE_TENANT_ID }}
            subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }} 
            enable-AzPSSession: true

        - name: 'Get resource group with PowerShell action'
          uses: azure/powershell@v1
          with:
             inlineScript: |
               Get-AzResourceGroup
             azPSVersion: "latest"

Verificar o início de sessão do Azure com êxito com o OpenID

Abra a ação Az CLI login e verifique se foi executada com êxito. Deverá ver a mensagem Login successful. Se o início de sessão não for bem-sucedido, verá a mensagem Az CLI Login failed..

Utilizar a ação de início de sessão do Azure com um segredo do principal de serviço

Para utilizar o início de sessão do Azure com um principal de serviço, primeiro tem de adicionar o principal de serviço do Azure como um segredo ao seu repositório do GitHub.

Criar um principal de serviço

Neste exemplo, irá criar um segredo com o nome AZURE_CREDENTIALS que pode utilizar para autenticar com o Azure.

1. Abra o Azure Cloud Shell no portal do Azure ou na CLI do Azure localmente.

   Nota

   Se estiver a utilizar o Azure Stack Hub, terá de definir o ponto final da Gestão de SQL como not supported. az cloud update -n {environmentName} --endpoint-sql-management https://notsupported

2. Crie um novo principal de serviço no portal do Azure da sua aplicação. O principal de serviço tem de ter a função Contribuidor atribuída.

       az ad sp create-for-rbac --name "myApp" --role contributor \
                                   --scopes /subscriptions/{subscription-id}/resourceGroups/{resource-group} \
                                   --sdk-auth
   

3. Copie o objeto JSON para o principal de serviço.

   {
       "clientId": "<GUID>",
       "clientSecret": "<GUID>",
       "subscriptionId": "<GUID>",
       "tenantId": "<GUID>",
       (...)
   }
   

Adicionar o principal de serviço como um segredo do GitHub

1. No GitHub, aceda ao seu repositório.

2. Selecione Segredos de Segurança > e variáveis Ações>.

   

3. Selecione Novo segredo do repositório.

4. Cole toda a saída JSON do comando da CLI do Azure no campo de valor do segredo. Dê ao segredo o nome AZURE_CREDENTIALS.

5. Selecione Add secret (Adicionar segredo).

Utilizar a ação de início de sessão do Azure

Utilize o segredo do principal de serviço com a ação de Início de Sessão do Azure para autenticar no Azure.

Neste fluxo de trabalho, vai autenticar com a ação de início de sessão do Azure com os detalhes do principal de serviço armazenados no secrets.AZURE_CREDENTIALS. Em seguida, executa uma ação da CLI do Azure. Para obter mais informações sobre como referenciar segredos do GitHub num ficheiro de fluxo de trabalho, veja Utilizar segredos encriptados num fluxo de trabalho no GitHub Docs.

Assim que tiver um passo de início de sessão do Azure funcional, pode utilizar as ações Azure PowerShell ou da CLI do Azure. Também pode utilizar outras ações do Azure, como a implementação da aplicação Web do Azure e as funções do Azure.

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'

Utilizar a ação Azure PowerShell

Neste exemplo, inicia sessão com a ação de Início de Sessão do Azure e, em seguida, obtém um grupo de recursos com a ação Azure PowerShell.

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'
          enable-AzPSSession: true
      - name: Azure PowerShell Action
        uses: Azure/powershell@v1
        with:
          inlineScript: Get-AzResourceGroup -Name "< YOUR RESOURCE GROUP >"
          azPSVersion: "latest"

Utilizar a ação da CLI do Azure

Neste exemplo, inicia sessão com a ação de Início de Sessão do Azure e, em seguida, obtém um grupo de recursos com a ação da CLI do Azure.

on: [push]

name: AzureLoginSample

jobs:
build-and-deploy:
    runs-on: ubuntu-latest
    steps:

    - name: Log in with Azure
        uses: azure/login@v1
        with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - name: Azure CLI script
        uses: azure/CLI@v1
        with:
        azcliversion: 2.0.72
        inlineScript: |
            az account show
            az storage -h

Ligar a clouds do Azure Government e do Azure Stack Hub

Para iniciar sessão numa das clouds Azure Government, defina o ambiente de parâmetros opcional com nomes AzureUSGovernment de cloud suportados ou AzureChinaCloud. Se este parâmetro não for especificado, utiliza o valor AzureCloud predefinido e liga-se à Cloud Pública do Azure.

   - name: Login to Azure US Gov Cloud with CLI
     uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: false
   - name: Login to Azure US Gov Cloud with Az Powershell
      uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: true

Ligar a outros serviços do Azure

Os artigos seguintes fornecem detalhes sobre como ligar ao GitHub a partir do Azure e de outros serviços.

Azure Active Directory

• Iniciar sessão no GitHub Enterprise com Azure AD (início de sessão único)

Power BI

• Ligar o Power BI ao GitHub

Conectores

• Conector do GitHub para o Azure Logic Apps, Power Automate e Power Apps

Azure Databricks

• Utilizar o GitHub como controlo de versões para blocos de notas

Implementar aplicações do GitHub para o Azure