Usar ações do GitHub para se conectar ao Azure

Saiba como usar o logon do Azure com o Azure PowerShell ou a CLI do Azure para interagir com seus recursos do Azure.

Para usar o Azure PowerShell ou a CLI do Azure em um fluxo de trabalho de Ações do GitHub, você precisa primeiro fazer logon com a ação de logon do Azure.

A ação de início de sessão do Azure suporta duas formas diferentes de autenticação com o Azure:

• Principal de serviço com segredos
• OpenID Connect (OIDC) com uma entidade de serviço do Azure usando uma Credencial de Identidade Federada

Por padrão, a ação de logon faz logon com a CLI do Azure e configura o ambiente runner do GitHub Actions para a CLI do Azure. Você pode usar o Azure PowerShell com enable-AzPSSession a propriedade da ação de logon do Azure. Isso configura o ambiente runner do GitHub Actions com o módulo do Azure PowerShell.

Você pode usar o logon do Azure para se conectar a nuvens públicas ou soberanas, incluindo o Azure Government e o Azure Stack Hub.

Usar a ação de logon do Azure com o OpenID Connect

Para configurar um Logon do Azure com o OpenID Connect e usá-lo em um fluxo de trabalho de Ações do GitHub, você precisará:

• Um aplicativo Microsoft Entra, com uma entidade de serviço que foi atribuída com uma função apropriada à sua assinatura.
• Um aplicativo Microsoft Entra configurado com uma credencial federada para confiar tokens emitidos pelo GitHub Actions ao seu repositório GitHub. Você pode configurar isso no portal do Azure ou com APIs REST do Microsoft Graph.
• Um fluxo de trabalho de Ações do GitHub que solicita tokens de emissão do GitHub para o fluxo de trabalho e usa a ação de logon do Azure.

Criar uma entidade de serviço e aplicativo Microsoft Entra

Você precisará criar um aplicativo e uma entidade de serviço do Microsoft Entra e, em seguida, atribuir uma função em sua assinatura ao seu aplicativo para que seu fluxo de trabalho tenha acesso à sua assinatura.

Portal do Azure

1. Se você não tiver um aplicativo existente, registre um novo aplicativo Microsoft Entra e uma entidade de serviço que possa acessar recursos. Como parte desse processo, certifique-se de:

   • Registe a sua aplicação com o Microsoft Entra ID e crie uma entidade de serviço
   • Atribuir uma função ao aplicativo

2. Abra os registos de aplicações no portal do Azure e localize a sua aplicação. Copie os valores para ID de aplicativo (cliente) e ID de diretório (locatário) para usar em seu fluxo de trabalho de ações do GitHub.

3. Abra Subscrições no portal do Azure e localize a sua subscrição. Copie o ID da Subscrição.

CLI do Azure

1. Crie o aplicativo Microsoft Entra.

   az ad app create --display-name myApp
   

   Este comando produzirá JSON com um appId que é o seu client-id. O objectId é APPLICATION-OBJECT-ID e será usado para criar credenciais federadas com chamadas de API do Graph.

2. Crie uma entidade de serviço. Substitua o $appID pelo appId da sua saída JSON. Este comando gera saída JSON com um diferente objectId será usado na próxima etapa. O novo objectId é o assignee-object-id.

    az ad sp create --id $appId
   

3. Crie uma nova atribuição de função por assinatura e objeto. Por padrão, a atribuição de função será vinculada à sua assinatura padrão. Substitua $subscriptionId pela ID da assinatura, $resourceGroupName pelo nome do grupo de recursos e $assigneeObjectId pelo gerado assignee-object-id (a ID do objeto principal de serviço recém-criada).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Copie os valores para , subscriptionIde tenantId para clientIdusar posteriormente no fluxo de trabalho de Ações do GitHub.

Azure PowerShell

1. Crie o aplicativo Microsoft Entra.

   New-AzADApplication -DisplayName myApp
   

   Este comando produzirá a propriedade que é o AppId seu ClientIdarquivo . A Id propriedade é APPLICATION-OBJECT-ID e será usada para criar credenciais federadas com chamadas de API do Graph.

2. Crie uma entidade de serviço. Substitua o $clientId pelo AppId da sua saída. Este comando gera saída com um diferente Id e será usado na próxima etapa. O novo Id é o ObjectId.

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   New-AzADServicePrincipal -ApplicationId $clientId
   

3. Crie uma nova atribuição de função. A partir do módulo Az PowerShell versão 7.x, New-AzADServicePrincipal não atribui mais a Contributor função à entidade de serviço por padrão. Substitua $resourceGroupName pelo nome do grupo de recursos e $objectId pelo gerado Id.

   $objectId = (Get-AzADServicePrincipal -DisplayName myApp).Id
   New-AzRoleAssignment -ObjectId $objectId -RoleDefinitionName Contributor -ResourceGroupName $resourceGroupName
   

4. Obtenha os valores para , subscriptionIde tenantId para clientIdusar posteriormente em seu fluxo de trabalho de Ações do GitHub.

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   $subscriptionId = (Get-AzContext).Subscription.Id
   $tenantId = (Get-AzContext).Subscription.TenantId
   

Adicionar credenciais federadas

Você pode adicionar credenciais federadas no portal do Azure ou com a API REST do Microsoft Graph.

Portal do Azure

1. Aceda a Registos de aplicações no portal do Azure e abra a aplicação que pretende configurar.
2. Dentro do aplicativo, vá para Certificados e segredos.
   
3. Na guia Credenciais federadas, selecione Adicionar credencial.
4. Selecione o cenário de credencial Ações do GitHub implantando recursos do Azure. Gere sua credencial inserindo seus detalhes.

Campo	Description	Exemplo
Organization	Seu nome de organização do GitHub ou nome de usuário do GitHub.	contoso
Repositório	Seu nome de repositório GitHub.	contoso-app
Tipo de entidade	O filtro usado para definir o escopo das solicitações OIDC dos fluxos de trabalho do GitHub. Este campo é usado para gerar a subject declaração.	Environment, , , BranchPull requestTag
Nome do GitHub	O nome do ambiente, ramificação ou tag.	main
Nome	Identificador da credencial federada.	contoso-deploy

Para obter uma visão geral mais detalhada, consulte Configurar um aplicativo para confiar em um repositório GitHub.

CLI do Azure

Execute o seguinte comando para criar uma nova credencial de identidade federada para seu aplicativo Microsoft Entra.

• Substitua APPLICATION-OBJECT-ID pelo objectId (gerado durante a criação do aplicativo) para seu aplicativo Microsoft Entra.
• Defina um valor para CREDENTIAL-NAME referenciar mais tarde.
• Defina o subjectarquivo . O valor disso é definido pelo GitHub dependendo do seu fluxo de trabalho:
  • Trabalhos em seu ambiente de ações do GitHub: repo:< Organization/Repository >:environment:< Name >
  • Para Trabalhos não vinculados a um ambiente, inclua o caminho ref para ramificação/tag com base no caminho ref usado para acionar o fluxo de trabalho: repo:< Organization/Repository >:ref:< ref path>. Por exemplo, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
  • Para fluxos de trabalho acionados por um evento pull request: repo:< Organization/Repository >:pull_request.

az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Para obter uma visão geral mais detalhada, consulte Configurar um aplicativo para confiar em um provedor de identidade externo.

Azure PowerShell

Execute o cmdlet New-AzADAppFederatedCredential para criar uma nova credencial de identidade federada para seu aplicativo Microsoft Entra.

• Substitua APPLICATION-OBJECT-ID pelo ID (gerado durante a criação do aplicativo) para seu aplicativo Microsoft Entra.
• Defina um valor para CREDENTIAL-NAME referenciar mais tarde.
• Defina o subjectarquivo . O valor disso é definido pelo GitHub dependendo do seu fluxo de trabalho:
  • Trabalhos em seu ambiente de ações do GitHub: repo:< Organization/Repository >:environment:< Name >
  • Para Trabalhos não vinculados a um ambiente, inclua o caminho ref para ramificação/tag com base no caminho ref usado para acionar o fluxo de trabalho: repo:< Organization/Repository >:ref:< ref path>. Por exemplo, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
  • Para fluxos de trabalho acionados por um evento pull request: repo:< Organization/Repository >:pull_request.

New-AzADAppFederatedCredential -ApplicationObjectId APPLICATION-OBJECT-ID -Audience api://AzureADTokenExchange -Issuer 'https://token.actions.githubusercontent.com/' -Name 'GitHub-Actions-Test' -Subject 'repo:octo-org/octo-repo:environment:Production'

Para obter uma visão geral mais detalhada, consulte Configurar um aplicativo para confiar em um repositório GitHub.

Criar segredos do GitHub

Você precisa fornecer a ID do cliente, a ID do locatário e a ID da assinatura do aplicativo para a ação de login. Esses valores podem ser fornecidos diretamente no fluxo de trabalho ou podem ser armazenados em segredos do GitHub e referenciados em seu fluxo de trabalho. Salvar os valores como segredos do GitHub é a opção mais segura.

1. Abra o repositório GitHub e vá para Configurações.

   

2. Selecione Segredos de Segurança > e Ações de variáveis>.

   

3. Crie segredos para AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_SUBSCRIPTION_ID. Use estes valores do seu aplicativo Azure Ative Directory para seus segredos do GitHub:

   Segredo do GitHub	Aplicativo Azure Ative Directory
   AZURE_CLIENT_ID	ID da aplicação (cliente)
   AZURE_TENANT_ID	ID do Diretório (inquilino)
   AZURE_SUBSCRIPTION_ID	ID de Subscrição

4. Salve cada segredo selecionando Adicionar segredo.

Configurar o Login do Azure com autenticação OpenID Connect

Seu fluxo de trabalho de Ações do GitHub usa o OpenID Connect para autenticar com o Azure. Para saber mais sobre essa interação, consulte a documentação de Ações do GitHub.

Neste exemplo, você usará a CLI do Azure OpenID Connect para autenticar com o Azure com a ação de logon do Azure. O exemplo usa segredos do GitHub para os client-idvalores , tenant-ide subscription-id . Você também pode passar esses valores diretamente na ação de login.

A ação de logon do Azure inclui um parâmetro de entrada opcional audience que assume como padrão .api://AzureADTokenExchange Você pode atualizar esse parâmetro para valores de audiência personalizados.

Linux

Esse fluxo de trabalho é autenticado com o OpenID Connect e usa a CLI do Azure para obter os detalhes da assinatura conectada e do grupo de recursos de lista.

name: Run Azure Login with OpenID Connect
on: [push]

permissions:
      id-token: write
      contents: read
      
jobs: 
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    - name: 'Az CLI login'
      uses: azure/login@v1
      with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
  
    - name: 'Run Azure CLI commands'
      run: |
          az account show
          az group list
          pwd 

Windows

Esse fluxo de trabalho é autenticado com o OpenID Connect e usa o PowerShell para gerar uma lista de grupos de recursos vinculados à assinatura conectada do Azure.

name: Run Azure Login with OpenID Connect and PowerShell
on: [push]

permissions:
  id-token: write
  contents: read
      
jobs: 
  Windows-latest:
    runs-on: windows-latest
    steps:
      - name: OIDC Login to Azure Public Cloud with AzPowershell (enableAzPSSession true)
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }} 
          enable-AzPSSession: true

      - name: 'Get resource group with PowerShell action'
        uses: azure/powershell@v1
        with:
          inlineScript: |
            Get-AzResourceGroup
          azPSVersion: "latest"

Verificar o Login do Azure bem-sucedido com OpenID

Abra a ação e verifique se ela foi executada Az CLI login com êxito. Deverá ver a mensagem Login successful. Se o seu login não for bem-sucedido, você verá a mensagem Az CLI Login failed..

Usar a ação de logon do Azure com um segredo da entidade de serviço

Para usar o logon do Azure com uma entidade de serviço, primeiro você precisa adicionar sua entidade de serviço do Azure como um segredo ao seu repositório GitHub.

Criar um principal de serviço

Neste exemplo, você criará um segredo chamado AZURE_CREDENTIALS que pode ser usado para autenticar com o Azure.

1. Abra o Azure Cloud Shell no portal do Azure ou na CLI do Azure localmente.

   Nota

   Se você estiver usando o Azure Stack Hub, precisará definir seu ponto de extremidade de Gerenciamento SQL como not supported. az cloud update -n {environmentName} --endpoint-sql-management https://notsupported

2. Crie uma nova entidade de serviço no portal do Azure para seu aplicativo. A entidade de serviço deve ser atribuída com uma função apropriada.

       az ad sp create-for-rbac --name "myApp" --role contributor \
                                   --scopes /subscriptions/{subscription-id}/resourceGroups/{resource-group} \
                                   --json-auth
   

   O parâmetro --json-auth gera o dicionário de resultados aceito pela ação de logon, acessível nas versões >da CLI do Azure = 2.51.0. Versões anteriores a este uso --sdk-auth com um aviso de descontinuação.

3. Copie o objeto JSON para sua entidade de serviço.

   {
       "clientId": "<GUID>",
       "clientSecret": "<GUID>",
       "subscriptionId": "<GUID>",
       "tenantId": "<GUID>",
       (...)
   }
   

Adicionar a entidade de serviço como um segredo do GitHub

1. No GitHub, vá para o seu repositório.

2. Vá para Configurações no menu de navegação.

3. Selecione Segredos de Segurança > e Ações de variáveis>.

   

4. Selecione Novo segredo do repositório.

5. Cole toda a saída JSON do comando CLI do Azure no campo de valor do segredo. Dê o nome AZURE_CREDENTIALSao segredo .

6. Selecione Add secret (Adicionar segredo).

Usar a ação de logon do Azure

Use o segredo da entidade de serviço com a ação Logon do Azure para autenticar no Azure.

Neste fluxo de trabalho, você se autentica usando a ação de logon do Azure com os detalhes da entidade de serviço armazenados no secrets.AZURE_CREDENTIALS. Em seguida, execute uma ação da CLI do Azure. Para obter mais informações sobre como fazer referência a segredos do GitHub em um arquivo de fluxo de trabalho, consulte Usando segredos criptografados em um fluxo de trabalho no GitHub Docs.

Depois de ter uma etapa de logon do Azure em funcionamento, você pode usar as ações do Azure PowerShell ou da CLI do Azure. Você também pode usar outras ações do Azure, como a implantação do aplicativo Web do Azure e as funções do Azure.

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'

Usar a ação do Azure PowerShell

Neste exemplo, você faz logon com a ação Logon do Azure e recupera um grupo de recursos com a ação do Azure PowerShell.

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'
          enable-AzPSSession: true
      - name: Azure PowerShell Action
        uses: Azure/powershell@v1
        with:
          inlineScript: Get-AzResourceGroup -Name "< YOUR RESOURCE GROUP >"
          azPSVersion: "latest"

Usar a ação da CLI do Azure

Neste exemplo, você faz logon com a ação Logon do Azure e recupera um grupo de recursos com a ação CLI do Azure.

on: [push]

name: AzureLoginSample

jobs:
build-and-deploy:
  runs-on: ubuntu-latest
  steps:

    - name: Log in with Azure
      uses: azure/login@v1
      with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

    - name: Azure CLI script
      uses: azure/CLI@v1
      with:
          azcliversion: 2.0.72
          inlineScript: |
            az account show
            az storage -h

Conectar-se ao Azure Government e às nuvens do Azure Stack Hub

Para iniciar sessão numa das nuvens do Azure Government, defina o ambiente de parâmetros opcionais com nomes AzureUSGovernment de nuvem suportados ou AzureChinaCloud. Se esse parâmetro não for especificado, ele usará o valor AzureCloud padrão e se conectará à Nuvem Pública do Azure.

   - name: Login to Azure US Gov Cloud with CLI
     uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: false
   - name: Login to Azure US Gov Cloud with Az Powershell
      uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: true

Conecte-se com outros serviços do Azure

Os artigos a seguir fornecem detalhes sobre como se conectar ao GitHub a partir do Azure e de outros serviços.

Microsoft Entra ID

• Entre no GitHub Enterprise com o Microsoft Entra ID (logon único)

Power BI

• Conectar o Power BI ao GitHub

Conectores

• Conector GitHub para Aplicativos Lógicos do Azure, Power Automate e Power Apps

Azure Databricks

• Usar o GitHub como controle de versão para notebooks

Implantar aplicativos do GitHub no Azure