Definir manualmente uma conexão de serviço de identidade de carga de trabalho do Azure Resource Manager
Ao solucionar problemas de uma conexão de serviço de identidade de carga de trabalho do Azure Resource Manager, talvez seja necessário configurar manualmente a conexão em vez de usar a ferramenta automatizada disponível no Azure DevOps.
Recomendamos que experimente a abordagem automatizada antes de iniciar uma configuração manual.
Há duas opções para autenticação: usar uma identidade gerenciada ou usar uma entidade de serviço. A vantagem da opção de identidade gerenciada é que você pode usá-la se não tiver permissões para criar entidades de serviço ou se estiver usando um locatário do Microsoft Entra diferente do usuário do Azure DevOps.
Definir uma conexão de serviço de identidade de carga de trabalho para usar a autenticação de identidade gerenciada
Talvez seja necessário criar manualmente uma identidade gerenciada que use credenciais federadas e, em seguida, conceder as permissões necessárias. Você também pode usar a API REST para esse processo.
Criar uma identidade gerenciada
Inicie sessão no portal do Azure.
Na caixa de pesquisa, introduza Identidades Geridas.
Selecione Criar.
No painel Criar Identidade Gerenciada Atribuída ao Usuário, insira ou selecione valores para os seguintes itens:
- Assinatura: selecione a assinatura na qual criar a identidade gerenciada atribuída pelo usuário.
- Grupo de recursos: selecione um grupo de recursos para criar a identidade gerenciada atribuída pelo usuário ou selecione Criar novo para criar um novo grupo de recursos.
- Região: selecione uma região para implantar a identidade gerenciada atribuída pelo usuário, por exemplo, Leste dos EUA.
- Nome: insira o nome da identidade gerenciada atribuída pelo usuário, por exemplo, UADEVOPS.
Copie os valores de ID de Assinatura e ID de Cliente para sua identidade gerenciada para usar mais tarde.
Vá para Propriedades de configurações>.
Copie o valor Tenant Id para usar mais tarde.
Vá para Configurações>Credenciais federadas.
Selecione Adicionar credenciais.
Selecione o cenário Outro emissor .
Insira valores para o identificador Emissor e Assunto. Você substituirá esses valores mais tarde quando criar uma conexão de serviço.
Campo Descrição Emissor Introduzir https://vstoken.dev.azure.com/<unique-identifier>
. Ounique-identifier
é o GUID da sua organização do Azure DevOps.Identificador do assunto Especifique sc://<Azure DevOps organization>/<project name>/<service connection name>
. A conexão de serviço não precisa ser já criada.Selecione Guardar.
Mantenha esta janela aberta. Mais tarde no processo, você retorna à janela e atualiza suas credenciais federadas de registro de aplicativo.
Conceder permissões à identidade gerenciada
No portal do Azure, vá para o recurso do Azure para o qual você deseja conceder permissões (por exemplo, um grupo de recursos).
Selecione Controlo de acesso (IAM) .
Selecione Adicionar atribuição de função. Atribua a função necessária à sua identidade gerenciada (por exemplo, Colaborador).
Selecione Rever e atribuir.
Criar uma conexão de serviço para autenticação de identidade gerenciada
No Azure DevOps, abra seu projeto e vá para >conexões do Serviço de Pipelines.>
Selecione Nova conexão de serviço.
Selecione Azure Resource Manager e, em seguida, selecione Next.
Selecione Federação de identidade de carga de trabalho (manual) e, em seguida, selecione Avançar.
Em Nome da conexão de serviço, insira o valor que você usou para Identificador de assunto quando criou suas credenciais federadas.
Para ID da Subscrição e Nome da Subscrição, introduza os valores para a subscrição na sua conta do portal do Azure.
Na seção de autenticação:
Em Service Principal Id, insira o valor de Client Id da sua identidade gerenciada.
Em ID do Locatário, insira o valor de ID do Locatário da sua identidade gerenciada.
No Azure DevOps, copie os valores gerados para o identificador de Emissor e Assunto.
No portal do Azure, retorne às credenciais federadas de registro do aplicativo.
Cole os valores para o identificador de Emissor e Assunto que você copiou do seu projeto de DevOps do Azure em suas credenciais federadas no portal do Azure.
No portal do Azure, selecione Atualizar para salvar as credenciais atualizadas.
No Azure DevOps, selecione Verificar e salvar.
Definir uma conexão de serviço de identidade de carga de trabalho para usar a autenticação da entidade de serviço
Talvez seja necessário criar manualmente uma entidade de serviço que tenha credenciais federadas e, em seguida, conceder as permissões necessárias. Você também pode usar a API REST para esse processo.
Criar um registro de aplicativo e credenciais federadas
No portal do Azure, vá para registros de aplicativos.
Selecione Novo registo.
Em Nome, insira um nome para o registro do aplicativo e selecione Quem pode usar este aplicativo ou acessar esta API.
Copie os valores para ID do aplicativo (cliente) e ID do diretório (locatário) do registro do aplicativo para usar mais tarde.
Vá para Gerenciar>certificados & segredos.
Selecione Credenciais federadas.
Selecione Adicionar credenciais.
Selecione o cenário Outro emissor .
Insira valores para o identificador Emissor e Assunto. Você substituirá esses valores mais tarde quando criar uma conexão de serviço.
Campo Descrição Emissor Introduzir https://vstoken.dev.azure.com/<unique-identifier>
. Ounique-identifier
é o GUID da sua organização do Azure DevOps.Identificador do assunto Especifique sc://<Azure DevOps organization>/<project name>/<service connection name>
. Sua conexão de serviço não precisa já ter sido criada.Selecione Guardar.
Mantenha esta janela aberta. Mais tarde no processo, você retorna à janela e atualiza suas credenciais federadas de registro de aplicativo.
Conceder permissões ao registo da aplicação
No portal do Azure, vá para o recurso do Azure para o qual você deseja conceder permissões (por exemplo, um grupo de recursos).
Selecione Controlo de acesso (IAM) .
Selecione Adicionar atribuição de função. Atribua a função necessária ao registro do aplicativo (por exemplo, Colaborador).
Selecione Rever e atribuir.
Criar uma conexão de serviço para autenticação da entidade de serviço
No Azure DevOps, abra seu projeto e vá para >conexões do Serviço de Pipelines.>
Selecione Nova conexão de serviço.
Selecione Azure Resource Manager e, em seguida, selecione Next.
Selecione Federação de identidade de carga de trabalho (manual) e, em seguida, selecione Avançar.
Em Nome da conexão de serviço, insira o valor do identificador de assunto de suas credenciais federadas.
Para ID da Subscrição e Nome da Subscrição, introduza os valores para a subscrição na sua conta do portal do Azure.
Na seção de autenticação:
Em Service Principal Id, insira o valor de Application (client) ID do seu registro de aplicativo.
Para ID do Locatário (ID), insira o valor de ID do diretório (locatário) do registro do aplicativo.
Copie os valores gerados para o identificador Emissor e Assunto.
No portal do Azure, retorne às credenciais federadas de registro do aplicativo.
Cole os valores para o identificador de Emissor e Assunto que você copiou do seu projeto de DevOps do Azure em suas credenciais federadas no portal do Azure.
No portal do Azure, selecione Atualizar para salvar as credenciais atualizadas.
No Azure DevOps, selecione Verificar e salvar.