Устранение неполадок подключений к службе ARM

  • Статья

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

В этой статье представлены распространенные сценарии устранения неполадок, которые помогут устранить проблемы, которые могут возникнуть при создании подключения службы Azure Resource Manager. Сведения о создании, изменении и защите подключений к службам см. в статье "Управление подключениями к службе".

Что происходит при создании подключения к службе ARM?

Если у вас нет подключения к службе, можно создать его следующим образом:

  1. В проекте выберите параметры проекта, а затем выберите подключения службы.

    Снимок экрана: доступ к подключениям к службам из параметров проекта

  2. Выберите новое подключение службы, чтобы добавить новое подключение к службе, а затем выберите Azure Resource Manager. Нажмите кнопку "Далее", когда вы закончите.

    Снимок экрана: типы подключений к службе.

  3. Выберите субъект-службу (автоматически) и нажмите кнопку **Далее.

  4. Выберите подписку и выберите свою подписку из раскрывающегося списка. Заполните форму и нажмите кнопку "Сохранить " после завершения.

    Снимок экрана: новая форма подключения службы ARM.

После сохранения нового подключения к службе ARM Azure DevOps выполните следующие действия.

  1. Подключение клиента Microsoft Entra для выбранной подписки.
  2. Создание приложения в Microsoft Entra ID от имени пользователя.
  3. После успешного создания приложения назначьте приложение в качестве участника выбранной подписки.
  4. Создается подключение к службе Azure Resource Manager с помощью сведений об этом приложении.

Примечание.

Чтобы создать подключения к службе, необходимо добавить в группу Endpoint Creator в параметрах проекта: безопасность подключений>службы параметров>проекта. Участники добавляются в эту группу по умолчанию.

Сценарии устранения неисправностей

Ниже приведены некоторые проблемы, которые могут возникнуть при создании подключений к службе:

Недостаточно привилегий для завершения операции

Обычно это происходит, когда система пытается создать приложение в идентификаторе Microsoft Entra от вашего имени.

Это проблема с разрешением, которая может быть вызвана следующими причинами:

У пользователя есть только гостевой разрешение в каталоге.

Лучший подход для решения этой проблемы, предоставляя только минимальные дополнительные разрешения пользователю, заключается в увеличении разрешений гостевых пользователей, как показано ниже.

  1. Войдите в портал Azure с помощью учетной записи администратора. Учетная запись должна быть владельцем, глобальным администратором или администратором учетной записи пользователя.

  2. Выберите идентификатор Microsoft Entra в левой панели навигации.

  3. Убедитесь, что вы редактируют соответствующий каталог, соответствующий подписке пользователя. Если нет, выберите "Переключить каталог" и войдите в систему , используя соответствующие учетные данные при необходимости.

  4. Выберите "Пользователи" в разделе "Управление ".

  5. Выберите Параметры пользователя.

  6. Выберите "Управление параметрами внешней совместной работы" в разделе "Внешние пользователи".

  7. Изменение разрешений гостевого пользователя ограничено значением "Нет".

Кроме того, если вы готовы предоставить пользователю дополнительные разрешения (администратор), вы можете сделать пользователя членом роли глобального администратора . Для этого выполните указанные ниже действия.

Предупреждение

Пользователи, которым назначена роль глобального администратора, могут читать и изменять все административные параметры в организации Microsoft Entra. Мы рекомендуем назначать эту роль не более чем пяти пользователям в организации.

  1. Войдите в портал Azure с помощью учетной записи администратора. Учетная запись должна быть владельцем, глобальным администратором или администратором учетной записи пользователя.

  2. Выберите Microsoft Entra ID в левой области навигации.

  3. Убедитесь, что вы редактируют соответствующий каталог, соответствующий подписке пользователя. Если нет, выберите "Переключить каталог" и войдите в систему , используя соответствующие учетные данные при необходимости.

  4. Выберите "Пользователи" в разделе "Управление ".

  5. Используйте поле поиска для поиска пользователя, которым требуется управлять.

  6. Выберите роль каталога в разделе "Управление", а затем измените роль глобального администратора. Нажмите кнопку "Сохранить " после завершения.

Обычно для глобального применения изменений требуется от 15 до 20 минут. Затем пользователь может попытаться восстановить подключение к службе.

Пользователь не авторизован для добавления приложений в каталог

Необходимо иметь разрешения на добавление интегрированных приложений в каталог. Администратор каталога имеет разрешения на изменение этого параметра.

  1. Выберите идентификатор Microsoft Entra в области навигации слева.

  2. Убедитесь, что вы редактируют соответствующий каталог, соответствующий подписке пользователя. Если нет, выберите "Переключить каталог" и войдите в систему , используя соответствующие учетные данные при необходимости.

  3. Выберите "Пользователи" и выберите "Параметры пользователя".

  4. В разделе Регистрация приложений и измените параметр "Пользователи" для регистрации приложений на "Да".

Вы также можете создать субъект-службу с существующим пользователем, у которого уже есть необходимые разрешения в идентификаторе Microsoft Entra. Дополнительные сведения см. в статье "Создание подключения к службе Azure Resource Manager" с существующим субъектом-службой .

Не удалось получить маркер доступа или действительный маркер обновления не найден

Обычно эти ошибки возникают при истечении срока действия сеанса. Чтобы устранить эти проблемы, выполните следующие действия.

  1. Выйдите из Azure DevOps.
  2. Откройте окно браузера InPrivate или инкогнито и перейдите к Azure DevOps.
  3. Войдите с помощью соответствующих учетных данных.
  4. Выберите свою организацию и проект.
  5. Создайте подключение к службе.

Не удалось назначить роль участника

Эта ошибка обычно возникает, если у вас нет разрешения на запись для выбранной подписки Azure.

Чтобы устранить эту проблему, попросите администратора подписки назначить соответствующую роль в идентификаторе Microsoft Entra.

Подписка не указана при создании подключения к службе

Не более 50 подписок Azure перечислены в различных раскрывающихся меню подписки Azure (выставление счетов, подключение к службе и т. д.). Если вы настраиваете подключение к службе и у вас более 50 подписок Azure, некоторые из ваших подписок не будут перечислены. В этом сценарии выполните следующие действия.

  1. Создайте нового собственного пользователя Microsoft Entra в экземпляре Microsoft Entra, к которому относится ваша подписка Azure.

  2. Настройте пользователя Microsoft Entra так, чтобы он имел разрешения для настройки выставления счетов или создания подключений к службам. Дополнительные сведения см. в статье Добавление пользователя, который может настраивать выставление счетов для Azure DevOps.

  3. Добавьте пользователя Microsoft Entra в организацию Azure DevOps с уровнем доступа к заинтересованным лицам, а затем добавьте его в группу Администратор istrators (для выставления счетов) или убедитесь, что у пользователя есть достаточные разрешения в командном проекте для создания подключений к службе.

  4. Войдите в Azure DevOps с помощью новых учетных данных пользователя и настройте выставление счетов. В списке будет отображаться только одна подписка Azure.

Некоторые подписки отсутствуют в списке подписок

Эту проблему можно устранить, изменив параметры поддерживаемых типов учетных записей и определив, кто может использовать приложение. Для этого выполните следующие действия:

  1. Войдите на портал Azure.

  2. Если у вас есть доступ к нескольким клиентам, используйте фильтр каталога и подписки в верхнем меню, чтобы выбрать клиент, в котором требуется зарегистрировать приложение.

    Снимок экрана: значок каталога и подписок на портале Azure.

  3. Выберите идентификатор Microsoft Entra в левой области.

  4. Щелкните Регистрация приложений.

  5. Выберите приложение из списка зарегистрированных приложений.

  6. В разделе "Проверка подлинности" выберите поддерживаемые типы учетных записей.

  7. В разделе "Поддерживаемые типы учетных записей" Кто могут использовать это приложение или получить доступ к этому API? Выберите учетные записи в любом каталоге организации.

    Снимок экрана: поддерживаемые типы учетных записей.

  8. Нажмите кнопку "Сохранить " после завершения.

Истек срок действия маркера субъекта-службы

Проблема, которая часто возникает с субъектами-службами, которые создаются автоматически, заключается в том, что срок действия маркера субъекта-службы истекает и его необходимо обновить. Однако если у вас возникла проблема с обновлением маркера, убедитесь , что действительный маркер обновления не найден.

Чтобы обновить маркер доступа для автоматически созданного субъекта-службы, выполните следующие действия.

  1. Перейдите к подключениям> службы параметров проекта и выберите подключение службы, которое требуется изменить.

  2. Выберите "Изменить" в правом верхнем углу и нажмите кнопку "Проверить".

  3. Выберите Сохранить.

Маркер субъекта-службы теперь продлен еще на три месяца.

Примечание.

Эта операция доступна, даже если срок действия маркера субъекта-службы не истек.

Не удалось получить JWT с помощью идентификатора клиента субъекта-службы

Эта проблема возникает при попытке проверить подключение службы с истекшим сроком действия секрета.

Для разрешения этой проблемы:

  1. Перейдите к подключениям> службы параметров проекта и выберите подключение службы, которое требуется изменить.

  2. Выберите "Изменить " в правом верхнем углу и внесите любое изменение в подключение к службе. Самое простое и рекомендуемое изменение — добавить описание.

  3. Нажмите кнопку "Сохранить", чтобы сохранить подключение к службе.

    Примечание.

    Выберите Сохранить. Не пытайтесь проверить подключение службы на этом шаге.

  4. Закройте окно редактирования подключения службы и обновите страницу подключений к службе.

  5. Выберите "Изменить" в правом верхнем углу и выберите "Проверить".

  6. Нажмите кнопку "Сохранить", чтобы сохранить подключение к службе.

Подписка Azure не передается из предыдущих выходных данных задачи

При динамической настройке подписки Azure для конвейера выпуска и необходимости использования выходной переменной из предыдущей задачи может возникнуть эта проблема.

Чтобы устранить проблему, убедитесь, что значения определены в разделе переменных конвейера. Затем эту переменную можно передать между задачами конвейера.

Какие механизмы проверки подлинности поддерживаются? Как работают управляемые удостоверения?

Подключение службы Azure Resource Manager может подключаться к подписке Azure с помощью проверки подлинности субъекта-службы (SPA) или проверки подлинности управляемого удостоверения. Управляемые удостоверения для ресурсов Azure предоставляют службам Azure автоматически управляемое удостоверение, которое хранится в Microsoft Entra ID. Это удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает проверку подлинности Microsoft Entra, не сохраняя учетные данные в коде или в подключении к службе.

Сведения об управляемых удостоверениях для виртуальных машин см. в разделе "Назначение ролей".

Примечание.

Управляемые удостоверения не поддерживаются в агентах, размещенных корпорацией Майкрософт. В этом сценарии необходимо настроить локальный агент на виртуальной машине Azure и настроить управляемое удостоверение для этой виртуальной машины.