Ange en azure Resource Manager-arbetsbelastningsidentitetstjänstanslutning manuellt
När du felsöker en Azure Resource Manager-arbetsbelastningsidentitetstjänstanslutning kan du behöva konfigurera anslutningen manuellt i stället för att använda det automatiserade verktyg som är tillgängligt i Azure DevOps.
Vi rekommenderar att du provar den automatiserade metoden innan du påbörjar en manuell konfiguration.
Det finns två alternativ för autentisering: använd en hanterad identitet eller använd tjänstens huvudnamn. Fördelen med alternativet hanterad identitet är att du kan använda det om du inte har behörighet att skapa tjänstens huvudnamn eller om du använder en annan Microsoft Entra-klientorganisation än din Azure DevOps-användare.
Ange att en arbetsbelastningsidentitetstjänstanslutning ska använda hanterad identitetsautentisering
Du kan behöva skapa en hanterad identitet manuellt som använder federerade autentiseringsuppgifter och sedan bevilja nödvändiga behörigheter. Du kan också använda REST-API:et för den här processen.
Skapa en hanterad identitet
Logga in på Azure-portalen.
I sökrutan anger du Hanterade identiteter.
Välj Skapa.
I fönstret Skapa användartilldelad hanterad identitet anger eller väljer du värden för följande objekt:
- Prenumeration: Välj den prenumeration där den användartilldelade hanterade identiteten ska skapas.
- Resursgrupp: Välj en resursgrupp för att skapa den användartilldelade hanterade identiteten i eller välj Skapa ny för att skapa en ny resursgrupp.
- Region: Välj en region för att distribuera den användartilldelade hanterade identiteten, till exempel USA, östra.
- Namn: Ange namnet på din användartilldelade hanterade identitet, till exempel UADEVOPS.
Kopiera värdena för prenumerations-ID och klient-ID för din hanterade identitet för senare användning.
Gå till Egenskaper för inställningar>.
Kopiera klientorganisations-ID-värdet för senare användning.
Gå till Inställningar>Federerade autentiseringsuppgifter.
Välj Lägg till autentiseringsuppgifter.
Välj scenariot Annan utfärdare.
Ange värden för Utfärdare och Ämnesidentifierare. Du ersätter dessa värden senare när du skapar en tjänstanslutning.
Fält beskrivning Utfärdare Ange https://vstoken.dev.azure.com/<unique-identifier>
.unique-identifier
är GUID för din Azure DevOps-organisation.Ämnesidentifierare Ange sc://<Azure DevOps organization>/<project name>/<service connection name>
. Tjänstanslutningen behöver inte redan ha skapats.Välj Spara.
Håll det här fönstret öppet. Senare i processen går du tillbaka till fönstret och uppdaterar dina federerade autentiseringsuppgifter för appregistrering.
Bevilja behörigheter till den hanterade identiteten
I Azure-portalen går du till den Azure-resurs som du vill bevilja behörigheter för (till exempel en resursgrupp).
Välj Åtkomstkontroll (IAM) .
Välj Lägg till rolltilldelning. Tilldela den nödvändiga rollen till din hanterade identitet (till exempel Deltagare).
Välj Granska och tilldela.
Skapa en tjänstanslutning för hanterad identitetsautentisering
Öppna projektet i Azure DevOps och gå till >Pipelines>Service-anslutningar.
Välj Ny tjänstanslutning.
Välj Azure Resource Manager och välj sedan Nästa.
Välj Arbetsbelastningsidentitetsfederation (manuell) och välj sedan Nästa.
Som Tjänstanslutningsnamn anger du det värde som du använde för Ämnesidentifierare när du skapade dina federerade autentiseringsuppgifter.
För Prenumerations-ID och Prenumerationsnamn anger du värdena för prenumerationen i ditt Azure-portalkonto.
I autentiseringsavsnittet:
För tjänstens huvudnamns-ID anger du värdet för klient-ID från din hanterade identitet.
För Klientorganisations-ID anger du värdet för klient-ID från din hanterade identitet.
I Azure DevOps kopierar du de genererade värdena för utfärdare och ämnesidentifierare.
Gå tillbaka till dina federerade autentiseringsuppgifter för appregistrering i Azure-portalen.
Klistra in värdena för utfärdare och ämnesidentifierare som du kopierade från ditt Azure DevOps-projekt i dina federerade autentiseringsuppgifter i Azure-portalen.
I Azure-portalen väljer du Uppdatera för att spara de uppdaterade autentiseringsuppgifterna.
I Azure DevOps väljer du Verifiera och spara.
Ange att en arbetsbelastningsidentitetstjänstanslutning ska använda autentisering med tjänstens huvudnamn
Du kan behöva skapa ett huvudnamn för tjänsten manuellt som har federerade autentiseringsuppgifter och sedan bevilja de behörigheter som krävs. Du kan också använda REST-API:et för den här processen.
Skapa en appregistrering och federerade autentiseringsuppgifter
Gå till appregistreringar i Azure-portalen.
Välj Ny registrering.
Som Namn anger du ett namn för din appregistrering och väljer sedan Vem kan använda det här programmet eller komma åt det här API:et.
Kopiera värdena för program-ID och katalog-ID (klientorganisation) från appregistreringen för senare användning.
Gå till Hantera>certifikat och hemligheter.
Välj Federerade autentiseringsuppgifter.
Välj Lägg till autentiseringsuppgifter.
Välj scenariot Annan utfärdare.
Ange värden för Utfärdare och Ämnesidentifierare. Du ersätter dessa värden senare när du skapar en tjänstanslutning.
Fält beskrivning Utfärdare Ange https://vstoken.dev.azure.com/<unique-identifier>
.unique-identifier
är GUID för din Azure DevOps-organisation.Ämnesidentifierare Ange sc://<Azure DevOps organization>/<project name>/<service connection name>
. Tjänstanslutningen behöver inte redan ha skapats.Välj Spara.
Håll det här fönstret öppet. Senare i processen går du tillbaka till fönstret och uppdaterar dina federerade autentiseringsuppgifter för appregistrering.
Bevilja behörigheter till appregistreringen
I Azure-portalen går du till den Azure-resurs som du vill bevilja behörigheter för (till exempel en resursgrupp).
Välj Åtkomstkontroll (IAM) .
Välj Lägg till rolltilldelning. Tilldela den nödvändiga rollen till appregistreringen (till exempel Deltagare).
Välj Granska och tilldela.
Skapa en tjänstanslutning för autentisering med tjänstens huvudnamn
Öppna projektet i Azure DevOps och gå till >Pipelines>Service-anslutningar.
Välj Ny tjänstanslutning.
Välj Azure Resource Manager och välj sedan Nästa.
Välj Arbetsbelastningsidentitetsfederation (manuell) och välj sedan Nästa.
För Tjänstanslutningsnamn anger du värdet för Ämnesidentifierare från dina federerade autentiseringsuppgifter.
För Prenumerations-ID och Prenumerationsnamn anger du värdena för prenumerationen i ditt Azure-portalkonto.
I autentiseringsavsnittet:
För tjänstens huvudnamns-ID anger du värdet för program-ID (klient)-ID från din appregistrering.
För Klientorganisations-ID anger du värdet för katalog-ID (klientorganisation) från din appregistrering.
Kopiera de genererade värdena för Utfärdare och Ämnesidentifierare.
Gå tillbaka till dina federerade autentiseringsuppgifter för appregistrering i Azure-portalen.
Klistra in värdena för utfärdare och ämnesidentifierare som du kopierade från ditt Azure DevOps-projekt i dina federerade autentiseringsuppgifter i Azure-portalen.
I Azure-portalen väljer du Uppdatera för att spara de uppdaterade autentiseringsuppgifterna.
I Azure DevOps väljer du Verifiera och spara.