Dela via

Ange en azure Resource Manager-arbetsbelastningsidentitetstjänstanslutning manuellt

  • Artikel

När du felsöker en Azure Resource Manager-arbetsbelastningsidentitetstjänstanslutning kan du behöva konfigurera anslutningen manuellt i stället för att använda det automatiserade verktyg som är tillgängligt i Azure DevOps.

Vi rekommenderar att du provar den automatiserade metoden innan du påbörjar en manuell konfiguration.

Det finns två alternativ för autentisering: använd en hanterad identitet eller använd tjänstens huvudnamn. Fördelen med alternativet hanterad identitet är att du kan använda det om du inte har behörighet att skapa tjänstens huvudnamn eller om du använder en annan Microsoft Entra-klientorganisation än din Azure DevOps-användare.

Ange att en arbetsbelastningsidentitetstjänstanslutning ska använda hanterad identitetsautentisering

Du kan behöva skapa en hanterad identitet manuellt som använder federerade autentiseringsuppgifter och sedan bevilja nödvändiga behörigheter. Du kan också använda REST-API:et för den här processen.

Skapa en hanterad identitet

  1. Logga in på Azure-portalen.

  2. I sökrutan anger du Hanterade identiteter.

  3. Välj Skapa.

  4. I fönstret Skapa användartilldelad hanterad identitet anger eller väljer du värden för följande objekt:

    • Prenumeration: Välj den prenumeration där den användartilldelade hanterade identiteten ska skapas.
    • Resursgrupp: Välj en resursgrupp för att skapa den användartilldelade hanterade identiteten i eller välj Skapa ny för att skapa en ny resursgrupp.
    • Region: Välj en region för att distribuera den användartilldelade hanterade identiteten, till exempel USA, östra.
    • Namn: Ange namnet på din användartilldelade hanterade identitet, till exempel UADEVOPS.

  5. Kopiera värdena för prenumerations-ID och klient-ID för din hanterade identitet för senare användning.

  6. Gå till Egenskaper för inställningar>.

  7. Kopiera klientorganisations-ID-värdet för senare användning.

  8. Gå till Inställningar>Federerade autentiseringsuppgifter.

  9. Välj Lägg till autentiseringsuppgifter.

  10. Välj scenariot Annan utfärdare.

  11. Ange värden för Utfärdare och Ämnesidentifierare. Du ersätter dessa värden senare när du skapar en tjänstanslutning.

    Fält beskrivning
    Utfärdare Ange https://vstoken.dev.azure.com/<unique-identifier>. unique-identifier är GUID för din Azure DevOps-organisation.
    Ämnesidentifierare Ange sc://<Azure DevOps organization>/<project name>/<service connection name>. Tjänstanslutningen behöver inte redan ha skapats.

  12. Välj Spara.

  13. Håll det här fönstret öppet. Senare i processen går du tillbaka till fönstret och uppdaterar dina federerade autentiseringsuppgifter för appregistrering.

Bevilja behörigheter till den hanterade identiteten

  1. I Azure-portalen går du till den Azure-resurs som du vill bevilja behörigheter för (till exempel en resursgrupp).

  2. Välj Åtkomstkontroll (IAM) .

    Skärmbild som visar hur du väljer Åtkomstkontroll på resursmenyn.

  3. Välj Lägg till rolltilldelning. Tilldela den nödvändiga rollen till din hanterade identitet (till exempel Deltagare).

  4. Välj Granska och tilldela.

Skapa en tjänstanslutning för hanterad identitetsautentisering

  1. Öppna projektet i Azure DevOps och gå till >Pipelines>Service-anslutningar.

  2. Välj Ny tjänstanslutning.

  3. Välj Azure Resource Manager och välj sedan Nästa.

  4. Välj Arbetsbelastningsidentitetsfederation (manuell) och välj sedan Nästa.

    Skärmbild som visar hur du väljer arbetsbelastningsidentitetstjänstens anslutning.

  5. Som Tjänstanslutningsnamn anger du det värde som du använde för Ämnesidentifierare när du skapade dina federerade autentiseringsuppgifter.

  6. För Prenumerations-ID och Prenumerationsnamn anger du värdena för prenumerationen i ditt Azure-portalkonto.

    Skärmbild som visar autentiseringsuppgifter för federerade prenumerationer.

  7. I autentiseringsavsnittet:

    1. För tjänstens huvudnamns-ID anger du värdet för klient-ID från din hanterade identitet.

    2. För Klientorganisations-ID anger du värdet för klient-ID från din hanterade identitet.

      Skärmbild som visar hanterade identitetsvärden i Azure-portalen.

  8. I Azure DevOps kopierar du de genererade värdena för utfärdare och ämnesidentifierare.

    Skärmbild som visar DevOps-autentiseringsuppgifter för federerad autentisering.

  9. Gå tillbaka till dina federerade autentiseringsuppgifter för appregistrering i Azure-portalen.

  10. Klistra in värdena för utfärdare och ämnesidentifierare som du kopierade från ditt Azure DevOps-projekt i dina federerade autentiseringsuppgifter i Azure-portalen.

    Skärmbild som visar en jämförelse av federerade autentiseringsuppgifter i Azure DevOps och Azure-portalen.

  11. I Azure-portalen väljer du Uppdatera för att spara de uppdaterade autentiseringsuppgifterna.

  12. I Azure DevOps väljer du Verifiera och spara.

Ange att en arbetsbelastningsidentitetstjänstanslutning ska använda autentisering med tjänstens huvudnamn

Du kan behöva skapa ett huvudnamn för tjänsten manuellt som har federerade autentiseringsuppgifter och sedan bevilja de behörigheter som krävs. Du kan också använda REST-API:et för den här processen.

Skapa en appregistrering och federerade autentiseringsuppgifter

  1. Gå till appregistreringar i Azure-portalen.

  2. Välj Ny registrering.

    Skärmbild som visar en ny appregistrering.

  3. Som Namn anger du ett namn för din appregistrering och väljer sedan Vem kan använda det här programmet eller komma åt det här API:et.

  4. Kopiera värdena för program-ID och katalog-ID (klientorganisation) från appregistreringen för senare användning.

    Skärmbild som visar klient-ID för appregistrering och klient-ID.

  5. Gå till Hantera>certifikat och hemligheter.

  6. Välj Federerade autentiseringsuppgifter.

    Skärmbild som visar fliken med federerade autentiseringsuppgifter.

  7. Välj Lägg till autentiseringsuppgifter.

  8. Välj scenariot Annan utfärdare.

    Skärmbild som visar hur du väljer ett scenario med federerade autentiseringsuppgifter.

  9. Ange värden för Utfärdare och Ämnesidentifierare. Du ersätter dessa värden senare när du skapar en tjänstanslutning.

    Fält beskrivning
    Utfärdare Ange https://vstoken.dev.azure.com/<unique-identifier>. unique-identifier är GUID för din Azure DevOps-organisation.
    Ämnesidentifierare Ange sc://<Azure DevOps organization>/<project name>/<service connection name>. Tjänstanslutningen behöver inte redan ha skapats.

  10. Välj Spara.

  11. Håll det här fönstret öppet. Senare i processen går du tillbaka till fönstret och uppdaterar dina federerade autentiseringsuppgifter för appregistrering.

Bevilja behörigheter till appregistreringen

  1. I Azure-portalen går du till den Azure-resurs som du vill bevilja behörigheter för (till exempel en resursgrupp).

  2. Välj Åtkomstkontroll (IAM) .

    Skärmbild som visar hur du väljer Åtkomstkontroll på resursmenyn.

  3. Välj Lägg till rolltilldelning. Tilldela den nödvändiga rollen till appregistreringen (till exempel Deltagare).

  4. Välj Granska och tilldela.

Skapa en tjänstanslutning för autentisering med tjänstens huvudnamn

  1. Öppna projektet i Azure DevOps och gå till >Pipelines>Service-anslutningar.

  2. Välj Ny tjänstanslutning.

  3. Välj Azure Resource Manager och välj sedan Nästa.

  4. Välj Arbetsbelastningsidentitetsfederation (manuell) och välj sedan Nästa.

    Skärmbild som visar hur du väljer arbetsbelastningens identitetstjänstanslutning.

  5. För Tjänstanslutningsnamn anger du värdet för Ämnesidentifierare från dina federerade autentiseringsuppgifter.

  6. För Prenumerations-ID och Prenumerationsnamn anger du värdena för prenumerationen i ditt Azure-portalkonto.

    Skärmbild som visar autentiseringsuppgifter för federerade prenumerationer.

  7. I autentiseringsavsnittet:

    1. För tjänstens huvudnamns-ID anger du värdet för program-ID (klient)-ID från din appregistrering.

    2. För Klientorganisations-ID anger du värdet för katalog-ID (klientorganisation) från din appregistrering.

  8. Kopiera de genererade värdena för Utfärdare och Ämnesidentifierare.

    Skärmbild som visar DevOps-autentiseringsuppgifter för federerad autentisering.

  9. Gå tillbaka till dina federerade autentiseringsuppgifter för appregistrering i Azure-portalen.

  10. Klistra in värdena för utfärdare och ämnesidentifierare som du kopierade från ditt Azure DevOps-projekt i dina federerade autentiseringsuppgifter i Azure-portalen.

    Skärmbild av en jämförelse av federerade autentiseringsuppgifter i Azure DevOps och Azure-portalen.

  11. I Azure-portalen väljer du Uppdatera för att spara de uppdaterade autentiseringsuppgifterna.

  12. I Azure DevOps väljer du Verifiera och spara.