Azure 資源可以使用使用者指派的受控識別,向雲端服務進行驗證。 此程式類似於使用 Azure 金鑰保存庫,但您不需要將認證儲存在程式碼中。 您可以將這些類型的受控識別建立為獨立 Azure 資源,而且它們有自己的生命週期。 單一資源,例如虛擬機器 (VM),可以利用多個使用者指派的受控識別。 同樣地,多個資源可以共用單一使用者指派的受控識別。
建立一個身分,並將其註冊到管理的DevOps資源池
受控識別必須與 Azure DevOps 組織位於相同的Microsoft Entra 目錄中。
- 在 Azure 入口網站 中檢視您目前的目錄。
-
檢視 Azure DevOps 組織的目錄。 您可以使用您自己的資訊修改此範例 URL,以直接移至 Azure DevOps 入口網站中的此頁面:
https://dev.azure.com/<your-organization>/_settings/organizationAad。
如果這兩個目錄不相符,或您的 Azure DevOps 組織未連線到 Microsoft Entra,請遵循將 組織連線到 Microsoft Entra ID 中的步驟。 連線到 Azure 訂用帳戶使用的相同目錄。
在 Azure 入口網站中搜尋受控識別。 從可用選項中選取受控識別,然後選取建立。 請確定您已登入上一節中指定的租使用者。 如果沒有,您必須切換至具有該租戶存取權的 Azure 帳戶,或切換 Azure DevOps 組織的租戶。 您可以在搜尋列上搜尋 Microsoft Entra ID,以檢視目前的租用戶識別碼。 您也可以使用 Azure 入口網站左上角的功能表,移至 Microsoft Entra ID 選項。
![螢幕擷取畫面,顯示受控識別中的 [建立] 按鈕。](media/prerequisites/create-identity-button.png?view=azure-devops)
選取 [訂用帳戶]、[ 資源群組]、[ 區域] 和 [名稱] 所需的選項,然後選取 [檢閱 + 建立]。
![螢幕擷取畫面,顯示 [建立使用者指派的受控識別] 視窗。](media/prerequisites/create-identity.png?view=azure-devops)
在確認視窗中,選取 建立。
移至 Azure 入口網站中的集區,然後選取 [ 設定>] [身分識別>] [新增]。
選取您的訂用帳戶。 從清單中選取受控識別,然後選取 [新增]。
![顯示 [新增身分識別] 窗格的螢幕擷取畫面。](media/configure-identity/add-identity.png?view=azure-devops)
與 Azure 金鑰保存庫整合
您可以在代理程式佈建期間,使用受控的 DevOps 資源池從 Azure 金鑰保存庫擷取憑證。 當您的 Azure DevOps 管線執行時,憑證已經存在於電腦上。 若要使用此功能,請將身分識別新增至集區,如上一個範例所示,然後將 金鑰保存庫秘密使用者 角色指派給身分識別。
Azure 金鑰保存庫整合是在 設定>安全性中設定。 如需詳細資訊,請參閱 設定安全性:Azure 金鑰保存庫整合。
