手動設定 Azure Resource Manager 工作負載識別服務連線

Azure DevOps Services |Azure DevOps Server 2022 - Azure DevOps Server 2019

注意

我們正在推出新的 Azure 服務連線建立體驗。 在您的組織中接收它取決於各種因素，您仍然可能會看到較舊的用戶體驗。

當您 針對 Azure Resource Manager 工作負載身分識別服務連線進行疑難解答時，您可能需要手動設定連線，而不是使用 Azure DevOps 中提供的自動化工具。

建議先嘗試自動化方法，再開始手動設定。

驗證有兩個選項：使用受控識別或使用應用程式註冊。 受控識別選項的優點在於，如果您沒有建立服務主體的許可權，或者您使用的 Microsoft Entra 租戶與 Azure DevOps 使用者不同，仍然可以使用此選項。

設置工作負載身份驗證服務連線

受控識別

若要手動設定 Azure Pipelines 的受控識別驗證，請遵循下列步驟，在 Azure 入口網站 中建立受控識別、在 Azure DevOps 中建立服務連線、新增同盟認證，以及授與必要的許可權。 您必須依照此順序遵循下列步驟：

1. 在 Azure 入口網站 中建立受控識別。
2. 在 Azure DevOps 中建立服務連線，並儲存為草稿。
3. 在 Azure 入口網站 中，將同盟認證新增至您的受控識別。
4. 在 Azure 入口網站 中將許可權授與受控識別。
5. 在 Azure DevOps 中儲存您的服務連線。

您也可以針對此程式使用 REST API。

受控識別驗證的必要條件

• 若要建立使用者指派的受控識別，您的 Azure 帳戶需要 受控識別參與者 或更高的角色指派。
• 若要使用受控識別來存取管線中的 Azure 資源， 請將受控識別存取權指派給資源。

在 Azure 入口網站 中建立受控識別

1. 登入 Azure 入口網站。

2. 在搜尋方塊中，輸入受控識別。

3. 選取 建立。

4. 在 [ 建立使用者指派的受控識別 ] 窗格中，輸入或選取下列專案的值：

   • 訂閱：選取要在其中建立使用者指派受控身分識別的訂閱。
   • 資源群組：選取資源群組以在 中建立使用者指派的受控識別，或選取 [ 新建 ] 以建立新的資源群組。
   • 區域：選取區域以部署使用者指派的受控識別（例如： 美國東部）。
   • 名稱：輸入使用者指派受控識別的名稱（例如： UADEVOPS）。

5. 選取 [ 檢閱 + 建立 ] 以建立新的受控識別。 當部署完成時，請選取 [前往資源]。

6. 複製受控識別的訂用帳戶、訂用帳戶標識碼和用戶端標識碼值，以供稍後使用。

7. 在 Azure 入口網站的受控識別中，移至 設定>屬性。

8. 複製 [ 租用戶標識符 ] 值，以供稍後使用。

在 Azure DevOps 中建立受控識別驗證的服務連線

1. 在 Azure DevOps 中，開啟您的專案並移至 >[管線>服務連線]。

2. 選取 [新增服務連線]。

3. 選取 [Azure Resource Manager]。

4. 選取身分識別類型 應用程式註冊或手動受控識別 的 工作負載身分識別同盟 認證。

   

5. 針對 [服務連線名稱]，輸入值，例如 uamanagedidentity。 您將在同盟認證主體標識碼中使用此值。

6. 選取 [下一步]。

7. 在 步驟 2：應用程式註冊詳細資料中：

   步驟 2：應用程式註冊詳細數據 包含下列參數。 您可以輸入或選取下列參數：

   參數	描述
   簽發者	必要。 DevOps 會自動建立簽發者 URL。
   主體標識碼	必要。 DevOps 會自動建立主體標識碼。
   環境	必要。 選擇要連線的雲端環境。 如果您選取 [Azure Stack]，請輸入環境 URL，其類似 https://management.local.azurestack.external。

   1. 選取 [ 範圍層級]。 選取 [訂用帳戶]、[管理群組] 或 [機器學習 工作區]。 管理群組 是可協助您跨多個訂用帳戶管理存取、原則和合規性的容器。 機器學習 工作區可用來建立機器學習成品。

      • 針對 [ 訂用帳戶 ] 範圍，輸入下列參數：

        參數	描述
        訂用帳戶標識碼	必要。 輸入 Azure 訂用帳戶標識碼。
        訂用帳戶名稱	必要。 輸入 Azure 訂用帳戶名稱。

      • 針對 [ 管理群組 ] 範圍，輸入下列參數：

        參數	描述
        管理群組標識碼	必要。 輸入 Azure 管理群組識別碼。
        管理組名	必要。 輸入 Azure 管理組名。

      • 針對 [機器學習 工作區] 範圍，輸入下列參數：

        參數	描述
        訂用帳戶標識碼	必要。 輸入 Azure 訂用帳戶標識碼。
        訂用帳戶名稱	必要。 輸入 Azure 訂用帳戶名稱。
        資源群組	必要。 選取包含工作區的資源群組。
        ML 工作區名稱	必要。 輸入現有 Azure 機器學習 工作區的名稱。
        ML 工作區位置	必要。 輸入現有 Azure 機器學習 工作區的位置。

   2. 在 [ 驗證] 區段中，輸入或選取下列參數：

      參數	描述
      應用程式 (用戶端) 識別碼	必要。 輸入受控識別的用戶端標識碼。
      租戶 (目錄) ID	必要。 輸入受控識別中的租戶 ID。

   3. 在 [ 安全性] 區段中，選取 [ 授與所有管線的訪問許可權 ] 可讓所有管線使用此聯機。 不建議使用此選項。 相反地，請為每個管線個別授權使用服務連線。

8. 在 Azure DevOps 中，複製產生的值：簽發者和主體識別碼。

9. 選取 [ 保留為草稿 ] 以儲存草稿認證。 在您的受管理的身分識別在 Azure 入口中具有聯邦憑證之前，您無法完成設置。

在 Azure 入口網站 中新增同盟認證

1. 在新的瀏覽器視窗中，在 Azure 入口網站 的受控識別中，移至 [設定>同盟認證]。

2. 選取 [ 新增認證]。

3. 選取 [ 其他簽發者 ] 案例。

4. 將您從 Azure DevOps 專案複製的 發行者 和 主體識別碼 值貼到 Azure 入口網站中的同盟憑證。 針對 [類型]，選取 [明確主體標識符]。

   

5. 輸入您的聯邦憑證的名稱。

6. 選取 [新增]。

在 Azure 入口網站 中將許可權授與受控識別

1. 在 Azure 入口網站 中，移至您想要授與許可權的 Azure 資源（例如資源群組）。

2. 選取 存取控制 (IAM)。

   

3. 點擊新增角色指派。 將必要的角色指派給受控的身份（例如貢獻者）。

4. 選擇檢閱並指派。

儲存您的 Azure DevOps 服務連線

1. 在 Azure DevOps 中，返回您的草案服務連線。

2. 選取 [ 完成設定]。

3. 選擇 確認並儲存。 一旦此步驟順利完成，您的受控識別就會完全設定。

應用程式註冊

本節會引導您在 Azure 入口網站 中設定應用程式註冊和同盟認證、在 Azure DevOps 中建立服務主體驗證的服務連線、將同盟認證新增至您的應用程式註冊，以及授與必要的許可權。 應用程式註冊會使用服務主體驗證。 您必須依照下列順序完成這些步驟：

1. 在 Azure 入口網站 中使用服務主體驗證建立應用程式註冊。
2. 在 Azure DevOps 中建立服務連線，並儲存為草稿。
3. 在 Azure 入口網站 中將同盟認證新增至您的應用程式註冊。
4. 在 Azure 入口中授權應用程式註冊。
5. 在 Azure DevOps 中儲存您的服務連線。

您也可以針對此程式使用 REST API。

應用程式註冊驗證的必要條件

• 若要建立服務連線，您的 Azure 帳戶必須能夠建立應用程式註冊。
  • 如果在您的租戶中 已停用應用程式註冊的建立功能，則您需要具備應用程式開發人員角色才能建立應用程式註冊。

在 Azure 入口網站 中建立應用程式註冊和同盟認證

1. 在 Azure 入口網站 中，搜尋應用程式註冊。

2. 選取 [新增註冊]。

   

3. 針對 [ 名稱]，輸入應用程式註冊的名稱，然後選取 [誰可以使用此應用程式或存取此 API]。

4. 選取註冊。

5. 當您的新應用程式註冊載入時，請複製應用程式 （用戶端） 識別碼和目錄 （租使用者） 識別碼的值，以供稍後使用。

   

在 Azure DevOps 中建立應用程式註冊驗證的服務連線

1. 在 Azure DevOps 中，開啟您的專案並移至 >[管線>服務連線]。

2. 選取 [新增服務連線]。

3. 選取 [Azure Resource Manager]。

4. 選取身分識別類型 應用程式註冊或手動受控識別 的 工作負載身分識別同盟 認證。

   

5. 針對 [服務連線名稱]，輸入值，例如 uaappregistration。 您將在同盟認證主體標識碼中使用此值。

6. 選取 [下一步]。

7. 在 步驟 2：應用程式註冊詳細資料中：

   步驟 2：應用程式註冊詳細數據 包含下列參數。 您可以輸入或選取下列參數：

   參數	描述
   簽發者	必要。 DevOps 會自動建立簽發者 URL。
   主體標識碼	必要。 DevOps 會自動建立主體標識碼。
   環境	必要。 選擇要連線的雲端環境。 如果您選取 [Azure Stack]，請輸入環境 URL，其類似 https://management.local.azurestack.external。

   1. 選取 [ 範圍層級]。 選取 [訂用帳戶]、[管理群組] 或 [機器學習 工作區]。 管理群組 是可協助您跨多個訂用帳戶管理存取、原則和合規性的容器。 機器學習 工作區可用來建立機器學習成品。

      • 針對 [ 訂用帳戶 ] 範圍，輸入下列參數：

        參數	描述
        訂用帳戶標識碼	必要。 輸入 Azure 訂用帳戶標識碼。
        訂用帳戶名稱	必要。 輸入 Azure 訂用帳戶名稱。

      • 針對 [ 管理群組 ] 範圍，輸入下列參數：

        參數	描述
        管理群組標識碼	必要。 輸入 Azure 管理群組識別碼。
        管理組名	必要。 輸入 Azure 管理組名。

      • 針對 [機器學習 工作區] 範圍，輸入下列參數：

        參數	描述
        訂用帳戶標識碼	必要。 輸入 Azure 訂用帳戶標識碼。
        訂用帳戶名稱	必要。 輸入 Azure 訂用帳戶名稱。
        資源群組	必要。 選取包含工作區的資源群組。
        ML 工作區名稱	必要。 輸入現有 Azure 機器學習 工作區的名稱。
        ML 工作區位置	必要。 輸入現有 Azure 機器學習 工作區的位置。

   2. 在 [ 驗證] 區段中，輸入或選取下列參數：

      參數	描述
      應用程式 (用戶端) 識別碼	必要。 輸入應用程式註冊的應用程式 （用戶端） 識別碼。
      租戶 (目錄) ID	必要。 輸入應用程式註冊的目錄（租戶）識別碼。

   3. 在 [ 安全性] 區段中，選取 [ 授與所有管線的訪問許可權 ] 可讓所有管線使用此聯機。 不建議使用此選項。 相反地，請為每個管線個別授權使用服務連線。

8. 在 Azure DevOps 中，複製產生的值：簽發者和主體識別碼。

9. 選取 [ 保留為草稿 ] 以儲存草稿認證。 在您的受管理的身分識別在 Azure 入口中具有聯邦憑證之前，您無法完成設置。

在 Azure 入口網站 中將同盟認證新增至您的應用程式註冊

1. 在 Azure 入口網站 中，開啟您的應用程式註冊，然後移至 [管理>憑證和秘密]。

2. 選擇 同盟認證。

   

3. 選取 [ 新增認證]。

4. 選取 [ 其他簽發者 ] 案例。

   

5. 將您從 Azure DevOps 專案複製的 發行者 和 主體識別碼 值貼到 Azure 入口網站中的同盟憑證。 針對 [類型]，選取 [明確主體標識符]。

   

6. 選取儲存。

在 Azure 入口網站 中將許可權授與應用程式註冊

1. 在 Azure 入口網站 中，移至您想要授與許可權的 Azure 資源（例如資源群組）。

2. 選取 存取控制 (IAM)。

   

3. 點擊新增角色指派。 將必要的角色指派給應用程式註冊（例如參與者）。

4. 選擇檢閱並指派。

儲存您的應用程式註冊 Azure DevOps 服務連線

1. 在 Azure DevOps 中，返回您的草案服務連線。

2. 選取 [ 完成設定]。

3. 選擇 確認並儲存。 當此步驟成功完成時，您的 Azure Resource Manager 服務連線已完全設定。