Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Warnung
Die Verwendung eines Geheimnisses, das eine manuelle Rotation und Verwaltung erfordert, wird nicht empfohlen. Der Workload-Identitätsverbund ist der bevorzugte Anmeldeinformationstyp. Wenn Sie aufgrund von Organisationsbeschränkungen keinen geheimen Schlüssel verwenden müssen, verwenden Sie den Workload-Identitätsverbund entweder mit einer App-Registrierung oder verwalteter Identität.
Dieser Artikel führt Sie durch das manuelle Erstellen einer Azure Resource Manager (ARM)-Dienstverbindung für die Dienstprinzipalauthentifizierung mit einem geheimen Schlüssel in Azure DevOps. Verwenden Sie diesen Ansatz, wenn Sie microsoft Entra-ID aufgrund von Organisationseinschränkungen nicht verwenden können. Verwenden Sie z. B. einen geheimen Schlüssel, wenn der Workload-Identitätsverbund für Ihren Microsoft Entra ID-Mandanten nicht unterstützt wird oder wenn Sie über mehrinstanzenfähige App-Registrierungen verfügen.
Verwenden Sie für andere Szenarien den Workload-Identitätsverbund entweder mit einer App-Registrierung oder verwalteter Identität. Der Workload-Identitätsverbund beseitigt die Notwendigkeit für Geheimnisse und Geheimnisverwaltung. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Azure mit einer ARM-Dienstverbindung.
Voraussetzungen für die App-Registrierungsauthentifizierung
- Zum Erstellen einer Dienstverbindung benötigt Ihr Azure-Konto die Berechtigung zum Erstellen von App-Registrierungen.
- Wenn das Erstellen von App-Registrierungen in Ihrem Mandanten deaktiviert ist, benötigen Sie die Rolle „Anwendungsentwickler”, um Anwendungsregistrierungen zu erstellen.
Erstellen einer App-Registrierung im Azure-Portal
Suchen Sie im Azure-Portal nach App-Registrierungen.
Wählen Sie Neue Registrierung aus.
Geben Sie unter "Name" einen Namen für Ihre App-Registrierung ein, und wählen Sie dann " Wer kann diese Anwendung verwenden oder auf diese API zugreifen" aus.
Wählen Sie Registrieren aus.
Sobald Ihre neue App-Registrierung geladen wurden, kopieren Sie die Werte für Anwendungs-(Client-)ID und Verzeichnis-(Tenant-)ID zur späteren Verwendung.
Wählen Sie in Ihrer App-Registrierung Zertifikate und Geheime Schlüssel aus.
Wählen Sie Geheime Clientschlüssel und dann Neuer geheimer Clientschlüssel aus. Geben Sie eine Beschreibung des geheimen Schlüssels und eine Dauer ein. Nachdem Sie den geheimen Clientschlüssel gespeichert haben, wird der Wert des geheimen Clientschlüssels angezeigt. Dieser Wert wird nur einmal angezeigt, sodass er kopiert und gespeichert wird. Sie verwenden den geheimen Wert in Ihrer ARM-Verbindung.
Wählen Sie Hinzufügen aus.
Erteilen von Berechtigungen für die App-Registrierung im Azure-Portal
Wechseln Sie im Azure-Portal zum Azure-Abonnement, zur Verwaltungsgruppe oder zum maschinellen Lernen, für die Sie Berechtigungen erteilen möchten.
Wählen Sie Zugriffssteuerung (IAM) aus.
Wählen Sie "Rollenzuweisung hinzufügen" aus. Weisen Sie der App-Registrierung die Leserolle zu.
Wählen Sie Überprüfen und zuweisen aus.
Erstellen einer Dienstverbindung für die App-Registrierungsauthentifizierung in Azure DevOps
Öffnen Sie Ihr Projekt in Azure DevOps, und wechseln Sie zu
>Pipelines>Dienstverbindungen.Wählen Sie Neue Dienstverbindung aus.
Wählen Sie Azure Resource Manager aus.
Wählen Sie die Identitätstyp-App-Registrierung oder verwaltete Identität (manuell) und die geheimen Anmeldeinformationen aus.
Geben Sie die folgenden Parameter für das Abonnement ein, oder wählen Sie sie aus:
Wählen Sie die Bereichsebene aus. Wählen Sie Abonnement, Verwaltungsgruppe oder Machine Learning-Arbeitsbereich aus. Bei Verwaltungsgruppen handelt es sich um Container, mit denen Sie Zugriff, Richtlinien und Konformität abonnementübergreifend verwalten können. Ein Machine Learning-Arbeitsbereich ist ein Ort zum Erstellen von Machine Learning-Artefakten.
Geben Sie für den Abonnementbereich die folgenden Parameter ein:
Parameter Description Abonnement-ID Erforderlich. Geben Sie die ID des Azure-Abonnements ein. Abonnementname Erforderlich. Geben Sie den Azure-Abonnementnamen ein. Geben Sie für den Bereich Verwaltungsgruppe die folgenden Parameter ein:
Parameter Description Verwaltungsgruppen-ID Erforderlich. Geben Sie die ID der Azure-Verwaltungsgruppe ein. Verwaltungsgruppenname Erforderlich. Geben Sie den Azure-Verwaltungsgruppennamen ein. Geben Sie für den Bereich Machine Learning-Arbeitsbereich die folgenden Parameter ein:
Parameter Description Abonnement-ID Erforderlich. Geben Sie die ID des Azure-Abonnements ein. Abonnementname Erforderlich. Geben Sie den Azure-Abonnementnamen ein. Ressourcengruppe Erforderlich. Wählen Sie die Ressourcengruppe aus, die den Arbeitsbereich enthält. ML-Arbeitsbereichsname Erforderlich. Geben Sie den Namen des vorhandenen Azure Machine Learning-Arbeitsbereichs ein. Standort des ML-Arbeitsbereichs Erforderlich. Geben Sie den Standort des vorhandenen Azure Machine Learning-Arbeitsbereichs ein.
Geben Sie im Abschnitt Authentifizierung die folgenden Parameter ein, oder wählen Sie sie aus:
Parameter Description Anwendungs-ID (Client) Erforderlich. Geben Sie die Anwendungs-ID (Client-ID) für Ihre App-Registrierung ein. Verzeichnis-ID (Mandant) Erforderlich. Geben Sie die Verzeichnis-ID (Mandanten-ID) für Ihre App-Registrierung ein.
Wählen Sie für Anmeldeinformationenden Dienstprinzipalschlüssel aus. Geben Sie den geheimen Wert im Feld "Geheimer Clientschlüssel " ein.
Im Abschnitt "Sicherheit " können alle Pipelines diese Verbindung verwenden, indem Sie " Zugriffsberechtigung für alle Pipelines erteilen " auswählen. Von der Verwendung dieser Option wird abgeraten. Autorisieren Sie stattdessen jede Pipeline einzeln, um die Dienstverbindung zu verwenden.
Klicken Sie auf Verify and save. Wenn dieser Schritt erfolgreich abgeschlossen ist, ist Ihre Azure Resource Manager-Dienstverbindung vollständig konfiguriert.