Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Advertencia
No se recomienda usar un secreto que requiera rotación y administración manuales. La federación de identidades de carga de trabajo es el tipo de credencial preferido. Si no necesita usar un secreto debido a las limitaciones de la organización, use la federación de identidades de carga de trabajo con un registro de aplicación o una identidad administrada.
Este artículo le guía a través de la creación manual de una conexión de servicio de Azure Resource Manager (ARM) para la autenticación de entidad de servicio con un secreto en Azure DevOps. Use este enfoque cuando no pueda usar microsoft Entra ID debido a limitaciones de la organización. Por ejemplo, use un secreto cuando no se admita la federación de identidades de carga de trabajo para el tenant de Microsoft Entra ID o cuando tenga registros de aplicaciones multiinquilino.
En otros escenarios, use la federación de identidades de carga de trabajo con un registro de aplicación o una identidad administrada. La federación de identidades de carga de trabajo elimina la necesidad de secretos y de administración de secretos. Para obtener más información, consulte Conectar a Azure con una conexión de servicio ARM.
Requisitos previos para la autenticación de registro de aplicaciones
- Para crear una conexión de servicio, la cuenta de Azure necesita permiso para crear registros de aplicaciones.
- Si la creación de registros de aplicaciones está deshabilitada en el inquilino, debe tener el rol de Desarrollador de aplicaciones para crear registros de aplicaciones.
Creación de un registro de aplicaciones en Azure Portal
En el portal de Azure, busque Registros de aplicaciones.
Seleccione Nuevo registro.
En Nombre, escriba un nombre para el registro de la aplicación y, después, seleccione Quién puede usar esta aplicación o acceder a esta API.
Seleccione Registrar.
Cuando se cargue el nuevo registro de aplicación, copie los valores del ID de aplicación (cliente) y el ID de directorio (inquilino) para usarlos más adelante.
En el registro de la aplicación, seleccione Certificados y secretos.
Seleccione Secretos de cliente y, luego, Nuevo secreto de cliente. Proporcione una descripción y duración del secreto. Después de guardar el secreto de cliente, se muestra el valor del secreto de cliente. Este valor solo se muestra una vez, por lo que copiarlo y almacenarlo. Usará el valor secreto en su conexión de ARM.
Selecciona Agregar.
Conceder permisos al registro de aplicación en el portal de Azure
En Azure Portal, vaya a la suscripción de Azure, al grupo de administración o al área de trabajo de Machine Learning para la que desea conceder permisos.
Seleccione Control de acceso (IAM).
Seleccione Agregar asignación de roles. Asigne el rol de Lector al registro de la aplicación.
Seleccione Revisar y asignar.
Creación de una conexión de servicio para la autenticación de registro de aplicaciones en Azure DevOps
En Azure DevOps, abra su proyecto y vaya a
>Pipelines> Conexiones de servicio.Seleccione Nueva conexión de servicio.
Seleccione Azure Resource Manager.
Seleccione el tipo de identidad Registro de aplicaciones o Identidad administrada (manual) y la credencial secreta .
Escriba o seleccione los parámetros siguientes para la suscripción:
Seleccione el nivel de ámbito. Seleccione Suscripción, Grupo de administración o Área de trabajo de Machine Learning. Los grupos de administración son contenedores que le ayudan a administrar el acceso, la directiva y el cumplimiento en varias suscripciones. Un área de trabajo de Machine Learning es un lugar para crear artefactos de aprendizaje automático.
En el ámbito Suscripción , escriba los parámetros siguientes:
Parámetro Description Identificador de suscripción Obligatorio. Escriba el ID de suscripción de Azure. Nombre de la suscripción Obligatorio. Escriba el nombre de la suscripción de Azure. En el ámbito grupo de administración , escriba los parámetros siguientes:
Parámetro Description Id. de grupo de administración Obligatorio. Escriba el identificador del grupo de administración de Azure. Nombre del grupo de administración Obligatorio. Escriba el nombre del grupo de administración de Azure. En el ámbito del área de trabajo de Machine Learning escriba los siguientes parámetros:
Parámetro Description Identificador de suscripción Obligatorio. Escriba el ID de suscripción de Azure. Nombre de la suscripción Obligatorio. Escriba el nombre de la suscripción de Azure. Grupo de recursos Obligatorio. Seleccione el grupo de recursos que contiene el área de trabajo. Nombre del área de trabajo de ML Obligatorio. Escriba el nombre del área de trabajo de Azure Machine Learning existente. Ubicación del área de trabajo de ML Obligatorio. Escriba la ubicación del área de trabajo de Azure Machine Learning existente.
En la sección Autenticación , escriba o seleccione los parámetros siguientes:
Parámetro Description Id. de la aplicación (cliente) Obligatorio. Introduzca el ID de la aplicación (cliente) del registro de la aplicación. Id. de directorio (inquilino) Obligatorio. Introduzca el ID de directorio (inquilino) del registro de la aplicación.
En Credencial, seleccione Clave de servicio principal. Escriba el valor del secreto en el campo Secreto de cliente .
En la sección Seguridad , seleccione Conceder permiso de acceso a todas las canalizaciones para permitir que todas las canalizaciones usen esta conexión. No se recomienda esta opción. En su lugar, autorice cada canalización individualmente para usar la conexión de servicio.
Seleccione Comprobar y guardar. Cuando este paso finalice correctamente, la conexión de servicio de Azure Resource Manager estará totalmente configurada.