Définir manuellement une connexion de service Azure Resource Manager avec un secret

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

Cet article vous guide tout au long de la création manuelle d’une connexion de service Azure Resource Manager (ARM) pour l’authentification du principal de service avec un secret dans Azure DevOps. Utilisez cette approche lorsque vous ne pouvez pas utiliser l’ID Microsoft Entra en raison de limitations organisationnelles. Par exemple, utilisez un secret lorsque la fédération d’identité de charge de travail n’est pas prise en charge pour votre locataire Microsoft Entra ID ou lorsque vous avez des inscriptions d’applications mutualisées.

Pour d’autres scénarios, utilisez la fédération d’identité de charge de travail avec un enregistrement d’application ou une identité managée. La fédération des identités de charge de travail élimine le besoin de secrets et de gestion des secrets. Pour en savoir plus, consultez Se connecter à Azure avec une connexion de service ARM.

Conditions préalables à l'authentification via un enregistrement d'application

• Pour créer une connexion de service, votre compte Azure doit être autorisé à créer des inscriptions d’applications.
  • Si cette fonction est désactivée dans votre locataire, vous devrez posséder le rôle de développeur d'applications pour créer ces enregistrements.

Créer une inscription d’application dans le portail Azure

1. Dans le portail Azure, recherchez enregistrements d’application.

2. Sélectionnez Nouvelle inscription.

   

3. Pour Nom, entrez un nom pour l’inscription de votre application, puis sélectionnez Qui peut utiliser cette application ou accéder à cette API.

4. Sélectionnez Inscrire.

5. Lorsque votre nouvel enregistrement d’application est chargé, copiez les valeurs pour ID d’application (client) et ID de répertoire (locataire) pour les utiliser plus tard.

6. Dans l’inscription de votre application, sélectionnez Certificats et secrets.

7. Sélectionnez Clés secrètes client, puis Nouveau clé secrète client. Apportez une description du secret et indiquez sa durée. Après avoir enregistré la clé secrète client, la valeur de la clé secrète client s’affiche. Cette valeur n’est affichée qu’une seule fois. Copiez et stockez-la. Vous utiliserez la valeur secrète dans votre connexion ARM.

8. Sélectionnez Ajouter.

Accorder des autorisations à l’enregistrement d’application dans le portail Azure

1. Dans le portail Azure, accédez à l’abonnement Azure, au groupe d’administration ou à l’espace de travail Machine Learning pour lequel vous souhaitez accorder des autorisations.

2. Sélectionnez Contrôle d’accès (IAM).

3. Sélectionnez Ajouter une attribution de rôle. Attribuez le rôle Lecteur à l’enregistrement de l’application.

4. Sélectionnez Vérifier et attribuer.

Créez une connexion de service pour authentifier l'enregistrement d'applications dans Azure DevOps.

1. Dans Azure DevOps, ouvrir votre projet et accéder à >Connexions de service>pipelines.

2. Sélectionnez Nouvelle connexion de service.

3. Sélectionnez Azure Resource Manager.

4. Sélectionnez le type d’identité Inscription d'application ou identité gérée (manuel) et l'identifiant Secret.

5. Entrez ou sélectionnez les paramètres suivants pour l’abonnement :

   1. Sélectionnez le niveau d’étendue. Sélectionnez Un abonnement, un groupe d’administration ou un espace de travail Machine Learning. Les groupes d’administration sont des conteneurs qui vous aident à gérer l’accès, la stratégie et la conformité entre plusieurs abonnements. Un espace de travail Machine Learning est un lieu pour créer des objets de machine learning.

      • Pour l’étendue de l’abonnement , entrez les paramètres suivants :

        Paramètre	Descriptif
        ID d’abonnement	Obligatoire. Entrez l’ID de l’abonnement Azure.
        Nom de l’abonnement	Obligatoire. Entrez le nom de l’abonnement Azure.

      • Pour l’étendue du groupe d’administration , entrez les paramètres suivants :

        Paramètre	Descriptif
        ID du groupe d’administration	Obligatoire. Entrez l’ID du groupe d’administration Azure.
        Nom du groupe d’administration	Obligatoire. Entrez le nom du groupe d’administration Azure.

      • Pour l’étendue de l’espace de travail Machine Learning , entrez les paramètres suivants :

        Paramètre	Descriptif
        ID d’abonnement	Obligatoire. Entrez l’ID de l’abonnement Azure.
        Nom de l’abonnement	Obligatoire. Entrez le nom de l’abonnement Azure.
        Groupe de ressources	Obligatoire. Sélectionnez le groupe de ressources contenant l’espace de travail.
        Nom de l’espace de travail ML	Obligatoire. Entrez le nom de l’espace de travail Azure Machine Learning existant.
        Emplacement de l’espace de travail ML	Obligatoire. Entrez l’emplacement de l’espace de travail Azure Machine Learning existant.

   2. Dans la section Authentification , entrez ou sélectionnez les paramètres suivants :

      Paramètre	Descriptif
      ID d’application (client)	Obligatoire. Entrez l'ID de l'application (client) pour l'enregistrement de votre application.
      ID de l’annuaire (locataire)	Obligatoire. Renseignez l'ID du répertoire (locataire) associé à l'enregistrement de votre application.

6. Pour informations d’identification, sélectionnez clé de principal de service. Entrez la valeur secrète dans le champ Secret client .

7. Dans la section Sécurité, en sélectionnant l’option Accorder l’accès à tous les pipelines, tous les pipelines peuvent utiliser cette connexion. Cette option n’est pas recommandée. Au lieu de cela, autorisez chaque pipeline individuellement à utiliser la connexion de service.

8. Sélectionnez Vérifier et enregistrer. Lorsque cette étape est terminée avec succès, votre connexion de service Azure Resource Manager est entièrement configurée.