Aangepast beleid implementeren met GitHub Actions

Met GitHub Actions kunt u aangepaste werkstromen voor continue integratie (CI) en continue implementatie (CD) rechtstreeks in uw GitHub-opslagplaats maken. In dit artikel wordt beschreven hoe u de implementatie van aangepaste beleidsregels van Azure Active Directory B2C (Azure AD B2C) automatiseert met behulp van GitHub Actions.

Als u het implementatieproces voor aangepast beleid wilt automatiseren, gebruikt u de GitHub Action voor het implementeren van aangepaste Azure AD B2C-beleidsregels. Deze GitHub Action is ontwikkeld door de Azure AD B2C-community.

Met deze actie wordt aangepast Azure AD B2C-beleid geïmplementeerd in uw Azure AD B2C-tenant met behulp van de Microsoft Graph API. Als het beleid nog niet bestaat in uw tenantomgeving, zal het worden aangemaakt. Anders wordt deze vervangen.

Vereiste voorwaarden

• Voltooi de stappen in Aan de slag met aangepaste policies in Active Directory B2C.
• Als u nog geen GitHub-opslagplaats hebt gemaakt, maakt u er een.

Een aangepaste map met beleidsregels selecteren

Uw GitHub-opslagplaats kan al uw Azure AD B2C-beleidsbestanden en andere assets bevatten. Maak of kies in de hoofdmap van uw opslagplaats een bestaande map die uw aangepaste beleid bevat.

Selecteer bijvoorbeeld een map met de naam Beleid. Voeg uw aangepaste Azure AD B2C-beleidsbestanden toe aan de map met beleidsregels . Voer vervolgens de wijzigingen door .

Niet de wijzigingen pushen. U doet dit later nadat u de implementatiewerkstroom hebt ingesteld.

Een Microsoft Graph-toepassing registreren

Als u de GitHub Action wilt toestaan om te communiceren met de Microsoft Graph API, maakt u een toepassingsregistratie in uw Azure AD B2C-tenant. Als u dit nog niet hebt gedaan, registreert u een Microsoft Graph-toepassing.

Verleen de geregistreerde toepassing de relevante toepassingsmachtigingen om de GitHub Action toegang te geven tot gegevens in Microsoft Graph. Verleen de machtiging Microsoft Graph>Policy>Policy.ReadWrite.TrustFramework binnen de API-machtigingen van de app-registratie.

Een versleuteld GitHub-geheim maken

GitHub-geheimen zijn versleutelde omgevingsvariabelen die u maakt in een organisatie-, opslagplaats- of opslagplaatsomgeving. In deze stap slaat u het toepassingsgeheim op voor de toepassing die u eerder hebt geregistreerd in de stap Een MS Graph-toepassing registreren .

De GitHub Action voor het implementeren van aangepaste Azure AD B2C-beleidsregels maakt gebruik van het geheim om een toegangstoken te verkrijgen dat wordt gebruikt voor interactie met de Microsoft Graph API. Zie Versleutelde geheimen voor een opslagplaats maken voor meer informatie.

Volg deze stappen om een GitHub-geheim te maken:

1. Navigeer in GitHub naar de hoofdpagina van de opslagplaats.
2. Selecteer Instellingen onder de naam van de opslagplaats.
3. Selecteer Geheimen in de linkerzijbalk.
4. Selecteer Nieuw opslagplaatsgeheim.
5. Typ ClientSecret als naam.
6. Voer voor de waarde het toepassingsgeheim in dat u eerder hebt gemaakt.
7. Selecteer Geheim toevoegen.

Een GitHub-werkstroom maken

De GitHub-werkstroom is een geautomatiseerde procedure die u aan uw opslagplaats toevoegt. Werkstromen bestaan uit een of meer taken en kunnen worden gepland of geactiveerd door een gebeurtenis. In deze stap maakt u een werkstroom waarin uw aangepaste beleid wordt geïmplementeerd.

Voer de volgende stappen uit om een werkstroom te maken:

1. Navigeer in GitHub naar de hoofdpagina van uw opslagplaats.

2. Selecteer onder uw opslagplaatsnaam Acties.

   

3. Als u een werkstroom nog niet eerder hebt geconfigureerd, selecteert u zelf een werkstroom instellen. Anders selecteert u Nieuwe werkstroom.

   

4. GitHub biedt aan om een werkstroombestand te maken met de naam main.yml in de .github/workflows map. Dit bestand bevat informatie over de werkstroom, waaronder uw Azure AD B2C-omgeving en het aangepaste beleid dat moet worden geïmplementeerd. Voeg in de GitHub-webeditor de volgende YAML-code toe:

   on: push
   
   env:
     clientId: 00001111-aaaa-2222-bbbb-3333cccc4444
     tenant: your-tenant.onmicrosoft.com
   
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v2
   
       - name: 'Upload TrustFrameworkBase Policy'
         uses: azure-ad-b2c/deploy-trustframework-policy@v3
         with:
           folder: "./Policies"
           files: "TrustFrameworkBase.xml,TrustFrameworkLocalization.xml,TrustFrameworkExtensions.xml,SignUpOrSignin.xml"
           tenant: ${{ env.tenant }}
           clientId: ${{ env.clientId }}
           clientSecret: ${{ secrets.clientSecret }}
   

5. Werk de volgende eigenschappen van het YAML-bestand bij:

   Afdeling	Naam	Waarde
   env	clientId	Toepassings-id (client) van de toepassing die u hebt geregistreerd in de stap Een MS Graph-toepassing registreren .
   env	tenant	De naam van uw Azure AD B2C-tenant (bijvoorbeeld contoso.onmicrosoft.com).
   with	folder	Een map waarin de bestanden met aangepaste beleidsregels worden opgeslagen, ./Policiesbijvoorbeeld.
   with	files	Door komma's gescheiden lijst met beleidsbestanden die moeten worden geïmplementeerd, TrustFrameworkBase.xml,TrustFrameworkLocalization.xml,TrustFrameworkExtensions.xml,SignUpOrSignin.xmlbijvoorbeeld.

   Belangrijk

   Wanneer u de agents uitvoert en de beleidsbestanden uploadt, controleert u of ze in de juiste volgorde zijn geüpload:

   1. TrustFrameworkBase.xml
   2. TrustFrameworkLocalization.xml
   3. TrustFrameworkExtensions.xml
   4. SignUpOrSignin.xml
   5. ProfileEdit.xml
   6. PasswordReset.xml

6. Selecteer Doorvoeren starten.

7. Geef onder de velden voor doorvoerberichten aan of u uw doorvoer wilt toevoegen aan de huidige vertakking of aan een nieuwe vertakking. Selecteer Nieuw bestand doorvoeren of Nieuw bestand voorstellen om een pull-aanvraag te maken.

Uw werkstroom testen

Als u de werkstroom die u hebt gemaakt wilt testen, uploadt u de wijzigingen van uw aangepaste beleid. Zodra uw taak is gestart, ziet u een visualisatiegrafiek van de voortgang van de uitvoering en bekijkt u de activiteit van elke stap op GitHub.

1. Navigeer op GitHub naar de hoofdpagina van uw opslagplaats.

2. Selecteer onder uw opslagplaatsnaam Acties.

3. Selecteer in de linkerzijbalk de werkstroom die u hebt gemaakt.

4. Selecteer onder Werkstroomuitvoeringen de naam van de uitvoering die u wilt zien.

   

5. Selecteer onder Taken of in de visualisatiegrafiek de taak die u wilt zien.

6. Bekijk de resultaten van elke stap. In de volgende schermopname ziet u het logboek voor het uploaden van aangepast beleid .

   

Optioneel: Uw werkstroom plannen

De werkstroom die u hebt gemaakt, wordt geactiveerd door de pushgebeurtenis. Als u wilt, kunt u een andere gebeurtenis kiezen om de werkstroom te activeren, bijvoorbeeld een pull-aanvraag.

U kunt ook een werkstroom plannen om op specifieke UTC-tijden uit te voeren met behulp van de CRON-syntaxis van POSIX. Met de planningsevenement kunt u een werkstroom op een gepland tijdstip activeren. Zie Geplande gebeurtenissen voor meer informatie.

In het volgende voorbeeld wordt de werkstroom elke dag om 5:30 en 17:30 UTC geactiveerd:

on:
  schedule:
    # * is a special character in YAML so you have to quote this string
    - cron:  '30 5,17 * * *'

Uw werkstroom bewerken:

1. Navigeer in GitHub naar de hoofdpagina van uw opslagplaats.

2. Selecteer onder uw opslagplaatsnaam Acties.

3. Selecteer in de linkerzijbalk de werkstroom die u hebt gemaakt.

4. Selecteer onder Werkstroomuitvoeringen de naam van de uitvoering die u wilt zien.

5. Selecteer in het menu de drie puntjes ...en selecteer vervolgens Het werkstroombestand weergeven.

   

6. Selecteer Bewerken in de GitHub-webeditor.

7. Wijzig on: push naar het bovenstaande voorbeeld.

8. Voer uw wijzigingen door.

Volgende stappen

• Meer informatie over het configureren van gebeurtenissen die werkstromen activeren