Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Ostrzeżenie
Używanie sekretu wymagającego ręcznego rotowania i zarządzania; nie jest to zalecane. Federacja tożsamości roboczych jest preferowanym typem poświadczeń. Jeśli nie musisz używać tajnego klucza z powodu ograniczeń organizacyjnych, użyj federacji tożsamości dla obsługi zadań z rejestracją aplikacji lub tożsamością zarządzaną.
W tym artykule opisano ręczne tworzenie połączenia usługi Azure Resource Manager (ARM) na potrzeby uwierzytelniania jednostki usługi przy użyciu wpisu tajnego w usłudze Azure DevOps. Użyj tego podejścia, jeśli nie możesz użyć identyfikatora Entra firmy Microsoft ze względu na ograniczenia organizacyjne. Na przykład użyj sekretu, gdy federacja tożsamości roboczego obciążenia nie jest obsługiwana dla dzierżawy Microsoft Entra ID lub gdy masz rejestracje aplikacji wielodostępnej.
W innych scenariuszach użyj federacji tożsamości dla obciążeń z rejestracją aplikacji lub zarządzaną tożsamością. Federacja tożsamości dla obciążeń eliminuje konieczność używania oraz zarządzania tajnymi danymi. Aby dowiedzieć się więcej, zobacz Nawiązywanie połączenia z platformą Azure przy użyciu połączenia usługi ARM.
Wymagania wstępne dotyczące uwierzytelniania rejestracji aplikacji
- Aby utworzyć połączenie z usługą, konto platformy Azure musi mieć uprawnienia do tworzenia rejestracji aplikacji.
- Jeśli tworzenie rejestracji aplikacji jest wyłączone w twojej dzierżawie, musisz mieć rolę Dewelopera Aplikacji, aby utworzyć rejestracje aplikacji.
Tworzenie rejestracji aplikacji w witrynie Azure Portal
W witrynie Azure Portal wyszukaj rejestracje aplikacji.
Wybierz opcję Nowa rejestracja.
W polu Nazwa wprowadź nazwę rejestracji aplikacji, a następnie wybierz pozycję Kto może używać tej aplikacji lub uzyskać dostęp do tego interfejsu API.
Wybierz pozycję Zarejestruj.
Po załadowaniu nowej rejestracji aplikacji skopiuj wartości identyfikatora aplikacji (klienta) i identyfikatora katalogu (dzierżawy), aby użyć ich później.
W ramach rejestracji aplikacji wybierz pozycję Certyfikaty i wpisy tajne.
Wybierz pozycję Wpisy tajne klienta, a następnie wybierz pozycję Nowy klucz tajny klienta. Podaj opis wpisu tajnego i czas trwania. Po zapisaniu tajemnicy klienta zostanie wyświetlona jej wartość. Ta wartość jest wyświetlana tylko raz, więc skopiuj ją i zapisz. Użyjesz wartości tajnej w połączeniu ARM.
Wybierz Dodaj.
Udzielanie uprawnień do rejestracji aplikacji w witrynie Azure Portal
W witrynie Azure Portal przejdź do subskrypcji platformy Azure, grupy zarządzania lub obszaru roboczego uczenia maszynowego, dla którego chcesz udzielić uprawnień.
Wybierz pozycję Kontrola dostępu (IAM).
Wybierz Dodaj przypisanie roli. Przypisz rolę Czytelnika do rejestracji aplikacji.
Wybierz pozycję Przejrzyj i przypisz.
Tworzenie połączenia usługi na potrzeby uwierzytelniania rejestracji aplikacji w usłudze Azure DevOps
W usłudze Azure DevOps otwórz projekt i przejdź do
>Pipelines>Połączenia usługi.Wybierz pozycję Nowe połączenie z usługą.
Wybierz pozycję Azure Resource Manager.
Wybierz typ tożsamości Rejestracja aplikacji lub Tożsamość zarządzana (ręcznie) oraz poświadczenia Tajne.
Wprowadź lub wybierz następujące parametry dla subskrypcji:
Wybierz poziom zakresu. Wybierz pozycję Subskrypcja, Grupa zarządzania lub Obszar roboczy usługi Machine Learning. Grupy zarządzania to kontenery, które ułatwiają zarządzanie dostępem, zasadami i zgodnością w wielu subskrypcjach. Obszar roboczy usługi Machine Learning to miejsce do tworzenia artefaktów uczenia maszynowego.
W polu Zakres subskrypcji wprowadź następujące parametry:
Parameter Description Identyfikator subskrypcji To jest wymagane. Wprowadź identyfikator subskrypcji platformy Azure. Nazwa subskrypcji To jest wymagane. Wprowadź nazwę subskrypcji platformy Azure. Dla zakresu grupy zarządzania wprowadź następujące parametry:
Parameter Description Identyfikator grupy zarządzania To jest wymagane. Wprowadź identyfikator grupy zarządzania platformy Azure. Nazwa grupy zarządzania To jest wymagane. Wprowadź nazwę grupy zarządzania platformy Azure. W zakresie obszaru roboczego usługi Machine Learning wprowadź następujące parametry:
Parameter Description Identyfikator subskrypcji To jest wymagane. Wprowadź identyfikator subskrypcji platformy Azure. Nazwa subskrypcji To jest wymagane. Wprowadź nazwę subskrypcji platformy Azure. Grupa zasobów To jest wymagane. Wybierz grupę zasobów zawierającą obszar roboczy. Nazwa obszaru roboczego uczenia maszynowego To jest wymagane. Wprowadź nazwę istniejącego obszaru roboczego usługi Azure Machine Learning. Lokalizacja obszaru roboczego uczenia maszynowego To jest wymagane. Wprowadź lokalizację istniejącego obszaru roboczego usługi Azure Machine Learning.
W sekcji Uwierzytelnianie wprowadź lub wybierz następujące parametry:
Parameter Description Identyfikator aplikacji (klienta) To jest wymagane. Wprowadź identyfikator aplikacji (klienta) dla rejestracji aplikacji. Identyfikator katalogu (klienta) To jest wymagane. Wprowadź identyfikator katalogu (dzierżawy) dla rejestracji aplikacji.
W poświadczeniu wybierz Service principal key (Klucz jednostki usługi). Wprowadź wartość tajną w polu Klucz tajny klienta.
W sekcji Zabezpieczenia wybierz pozycję Udziel uprawnień dostępu do wszystkich potoków , aby wszystkie potoki używały tego połączenia. Ta opcja nie jest zalecana. Zamiast tego autoryzuj poszczególne potoki do korzystania z połączenia usługowego.
Wybierz pozycję Weryfikuj i zapisz. Po pomyślnym zakończeniu tego kroku połączenie usługi Azure Resource Manager jest w pełni skonfigurowane.