Implantar políticas personalizadas com o GitHub Actions

O GitHub Actions permite que você crie fluxos de trabalho personalizados de CI (integração contínua) e CD (implantação contínua) diretamente no repositório GitHub. Este artigo descreve como automatizar a implantação de políticas personalizadas do Azure AD B2C (Azure Active Directory B2C) usando o GitHub Actions.

Para automatizar o processo de implantação de política personalizada, use o GitHub Action para implantar políticas personalizadas do Azure AD B2C. Esta Ação do GitHub foi desenvolvida pela comunidade do Azure AD B2C.

Essa ação implanta políticas personalizadas do Azure AD B2C em seu locatário do Azure AD B2C usando a API do Microsoft Graph. Se a política ainda não existir em seu locatário, ela será criada. Caso contrário, ele será substituído.

Pré-requisitos

• Conclua as etapas em Introdução às políticas personalizadas no Active Directory B2C.
• Se você ainda não criou o repositório GitHub, crie um.

Selecionar uma pasta de políticas personalizadas

Seu repositório GitHub pode conter todos os arquivos de política do Azure AD B2C e outros ativos. No diretório raiz do repositório, crie ou escolha uma pasta existente que contenha suas políticas personalizadas.

Por exemplo, selecione uma pasta chamada políticas. Adicione seus arquivos de política personalizada do Azure AD B2C à pasta de políticas . Em seguida , confirme as alterações.

Não efetue push das alterações. Você fará isso mais tarde, depois de configurar o fluxo de trabalho de implantação.

Registrar um aplicativo do Microsoft Graph

Para permitir que o GitHub Action interaja com a API do Microsoft Graph, crie um registro de aplicativo em seu locatário do Azure AD B2C. Se você ainda não fez isso, registre um aplicativo do Microsoft Graph.

Para que a Ação do GitHub acesse dados no Microsoft Graph, conceda ao aplicativo registrado as permissões de aplicativo relevantes. Conceda a permissão Microsoft Graph>Policy>Policy.ReadWrite.TrustFramework em Permissões de API do registro de aplicativo.

Criar um segredo criptografado do GitHub

Os segredos do GitHub são variáveis de ambiente criptografadas que você cria em uma organização, repositório ou ambiente de repositório. Nesta etapa, você armazenará o segredo do aplicativo para o aplicativo registrado anteriormente na etapa Registrar um aplicativo MS Graph.

A ação do GitHub para implantar políticas personalizadas do Azure AD B2C utiliza o segredo para adquirir um token de acesso para interação com a API do Microsoft Graph. Para obter mais informações, consulte Criando segredos criptografados para um repositório.

Para criar um segredo do GitHub, siga estas etapas:

1. No GitHub, navegue até a página principal do repositório.
2. No nome do repositório, selecione Configurações.
3. Na barra lateral esquerda, selecione Segredos.
4. Selecione Novo segredo de repositório.
5. Para o Nome, digite ClientSecret.
6. Para o Valor, insira o segredo do aplicativo criado anteriormente.
7. Selecione Adicionar segredo.

Criar um fluxo de trabalho do GitHub

O fluxo de trabalho do GitHub é um procedimento automatizado que você adiciona ao seu repositório. Os fluxos de trabalho são compostos por um ou mais trabalhos e podem ser agendados ou disparados por um evento. Nesta etapa, você cria um fluxo de trabalho que implanta sua política personalizada.

Para criar um fluxo de trabalho, siga estas etapas:

1. No GitHub, navegue até a página principal do repositório.

2. No nome do repositório, selecione Ações.

   

3. Se você não configurou um fluxo de trabalho antes, selecione configurar um fluxo de trabalho por conta própria. Caso contrário, selecione Novo Fluxo de Trabalho.

   

4. O GitHub oferece a criação de um arquivo de fluxo de trabalho nomeado main.yml na .github/workflows pasta. Esse arquivo contém informações sobre o fluxo de trabalho, incluindo o ambiente do Azure AD B2C e as políticas personalizadas a serem implantadas. No editor da Web do GitHub, adicione o seguinte código YAML:

   on: push
   
   env:
     clientId: 00001111-aaaa-2222-bbbb-3333cccc4444
     tenant: your-tenant.onmicrosoft.com
   
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v2
   
       - name: 'Upload TrustFrameworkBase Policy'
         uses: azure-ad-b2c/deploy-trustframework-policy@v3
         with:
           folder: "./Policies"
           files: "TrustFrameworkBase.xml,TrustFrameworkLocalization.xml,TrustFrameworkExtensions.xml,SignUpOrSignin.xml"
           tenant: ${{ env.tenant }}
           clientId: ${{ env.clientId }}
           clientSecret: ${{ secrets.clientSecret }}
   

5. Atualize as seguintes propriedades do arquivo YAML:

   Seção	Nome	Valor
   env	clientId	ID do aplicativo (cliente) do aplicativo que você registrou na etapa Registrar um aplicativo ms graph .
   env	tenant	Seu nome de locatário do Azure AD B2C (por exemplo, contoso.onmicrosoft.com).
   with	folder	Uma pasta em que os arquivos de políticas personalizadas são armazenados, por exemplo, ./Policies.
   with	files	Lista delimitada por vírgulas de arquivos de política a serem implantados, por exemplo, TrustFrameworkBase.xml,TrustFrameworkLocalization.xml,TrustFrameworkExtensions.xml,SignUpOrSignin.xml.

   Importante

   Ao executar os agentes e carregar os arquivos de política, verifique se eles são carregados na ordem correta:

   1. TrustFrameworkBase.xml
   2. TrustFrameworkLocalization.xml
   3. TrustFrameworkExtensions.xml
   4. SignUpOrSignin.xml
   5. ProfileEdit.xml
   6. PasswordReset.xml

6. Selecione Iniciar confirmação.

7. Abaixo dos campos de mensagem de confirmação, indique se deseja adicionar sua confirmação ao branch atual ou a um novo branch. Selecione Confirmar novo arquivo ou Propor novo arquivo para criar uma solicitação de pull.

Testar seu fluxo de trabalho

Para testar o fluxo de trabalho que você criou, envie por push as alterações de sua política personalizada. Depois que o trabalho começar a ser executado, você poderá ver um grafo de visualização do progresso da execução e exibir a atividade de cada etapa no GitHub.

1. No GitHub, navegue até a página principal do repositório.

2. No nome do repositório, selecione Ações.

3. Na barra lateral esquerda, selecione o fluxo de trabalho que você criou.

4. Em Execuções de fluxo de trabalho, selecione o nome da execução que você deseja ver.

   

5. Em Trabalhos ou no grafo de visualização, selecione o trabalho que você deseja ver.

6. Exiba os resultados de cada etapa. A captura de tela a seguir demonstra o log das etapas da Política personalizada de upload.

   

Opcional: agendar seu fluxo de trabalho

O fluxo de trabalho que você criou é disparado pelo evento de push . Se preferir, você pode escolher outro evento para disparar o fluxo de trabalho, por exemplo, uma solicitação de pull.

Você também pode agendar um fluxo de trabalho para ser executado em horários UTC específicos usando a sintaxe cron POSIX. O evento de agendamento permite disparar um fluxo de trabalho em um horário agendado. Para saber mais, confira Eventos agendados.

O exemplo a seguir dispara o fluxo de trabalho todos os dias às 5:30 e 17:30 UTC:

on:
  schedule:
    # * is a special character in YAML so you have to quote this string
    - cron:  '30 5,17 * * *'

Para editar seu fluxo de trabalho:

1. No GitHub, navegue até a página principal do repositório.

2. No nome do repositório, selecione Ações.

3. Na barra lateral esquerda, selecione o fluxo de trabalho que você criou.

4. Em Execuções de fluxo de trabalho, selecione o nome da execução que você deseja ver.

5. No menu, selecione os três pontos ...e, em seguida, selecione Exibir o arquivo de fluxo de trabalho.

   

6. No editor da Web do GitHub, selecione Editar.

7. Altere on: push para o exemplo acima.

8. Confirme suas alterações.

Próximas etapas

• Saiba como configurar eventos que disparam fluxos de trabalho