Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Aviso
Usar um segredo que requer rotação e gerenciamento manual e não é recomendado. A federação de identidade de tarefas é o tipo de credencial preferido. Se você não precisar usar um segredo devido a limitações organizacionais, use a federação de identidade de carga de trabalho com um registro de aplicativo ou uma identidade gerenciada.
Este artigo orienta você a criar manualmente uma conexão de serviço do Azure Resource Manager (ARM) para autenticação de principal de serviço usando um segredo no Azure DevOps. Use essa abordagem quando você não puder usar a ID do Microsoft Entra devido a limitações organizacionais. Por exemplo, use um segredo quando a federação de identidade de carga de trabalho não tiver suporte para seu locatário do Microsoft Entra ID ou quando você tiver registros de aplicativo multilocatários.
Para outros cenários, use a federação de identidade de carga de trabalho com um registro de aplicativo ou uma identidade gerenciada. A federação de identidade de carga de trabalho elimina a necessidade de segredos e gerenciamento de segredos. Para saber mais, confira Conectar-se ao Azure com uma conexão de serviço do ARM.
Pré-requisitos para autenticação de registro de aplicativo
- Para criar uma conexão de serviço, sua conta do Azure precisa de permissão para criar registros de aplicativo.
- Se a criação de registros de aplicativo estiver desabilitada em seu locatário, você precisará ter a função de Desenvolvedor de Aplicativos para criar registros de aplicativo.
Criar um registro de aplicativo no portal do Azure
No portal do Azure, pesquise por Registros de aplicativo.
Selecione Novo registro.
Para Nome, insira um nome para o registro do aplicativo e selecione Quem pode usar esse aplicativo ou acessar essa API.
Selecione Registrar.
Quando o registro do seu novo aplicativo for carregado, copie os valores para ID do Aplicativo (cliente) e ID do Diretório (locatário) para usar depois.
No registro do aplicativo, selecione Certificados &segredos.
Selecione Segredos do cliente e, em seguida, Novo segredo do cliente. Forneça uma descrição do segredo e uma duração. Depois de salvar o segredo do cliente, o valor do segredo do cliente será exibido. Esse valor é exibido apenas uma vez, portanto, copie-o e armazene-o. Você usará o valor do segredo em sua conexão ARM.
Selecione Adicionar.
Conceda permissões ao registro de aplicativo no portal do Azure
No portal do Azure, acesse a assinatura do Azure, o grupo de gerenciamento ou o workspace de machine learning para o qual você deseja conceder permissões.
Selecione Controle de acesso (IAM) .
Selecione Adicionar atribuição de função. Atribua a função Leitor ao registro do aplicativo.
Selecione Examinar e atribuir.
Criar uma conexão de serviço para autenticação de registro de aplicativo no Azure DevOps
No Azure DevOps, abra seu projeto e acesse
>Pipelines>Conexões de serviço.Selecione Nova conexão de serviço.
Selecione Azure Resource Manager.
Selecione o tipo de identidade registro de aplicativo ou identidade gerenciada (manual) e a credencial Secret.
Insira ou selecione os seguintes parâmetros para assinatura:
Selecione o Nível de escopo. Selecione Assinatura, Grupo de Gerenciamento ou Workspace do Machine Learning. Grupos de gerenciamento são contêineres que ajudarão você a gerenciar o acesso, a política e a conformidade entre várias assinaturas. O workspace do Machine Learning é um local para criar artefatos de Machine Learning.
Para o escopo da Assinatura, insira os seguintes parâmetros:
Parâmetro Description ID da assinatura Obrigatório Insira a ID da assinatura do Azure. Nome da assinatura Obrigatório Insira o nome da assinatura do Azure. Para o escopo do Grupo de Gerenciamento, insira os seguintes parâmetros:
Parâmetro Description ID do Grupo de Gerenciamento Obrigatório Insira a ID do grupo de gerenciamento do Azure. Nome do Grupo de Gerenciamento Obrigatório Insira o nome do grupo de gerenciamento do Azure. Para o escopo do Workspace do Machine Learning, insira os seguintes parâmetros:
Parâmetro Description ID da assinatura Obrigatório Insira a ID da assinatura do Azure. Nome da assinatura Obrigatório Insira o nome da assinatura do Azure. Grupo de Recursos Obrigatório Selecione o grupo de recursos que contém o workspace. Nome do Workspace do ML Obrigatório Insira o nome do workspace existente do Azure Machine Learning. Localização do Workspace do ML Obrigatório Insira a localização do workspace existente do Azure Machine Learning.
Na seção Autenticação, insira ou selecione os seguintes parâmetros:
Parâmetro Description ID do aplicativo (cliente) Obrigatório Digite o ID do aplicativo (cliente) para o registro do seu aplicativo. ID do Diretório (locatário) Obrigatório Digite o ID do diretório (locatário) para o registro do aplicativo.
Para Credencial, selecione chave do principal do serviço. Insira o valor do segredo no campo segredo do cliente .
Na seção Segurança , selecionar Conceder permissão de acesso a todos os pipelines permite que todos os pipelines usem essa conexão. Essa opção não é recomendada. Em vez disso, autorize cada pipeline individualmente a usar a conexão de serviço.
Selecione Verificar e salvar. Quando essa etapa for concluída com êxito, sua conexão de serviço do Azure Resource Manager estará totalmente configurada.