Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Serviços de DevOps do Azure | Azure DevOps Server | Azure DevOps Server 2022
Advertência
Usar um segredo que requer rotação e gerenciamento manual e não é recomendado. A federação de identidades de carga de trabalho é o tipo de credencial preferencial. Se não precisar usar um segredo devido a limitações organizacionais, utilize a federação de identidades de carga de trabalho com um registo de aplicação ou identidade gerida.
Este artigo guia-o através da criação manual de uma ligação de serviço do Azure Resource Manager (ARM) para autenticação do principal de serviço com um segredo no Azure DevOps. Use essa abordagem quando não puder usar o Microsoft Entra ID devido a limitações organizacionais. Por exemplo, use um segredo quando a federação de identidades de carga de trabalho não for suportada para seu locatário do Microsoft Entra ID ou quando você tiver registros de aplicativos multilocatário.
Para outros cenários, use a federação de identidades de carga de trabalho com um registro de aplicativo ou identidade gerenciada. A federação de identidades de carga de trabalho elimina a necessidade de segredos e da gestão de segredos. Para saber mais, consulte Conectar-se ao Azure com uma conexão de serviço ARM.
Pré-requisitos para autenticação de registro de aplicativo
- Para criar uma conexão de serviço, sua conta do Azure precisa de permissão para criar registros de aplicativo.
- Se a criação de registros de aplicativo estiver desabilitada em seu locatário, você precisará ter a função de Desenvolvedor de Aplicativos para criar registros de aplicativos.
Criar um registo de aplicação no portal do Azure
No portal do Azure, pesquise registos de aplicativos.
Selecione Novo registo.
Em Nome, insira um nome para o registro do aplicativo e selecione Quem pode usar este aplicativo ou acessar esta API.
Selecione Register.
Quando o registo da nova aplicação for carregado, copie os valores de ID do Aplicação (cliente) e ID do Diretório (locatário) para usar mais tarde.
No registro do aplicativo, selecione Certificados & segredos.
Selecione Segredos do cliente e, em seguida, selecione Novo segredo do cliente. Forneça uma descrição do segredo e uma duração. Depois de salvar o segredo do cliente, o valor do segredo do cliente é exibido. Esse valor é exibido apenas uma vez, portanto, copie-o e armazene-o. Você usará o valor secreto em sua conexão ARM.
Selecione Adicionar.
Conceder permissões para o registro do aplicativo no portal do Azure
No portal do Azure, vá para a assinatura do Azure, grupo de gerenciamento ou espaço de trabalho de aprendizado de máquina para o qual você deseja conceder permissões.
Selecione Controlo de acesso (IAM) .
Selecione Adicionar atribuição de função. Atribua a função Leitor ao registro do aplicativo.
Selecione Rever e atribuir.
Criar uma conexão de serviço para autenticação de registro de aplicativo no Azure DevOps
No Azure DevOps, abra o seu projeto e vá para
>Pipelines>ligações de serviço.Selecione Nova conexão de serviço.
Selecione Azure Resource Manager.
Selecione o tipo de identidade : Registro do aplicativo ou Identidade gerenciada (manual) e a credencial secreta .
Insira ou selecione os seguintes parâmetros para assinatura:
Selecione o Nível de Escopo. Selecione Assinatura, Grupo de Gerenciamento ou Espaço de Trabalho de Aprendizado de Máquina. Os grupos de gerenciamento são contêineres que ajudam a gerenciar o acesso, a política e a conformidade em várias assinaturas. Um Espaço de Trabalho de Aprendizado de Máquina é o local para criar artefatos de aprendizado de máquina.
Para o escopo Assinatura, insira os seguintes parâmetros:
Parâmetro Description ID da subscrição Required. Insira a ID de assinatura do Azure. Nome da subscrição Required. Insira o nome da assinatura do Azure. Para o escopo do Grupo de Gerenciamento, insira os seguintes parâmetros:
Parâmetro Description ID do Grupo de Gestão Required. Insira a ID do grupo de gerenciamento do Azure. Nome do Grupo de Gerenciamento Required. Insira o nome do grupo de gerenciamento do Azure. Para o escopo do Espaço de Trabalho de Aprendizado de Máquina , insira os seguintes parâmetros:
Parâmetro Description ID da subscrição Required. Insira a ID de assinatura do Azure. Nome da subscrição Required. Insira o nome da assinatura do Azure. Grupo de Recursos Required. Selecione o grupo de recursos que contém o espaço de trabalho. Nome do espaço de trabalho de ML Required. Insira o nome do espaço de trabalho existente do Azure Machine Learning. Localização do espaço de trabalho de ML Required. Insira o local do espaço de trabalho existente do Azure Machine Learning.
Na seção Autenticação, insira ou selecione os seguintes parâmetros:
Parâmetro Description ID do aplicativo (cliente) Required. Insira o ID da aplicação (cliente) para o registo da aplicação. ID da diretoria (tenant) Required. Insira o ID do Diretório (locatário) para o registo da aplicação.
Em Credencial, selecione Chave principal do serviço. Insira o valor secreto no campo Segredo do cliente .
Na seção Segurança , selecionar Conceder permissão de acesso a todos os pipelines permite que todos os pipelines usem essa conexão. Esta opção não é recomendada. Em vez disso, autorize cada pipeline individualmente a usar a conexão de serviço.
Selecione Verificar e salvar. Quando esta etapa for concluída com êxito, sua conexão de serviço do Azure Resource Manager estará totalmente configurada.