Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Serviços de DevOps do Azure | Azure DevOps Server | Azure DevOps Server 2022
Ao solucionar problemas de uma conexão de serviço de identidade de carga de trabalho do Azure Resource Manager, talvez seja necessário configurar manualmente a conexão em vez de usar a ferramenta automatizada disponível no Azure DevOps.
Antes de começar uma configuração manual, experimente a abordagem automatizada.
Para autenticação, pode usar uma identidade gerida ou um registo de aplicação. A opção de identidade gerida é útil se não tiver permissões para criar princípios de serviço ou se estiver a usar um tenant Microsoft Entra diferente do seu utilizador Azure DevOps.
Visão geral do processo de configuração
O diagrama seguinte ilustra os passos gerais para configurar uma ligação de serviço de identidade de carga de trabalho:
Definir uma conexão de serviço de identidade de carga de trabalho
Para configurar manualmente a autenticação de identidade gerenciada para seus Pipelines do Azure, siga estas etapas para criar uma identidade gerenciada no portal do Azure, estabelecer uma conexão de serviço no Azure DevOps, adicionar credenciais federadas e conceder as permissões necessárias. Siga estes passos por esta ordem:
- Crie a identidade gerenciada no portal do Azure.
- Crie a conexão de serviço no Azure DevOps e salve como rascunho.
- Adicione uma credencial federada à sua identidade gerenciada no portal do Azure.
- Conceda permissões à identidade gerenciada no portal do Azure.
- Salve sua conexão de serviço no Azure DevOps.
Você também pode usar a API REST para esse processo.
Pré-requisitos para autenticação de identidade gerenciada
- Para criar uma identidade gerida atribuída ao utilizador, a sua conta do Azure precisa da atribuição de função de Colaborador de Identidade Gerenciada ou superior.
- Para usar uma identidade gerenciada para acessar recursos do Azure em seu pipeline, atribua o acesso de identidade gerenciada ao recurso.
Criar uma identidade gerenciada no portal do Azure
Inicie sessão no portal do Azure.
Na caixa de pesquisa, introduza Identidades Geridas.
Selecione Criar.
No painel Criar Identidade Gerenciada Atribuída ao Usuário, insira ou selecione valores para os seguintes itens:
- Assinatura: selecione a assinatura na qual criar a identidade gerenciada atribuída pelo usuário.
- Grupo de recursos: selecione um grupo de recursos para criar a identidade gerenciada atribuída pelo usuário ou selecione Criar novo para criar um novo grupo de recursos.
- Região: selecione uma região para implantar a identidade gerenciada atribuída pelo usuário (exemplo: Leste dos EUA).
- Nome: insira o nome da identidade gerenciada atribuída pelo usuário (exemplo: UADEVOPS).
Selecione Revisar + criar para criar uma nova identidade gerida. Quando a implementação for concluída, selecione Ir para recurso.
Copie os valores de Assinatura, ID da Assinatura e ID do Cliente para a sua identidade gerida usar mais tarde.
Dentro da sua identidade gerida no portal do Azure, vá para Configurações>Propriedades.
Copie o valor Tenant Id para usar mais tarde.
Criar uma conexão de serviço para autenticação de identidade gerenciada no Azure DevOps
No Azure DevOps, abra o seu projeto e vá para
>Pipelines>ligações de serviço.Selecione Nova conexão de serviço.
Selecione Azure Resource Manager.
Selecione o tipo de identidade Registo de Aplicação ou Identidade Gerida (manual) e depois selecione a credencial Federação de Identidades de Carga de Trabalho.
Em Nome da conexão de serviço, insira um valor como
uamanagedidentity. Você usará esse valor no seu identificador de assunto de credencial federada.Selecione Seguinte.
No Passo 2: Detalhes de registo da aplicação:
Passo 2: Os detalhes de registo da aplicação contêm os seguintes parâmetros. Introduza ou selecione os seguintes parâmetros:
Parâmetro Descrição Emissor Obrigatório. O DevOps cria automaticamente a URL do emissor. Identificador do assunto Obrigatório. O DevOps cria automaticamente o identificador de assunto. Ambiente Obrigatório. Escolha um ambiente de nuvem para se conectar. Se você selecionar Azure Stack, insira a URL do ambiente, que é algo como https://management.local.azurestack.external.Selecione o Nível de Escopo. Selecione Assinatura, Grupo de Gerenciamento ou Espaço de Trabalho de Aprendizado de Máquina. Os grupos de gerenciamento são contêineres que ajudam a gerenciar o acesso, a política e a conformidade em várias assinaturas. Um Espaço de Trabalho de Aprendizado de Máquina é o local para criar artefatos de aprendizado de máquina.
Para o escopo Assinatura, insira os seguintes parâmetros:
Parâmetro Descrição ID da subscrição Obrigatório. Insira a ID de assinatura do Azure. Nome da subscrição Obrigatório. Insira o nome da assinatura do Azure. Para o escopo do Grupo de Gerenciamento, insira os seguintes parâmetros:
Parâmetro Descrição ID do Grupo de Gestão Obrigatório. Insira a ID do grupo de gerenciamento do Azure. Nome do Grupo de Gerenciamento Obrigatório. Insira o nome do grupo de gerenciamento do Azure. Para o escopo do Espaço de Trabalho de Aprendizado de Máquina , insira os seguintes parâmetros:
Parâmetro Descrição ID da subscrição Obrigatório. Insira a ID de assinatura do Azure. Nome da subscrição Obrigatório. Insira o nome da assinatura do Azure. Grupo de Recursos Obrigatório. Selecione o grupo de recursos que contém o espaço de trabalho. Nome do espaço de trabalho de ML Obrigatório. Insira o nome do espaço de trabalho existente do Azure Machine Learning. Localização do espaço de trabalho de ML Obrigatório. Insira o local do espaço de trabalho existente do Azure Machine Learning.
Na seção Autenticação, insira ou selecione os seguintes parâmetros:
Parâmetro Descrição ID do aplicativo (cliente) Obrigatório. Insira a ID do Cliente para sua identidade gerenciada. ID da diretoria (tenant) Obrigatório. Introduza o ID do Inquilino a partir da sua identidade gerida. Na secção de Segurança, se selecionares Conceder permissão de acesso a todos os pipelines, todos os pipelines podem usar esta ligação. Não uses esta opção. Em vez disso, autorize cada pipeline individualmente a usar a conexão de serviço.
No Azure DevOps, copie os valores gerados para Emissor e identificador de Assunto.
Selecione Manter como rascunho para guardar uma credencial como rascunho. Você não pode concluir a instalação até que sua identidade gerenciada tenha uma credencial federada no portal do Azure.
Adicionar uma credencial federada no portal do Azure
Em uma nova janela do navegador, dentro de sua identidade gerenciada no portal do Azure, vá para Configurações>Credenciais federadas.
Selecione Adicionar credenciais.
Selecione o cenário Outro Emissor.
Cole os valores para Emissor e Identificador de sujeito que copiou do projeto Azure DevOps nas suas credenciais federadas no portal do Azure. Em Tipo, selecione Identificador de assunto explícito.
Insira o Nome da sua credencial federada.
Selecione Adicionar.
Conceder permissões à identidade gerenciada no portal do Azure
No portal do Azure, vá para o recurso do Azure para o qual você deseja conceder permissões (por exemplo, um grupo de recursos).
Selecione Controlo de acesso (IAM) .
Selecione Adicionar atribuição de função. Atribua a função necessária à sua identidade gerenciada (por exemplo, Colaborador).
Selecione Rever e atribuir.
Salvar sua conexão de serviço do Azure DevOps
No Azure DevOps, volte à sua conexão de serviço de rascunho.
Selecione Concluir configuração.
Selecione Verificar e salvar. Quando esta etapa é concluída com sucesso, a sua identidade gerida está totalmente configurada.
