Azure 资源可以使用用户分配的托管标识向云服务进行身份验证。 此过程类似于使用 Azure Key Vault,但无需在代码中存储凭据。 可以将这些类型的托管标识创建为独立的 Azure 资源,并且它们有自己的生命周期。 单个资源(例如虚拟机(VM)可以利用多个用户分配的托管标识。 同样,多个资源可以共享单个用户分配的托管标识。
创建标识并将其注册到托管 DevOps 池
托管标识必须与 Azure DevOps 组织位于同一Microsoft Entra 目录中。
- 在 Azure 门户中查看当前目录。
-
查看 Azure DevOps 组织的目录。 可以使用自己的信息修改此示例 URL,直接转到 Azure DevOps 门户中的此页面:
https://dev.azure.com/<your-organization>/_settings/organizationAad
如果两个目录不匹配,或您的 Azure DevOps 组织未连接到 Microsoft Entra,请按照 将组织连接到 Microsoft Entra ID 中的步骤操作。 连接到 Azure 订阅使用的同一目录。
在 Azure 门户中搜索托管标识。 从可用选项中选择 托管标识 ,然后选择“ 创建”。 确保已登录到上一部分中指定的租户。 否则,必须切换到有权访问该租户的 Azure 帐户,或切换 Azure DevOps 组织的租户。 可以通过在搜索栏上搜索Microsoft Entra ID 来查看当前租户 ID。 还可以使用 Azure 门户左上角的门户菜单转到“Microsoft Entra ID”选项。
选择 订阅、 资源组、 区域和 名称所需的选项,然后选择 “查看 + 创建”。
在确认窗口中,选择创建以创建标识。
在 Azure 门户中转到池,然后选择 “设置>标识>添加”。
选择订阅。 从列表中选择托管标识,然后选择“ 添加”。
与 Azure Key Vault 集成
在代理预配期间,可以使用托管 DevOps 池从 Azure Key Vault 实例提取证书。 在运行 Azure DevOps 管道时,该证书已存在于计算机上。 若要使用此功能,请将标识添加到池,如前面的示例所示,然后将 Key Vault 机密用户 角色分配给该标识。
Azure Key Vault 集成在“设置>”中配置。 有关详细信息,请参阅 配置安全性:Azure Key Vault 集成。
