Azure DevOps Services |Azure DevOps Server |Azure DevOps Server 2022 |Azure DevOps Server 2020
警告
使用一种需要手动轮换和管理但不推荐使用的保密方法。 工作负载身份联合是首选凭据类型。 如果您由于组织限制不需要使用机密,请选择使用与应用注册或托管标识配合的工作负载标识联合。
本文指导你手动创建 Azure 资源管理器 (ARM) 服务连接,以便通过 Azure DevOps 中的机密进行服务主体身份验证。 由于组织限制,无法使用 Microsoft Entra ID 时,请使用此方法。 如果您的 Microsoft Entra ID 租户不支持工作负荷身份联合或您具有多租户应用注册,请使用密钥。
对于其他方案,请使用与应用注册或托管标识的 工作负载标识联合 。 工作负荷标识联合可以消除机密和机密管理的需求。 若要了解详细信息,请参阅 使用 ARM 服务连接连接到 Azure。
应用注册身份验证的先决条件
- 若要创建服务连接,Azure 帐户需要有权创建应用注册。
- 如果在租户中禁止创建应用注册,则需要具有应用程序开发人员角色才能创建应用程序注册。
在 Azure 门户中创建应用注册
在 Azure 门户中,搜索应用注册。
选择“新注册”。
对于 “名称”,请输入应用注册的名称,然后选择 “谁可以使用此应用程序或访问此 API”。
选择“注册”。
新应用注册加载时,复制应用注册的“应用程序(客户端)ID”和“目录(租户)ID”值,以供日后使用。
在应用注册中,选择 “证书和机密”。
在“客户端密码”下,选择“新建客户端密码”。 提供机密的说明和持续时间。 保存客户端密码后,将显示客户端密码的值。 此值仅显示一次,因此请复制并存储该值。 你将在 ARM 连接中使用机密值。
选择 并添加。
在 Azure 门户中向应用注册授予权限
在 Azure 门户中,转到要向其授予权限的 Azure 订阅、管理组或机器学习工作区。
选择“访问控制(IAM)”。
选择“添加角色分配”。 将“阅读者”角色分配给应用注册。
选择“查看并分配”。
在 Azure DevOps 中为应用注册身份验证创建服务连接
在 Azure DevOps 中,打开项目并转到
>“管道”“服务连接”。选择“新建服务连接”。
选择“Azure 资源管理器”。
选择标识类型 应用注册或托管标识(手动) 和 机密 凭据。
输入或选择订阅的以下参数:
选择 范围级别。 选择 “订阅”、“ 管理组”或 “机器学习工作区”。 管理组 是容器,有助于管理跨多个订阅的访问、策略和合规性。 机器学习工作区用于创建机器学习项目。
对于 订阅 范围,请输入以下参数:
参数 Description 订阅 ID 必填。 输入 Azure 订阅 ID。 订阅名称 必填。 输入 Azure 订阅名称。 对于 管理组 范围,请输入以下参数:
参数 Description 管理组 ID 必填。 输入 Azure 管理组 ID。 管理组名称 必填。 输入 Azure 管理组名称。 对于 机器学习工作区 范围,请输入以下参数:
参数 Description 订阅 ID 必填。 输入 Azure 订阅 ID。 订阅名称 必填。 输入 Azure 订阅名称。 资源组 必填。 选择包含工作区的资源组。 ML 工作区名称 必填。 输入现有 Azure 机器学习工作区的名称。 ML 工作区位置 必填。 输入现有 Azure 机器学习工作区的位置。
在 “身份验证 ”部分中,输入或选择以下参数:
参数 Description 应用程序(客户端)ID 必填。 输入应用注册的应用程序(客户端)ID。 目录(租户)ID 必填。 输入应用注册的目录(租户)ID。
对于 凭据,请选择 “服务主体密钥”。 在 “客户端机密 ”字段中输入机密值。
在 “安全性 ”部分中,选择 “授予对所有管道的访问权限 ”可让所有管道使用此连接。 不建议使用此选项。 而是 单独授权每个管道使用服务连接。
选择验证并保存。 此步骤成功完成后,将完全配置 Azure 资源管理器服务连接。