Definir manualmente uma conexão de serviço de identidade de carga de trabalho do Azure Resource Manager
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Nota
Estamos implementando a nova experiência de criação de conexão de serviço do Azure. Recebê-lo em sua organização depende de vários fatores, e você ainda pode ver a experiência do usuário mais antiga.
Ao solucionar problemas de uma conexão de serviço de identidade de carga de trabalho do Azure Resource Manager, talvez seja necessário configurar manualmente a conexão em vez de usar a ferramenta automatizada disponível no Azure DevOps.
Recomendamos que experimente a abordagem automatizada antes de iniciar uma configuração manual.
Há duas opções para autenticação: usar uma identidade gerenciada ou usar um registro de aplicativo. A vantagem da opção de identidade gerenciada é que você pode usá-la se não tiver permissões para criar entidades de serviço ou se estiver usando um locatário do Microsoft Entra diferente do usuário do Azure DevOps.
Definir uma conexão de serviço de identidade de carga de trabalho
Para configurar manualmente a autenticação de identidade gerenciada para seus Pipelines do Azure, siga estas etapas para criar uma identidade gerenciada no portal do Azure, estabelecer uma conexão de serviço no Azure DevOps, adicionar credenciais federadas e conceder as permissões necessárias. Você precisará seguir estas etapas nesta ordem:
- Crie a identidade gerenciada no portal do Azure.
- Crie a conexão de serviço no Azure DevOps e salve como rascunho.
- Adicione uma credencial federada à sua identidade gerenciada no portal do Azure.
- Conceda permissões à identidade gerenciada no portal do Azure.
- Salve sua conexão de serviço no Azure DevOps.
Você também pode usar a API REST para esse processo.
Pré-requisitos para autenticação de identidade gerenciada
- Para criar uma identidade gerenciada atribuída pelo usuário, sua conta do Azure precisa do Colaborador de Identidade Gerenciada ou atribuição de função superior.
- Para usar uma identidade gerenciada para acessar recursos do Azure em seu pipeline, atribua o acesso de identidade gerenciada ao recurso.
Criar uma identidade gerenciada no portal do Azure
Inicie sessão no portal do Azure.
Na caixa de pesquisa, introduza Identidades Geridas.
Selecione Criar.
No painel Criar Identidade Gerenciada Atribuída ao Usuário, insira ou selecione valores para os seguintes itens:
- Assinatura: selecione a assinatura na qual criar a identidade gerenciada atribuída pelo usuário.
- Grupo de recursos: selecione um grupo de recursos para criar a identidade gerenciada atribuída pelo usuário ou selecione Criar novo para criar um novo grupo de recursos.
- Região: selecione uma região para implantar a identidade gerenciada atribuída pelo usuário (exemplo: Leste dos EUA).
- Nome: insira o nome da identidade gerenciada atribuída pelo usuário (exemplo: UADEVOPS).
Selecione Rever + criar para criar uma nova identidade gerida. Quando a implementação for concluída, selecione Ir para recurso.
Copie os valores de Assinatura, ID da Assinatura e ID do Cliente para sua identidade gerenciada usar mais tarde.
Dentro da sua identidade gerenciada no portal do Azure, vá para Propriedades de Configurações>.
Copie o valor Tenant Id para usar mais tarde.
Criar uma conexão de serviço para autenticação de identidade gerenciada no Azure DevOps
No Azure DevOps, abra seu projeto e vá para
>conexões do Serviço de Pipelines.>Selecione Nova conexão de serviço.
Selecione Azure Resource Manager.
Selecione o tipo de identidade: Registro de aplicativo ou Identidade gerenciada (manual), a credencial de federação de identidade de carga de trabalho.
Em Nome da conexão de serviço, insira um valor como
uamanagedidentity. Você usará esse valor em seu identificador de entidade de credencial federada.Selecione Seguinte.
No Passo 2: Detalhes de registo da aplicação:
Passo 2: Os detalhes de registo da aplicação contêm os seguintes parâmetros. Você pode inserir ou selecionar os seguintes parâmetros:
Parâmetro Description Emissor Obrigatório. O DevOps cria automaticamente a URL do emissor. Identificador do assunto Obrigatório. O DevOps cria automaticamente o identificador de assunto. Ambiente Obrigatório. Escolha um ambiente de nuvem para se conectar. Se você selecionar Azure Stack, insira a URL do ambiente, que é algo como https://management.local.azurestack.external.Selecione o Nível de escopo. Selecione Assinatura, Grupo de Gerenciamento ou Espaço de Trabalho de Aprendizado de Máquina. Os grupos de gerenciamento são contêineres que ajudam a gerenciar o acesso, a política e a conformidade em várias assinaturas. Um Espaço de Trabalho de Aprendizado de Máquina é o local para criar artefatos de aprendizado de máquina.
Para o escopo Assinatura, insira os seguintes parâmetros:
Parâmetro Description ID da subscrição Obrigatório. Insira a ID de assinatura do Azure. Nome da subscrição Obrigatório. Insira o nome da assinatura do Azure. Para o escopo do Grupo de Gerenciamento, insira os seguintes parâmetros:
Parâmetro Description ID do Grupo de Gestão Obrigatório. Insira a ID do grupo de gerenciamento do Azure. Nome do Grupo de Gerenciamento Obrigatório. Insira o nome do grupo de gerenciamento do Azure. Para o escopo do Espaço de Trabalho de Aprendizado de Máquina , insira os seguintes parâmetros:
Parâmetro Description ID da subscrição Obrigatório. Insira a ID de assinatura do Azure. Nome da subscrição Obrigatório. Insira o nome da assinatura do Azure. Grupo de Recursos Obrigatório. Selecione o grupo de recursos que contém o espaço de trabalho. Nome do espaço de trabalho de ML Obrigatório. Insira o nome do espaço de trabalho existente do Azure Machine Learning. Localização do espaço de trabalho de ML Obrigatório. Insira o local do espaço de trabalho existente do Azure Machine Learning.
Na seção Autenticação, insira ou selecione os seguintes parâmetros:
Parâmetro Description ID do aplicativo (cliente) Obrigatório. Insira a ID do Cliente para sua identidade gerenciada. ID do diretório (locatário) Obrigatório. Introduza o ID do Inquilino a partir da sua identidade gerida. Na seção Segurança, selecione Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder manualmente acesso a cada pipeline que usa essa conexão de serviço.
No Azure DevOps, copie os valores gerados para o identificador de Emissor e Assunto.
Selecione Manter como rascunho para salvar uma credencial de rascunho. Você não pode concluir a instalação até que sua identidade gerenciada tenha uma credencial federada no portal do Azure.
Adicionar uma credencial federada no portal do Azure
Em uma nova janela do navegador, dentro de sua identidade gerenciada no portal do Azure, vá para Configurações>Credenciais federadas.
Selecione Adicionar credenciais.
Selecione o cenário Outro emissor .
Cole os valores para o identificador de Emissor e Assunto que você copiou do seu projeto de DevOps do Azure em suas credenciais federadas no portal do Azure.
Insira o Nome da sua credencial federada.
Selecione Adicionar.
Conceder permissões à identidade gerenciada no portal do Azure
No portal do Azure, vá para o recurso do Azure para o qual você deseja conceder permissões (por exemplo, um grupo de recursos).
Selecione Controlo de acesso (IAM) .
Selecione Adicionar atribuição de função. Atribua a função necessária à sua identidade gerenciada (por exemplo, Colaborador).
Selecione Rever e atribuir.
Salvar sua conexão de serviço do Azure DevOps
No Azure DevOps, retorne à sua conexão de serviço de rascunho.
Selecione Concluir configuração.
Selecione Verificar e salvar. Quando esta etapa for concluída com êxito, sua identidade gerenciada estará totalmente configurada.
