Impostare manualmente una connessione al servizio identità del carico di lavoro di Azure Resource Manager

2024-10-22

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Nota

Verrà implementata la nuova esperienza di creazione della connessione al servizio di Azure. La ricezione all'interno della tua organizzazione dipende da vari fattori e potresti ancora vedere la vecchia esperienza utente.

Quando si risolvono i problemi di una connessione del servizio dell'identità del carico di lavoro di Azure Resource Manager, potrebbe essere necessario configurare manualmente la connessione del servizio anziché usare lo strumento automatizzato disponibile in Azure DevOps.

È consigliabile provare l'approccio automatizzato prima di iniziare una configurazione manuale.

Esistono due opzioni per l'autenticazione: usare un'identità gestita o usare una registrazione dell'app. Il vantaggio dell'opzione identità gestita è che è possibile usarla se non si dispone delle autorizzazioni per creare entità servizio o se si usa un tenant Microsoft Entra diverso rispetto all'utente di Azure DevOps.

Configurare una connessione al servizio di identità di carico di lavoro

Identità gestita
Registrazione app

Per configurare manualmente l'autenticazione dell'identità gestita per Azure Pipelines, seguire questa procedura per creare un'identità gestita nel portale di Azure, stabilire una connessione al servizio in Azure DevOps, aggiungere credenziali federate e concedere le autorizzazioni necessarie. È necessario seguire questi passaggi in questo ordine:

Creare l'identità gestita in portale di Azure.
Creare la connessione al servizio in Azure DevOps e salvare come bozza.
Aggiungere una credenziale federata all'identità gestita in portale di Azure.
Concedere le autorizzazioni all'identità gestita in portale di Azure.
Salvare la connessione al servizio in Azure DevOps.

È anche possibile usare l'API REST per questo processo.

Prerequisiti per l'autenticazione dell'identità gestita

Per creare un'identità gestita assegnata dall'utente, l'account Azure necessita dell'assegnazione del ruolo di Collaboratore per identità gestita o superiore.
Per usare un'identità gestita per accedere alle risorse di Azure nella pipeline, assegnare all'identità gestita l'accesso alla risorsa.

Creare un'identità gestita in portale di Azure

Accedere al portale di Azure.
Nella casella di ricerca immettere identità gestite.
Seleziona Crea.
Nel riquadro Crea identità gestita assegnata dall'utente immettere o selezionare i valori per gli elementi seguenti:
- Sottoscrizione: selezionare la sottoscrizione in cui creare l'identità gestita assegnata dall'utente.
- Gruppo di risorse: selezionare un gruppo di risorse in cui creare l'identità gestita assegnata dall'utente oppure selezionare Crea nuovo per creare un nuovo gruppo di risorse.
- Area: selezionare un'area per distribuire l'identità gestita assegnata dall'utente ,ad esempio Stati Uniti orientali.
- Nome: immettere il nome per l'identità gestita assegnata dall'utente, ad esempio UADEVOPS.
Selezionare Rivedi e crea per creare una nuova identità gestita. Al termine della distribuzione selezionare Vai alla risorsa.
Copiare i valori di Sottoscrizione, ID sottoscrizione e ID client per l'identità gestita da usare in un secondo momento.
All'interno dell'identità gestita in portale di Azure passare a Impostazioni>Proprietà.
Copiare il valore Tenant Id da usare in un secondo momento.

Creare una connessione al servizio per l'autenticazione dell'identità gestita in Azure DevOps

In Azure DevOps, aprite il vostro progetto e passate a >Pipeline>Connessioni del servizio.
Selezionare Nuova connessione al servizio.
Selezionare Azure Resource Manager.
Selezionare il tipo di identità registrazione app o identità gestita (manuale) per la credenziale di federazione dell'identità del carico di lavoro.
Per Nome connessione del servizio immettere un valore, uamanagedidentityad esempio . Questo valore verrà usato nell'identificatore del soggetto delle credenziali federate.
Selezionare Avanti.

Nel passaggio 2: Dettagli registrazione app:

Passaggio 2: I dettagli di registrazione dell'app contengono i parametri seguenti. È possibile immettere o selezionare i parametri seguenti:

Parametro	Descrizione
Emittente	Obbligatorio. DevOps crea automaticamente l'URL dell'autorità di certificazione.
Identificatore del soggetto	Obbligatorio. DevOps crea automaticamente l'identificatore del soggetto.
Ambiente	Obbligatorio. Scegliere un ambiente cloud a cui connettersi. Se si seleziona Azure Stack, immettere l'URL dell'ambiente, che è simile a `https://management.local.azurestack.external`.

Selezionare il livello di ambito. Selezionare Sottoscrizione, Gruppo di gestione o Area di lavoro di Machine Learning. I gruppi di gestione sono contenitori che consentono di gestire l'accesso, i criteri e la conformità tra più sottoscrizioni. Un'area di lavoro di Machine Learning consente di creare artefatti di Machine Learning.

Per l'Ambito Sottoscrizione, immettere i parametri seguenti:

Parametro	Descrizione
ID sottoscrizione	Obbligatorio. Immettere l'ID sottoscrizione di Azure.
Nome sottoscrizione	Obbligatorio. Immettere il nome della sottoscrizione di Azure.

Per l'ambito del gruppo di gestione immettere i parametri seguenti:

Parametro	Descrizione
ID gruppo di gestione	Obbligatorio. Immettere l'ID del gruppo di gestione di Azure.
Nome gruppo di gestione	Obbligatorio. Immettere il nome del gruppo di gestione di Azure.

Per l'ambito dell'area di lavoro di Machine Learning, immettere i parametri seguenti:

Parametro	Descrizione
ID sottoscrizione	Obbligatorio. Immettere l'ID sottoscrizione di Azure.
Nome sottoscrizione	Obbligatorio. Immettere il nome della sottoscrizione di Azure.
Gruppo di risorse	Obbligatorio. Selezionare il gruppo di risorse contenente l'area di lavoro.
Nome dell'area di lavoro ML	Obbligatorio. Immettere il nome dell'area di lavoro di Azure Machine Learning esistente.
Percorso dell'area di lavoro per il Machine Learning	Obbligatorio. Immettere l'ubicazione dell'area di lavoro esistente di Azure Machine Learning.

Nella sezione Autenticazione immettere o selezionare i parametri seguenti:

Parametro	Descrizione
ID client dell'applicazione	Obbligatorio. Immettere l'ID cliente per l'identità gestita.
ID della directory (tenant)	Obbligatorio. Immettere l'ID tenant della propria identità gestita.

Nella sezione Sicurezza selezionare Concedi l'autorizzazione di accesso a tutte le pipeline consente a tutte le pipeline di usare questa connessione. Questa opzione non è consigliata. Autorizzare invece ogni pipeline singolarmente a usare la connessione al servizio.

In Azure DevOps, copiare i valori generati per Issuer (Emittente) e Subject identifier (Identificatore del soggetto).
Selezionare Mantieni come bozza per salvare una bozza di credenziale. Non è possibile completare la configurazione finché l'identità gestita non ha credenziali federate in portale di Azure.

Aggiungere una credenziale federata in portale di Azure

In una nuova finestra del browser, all'interno dell'identità gestita nel portale di Azure, passare a Impostazioni>Credenziali federate.
Selezionare Aggiungi credenziali.
Selezionare lo scenario Altro emittente.
Incollare i valori per Issuer e Subject identifier copiati dal progetto Azure DevOps nelle credenziali federate nel portale di Azure. In Tipo selezionare Identificatore soggetto esplicito.
Immettere il nome delle credenziali federate.
Selezionare Aggiungi.

Concedere le autorizzazioni all'identità gestita in portale di Azure

In portale di Azure passare alla risorsa di Azure per cui si vogliono concedere le autorizzazioni, ad esempio un gruppo di risorse.
Seleziona Controllo di accesso (IAM).
Selezionare Aggiungi un'assegnazione di ruolo. Assegna il ruolo necessario all'identità gestita (ad esempio, "Collaboratore").
Selezionare Rivedi e assegna.

Salvare la connessione al servizio Azure DevOps

In Azure DevOps, torna alla bozza di connessione al servizio.
Selezionare Completare configurazione.
Selezionare Verifica e salva. Al termine di questo passaggio, l'identità gestita è completamente configurata.

Questa sezione illustra come configurare una registrazione dell'app e le credenziali federate nel portale di Azure, creare una connessione al servizio per l'autenticazione dell'entità servizio in Azure DevOps, aggiungere credenziali federate alla registrazione dell'app e concedere le autorizzazioni necessarie. La registrazione dell'app usa l'autenticazione del principale di servizio. È necessario completare questi passaggi nell'ordine seguente:

Creare la registrazione dell'app con l'autenticazione dell'entità servizio nel portale di Azure.
Creare la connessione al servizio in Azure DevOps e salvare come bozza.
Aggiungere una credenziale federata alla registrazione dell'app in portale di Azure.
Concedere le autorizzazioni per la registrazione dell'app in portale di Azure.
Salvare la connessione al servizio in Azure DevOps.

È anche possibile usare l'API REST per questo processo.

Prerequisiti per l'autenticazione di registrazione dell'app

Per creare una connessione al servizio, l'account Azure deve essere in grado di creare registrazioni dell'app.
- Se la creazione di registrazioni dell'app è disabilitata nel tenant, è necessario avere il ruolo Sviluppatore applicazione per creare registrazioni dell'applicazione.

Creare una registrazione dell'app e credenziali federate in portale di Azure

Nel portale di Azure, cercare registrazioni delle applicazioni.
Seleziona Nuova registrazione.
In Nome immettere un nome per la registrazione dell'app e quindi selezionare Chi può usare questa applicazione o accedere a questa API.
Selezionare Registra.
Quando viene caricata la registrazione della nuova app, copia i valori per ID applicazione (client) e ID directory (tenant) da utilizzare successivamente.

Creare una connessione al servizio per l'autenticazione di registrazione delle app in Azure DevOps

In Azure DevOps, aprite il vostro progetto e passate a >Pipeline>Connessioni del servizio.
Selezionare Nuova connessione al servizio.
Selezionare Azure Resource Manager.
Selezionare il tipo di identità registrazione app o identità gestita (manuale) per la credenziale di federazione dell'identità del carico di lavoro.
Per Nome connessione del servizio immettere un valore, uaappregistrationad esempio . Questo valore verrà usato nell'identificatore del soggetto delle credenziali federate.
Selezionare Avanti.

Nel passaggio 2: Dettagli registrazione app:

Passaggio 2: I dettagli di registrazione dell'app contengono i parametri seguenti. È possibile immettere o selezionare i parametri seguenti:

Parametro	Descrizione
Emittente	Obbligatorio. DevOps crea automaticamente l'URL dell'autorità di certificazione.
Identificatore del soggetto	Obbligatorio. DevOps crea automaticamente l'identificatore del soggetto.
Ambiente	Obbligatorio. Scegliere un ambiente cloud a cui connettersi. Se si seleziona Azure Stack, immettere l'URL dell'ambiente, che è simile a `https://management.local.azurestack.external`.

Per l'Ambito Sottoscrizione, immettere i parametri seguenti:

Parametro	Descrizione
ID sottoscrizione	Obbligatorio. Immettere l'ID sottoscrizione di Azure.
Nome sottoscrizione	Obbligatorio. Immettere il nome della sottoscrizione di Azure.

Per l'ambito del gruppo di gestione immettere i parametri seguenti:

Parametro	Descrizione
ID gruppo di gestione	Obbligatorio. Immettere l'ID del gruppo di gestione di Azure.
Nome gruppo di gestione	Obbligatorio. Immettere il nome del gruppo di gestione di Azure.

Per l'ambito dell'area di lavoro di Machine Learning, immettere i parametri seguenti:

Parametro	Descrizione
ID sottoscrizione	Obbligatorio. Immettere l'ID sottoscrizione di Azure.
Nome sottoscrizione	Obbligatorio. Immettere il nome della sottoscrizione di Azure.
Gruppo di risorse	Obbligatorio. Selezionare il gruppo di risorse contenente l'area di lavoro.
Nome dell'area di lavoro ML	Obbligatorio. Immettere il nome dell'area di lavoro di Azure Machine Learning esistente.
Percorso dell'area di lavoro per il Machine Learning	Obbligatorio. Immettere l'ubicazione dell'area di lavoro esistente di Azure Machine Learning.

Nella sezione Autenticazione immettere o selezionare i parametri seguenti:

Parametro	Descrizione
ID client dell'applicazione	Obbligatorio. Immettere l'ID applicazione (client) per la registrazione dell'app.
ID della directory (tenant)	Obbligatorio. Immettere l'ID directory (tenant) per la registrazione dell'app.

Nella sezione Sicurezza selezionare Concedi l'autorizzazione di accesso a tutte le pipeline consente a tutte le pipeline di usare questa connessione. Questa opzione non è consigliata. Autorizzare invece ogni pipeline singolarmente a usare la connessione al servizio.

In Azure DevOps, copiare i valori generati per Issuer (Emittente) e Subject identifier (Identificatore del soggetto).
Selezionare Mantieni come bozza per salvare una bozza di credenziale. Non è possibile completare la configurazione finché l'identità gestita non ha credenziali federate in portale di Azure.

Aggiungere una credenziale federata alla registrazione dell'app in portale di Azure

In portale di Azure aprire la registrazione dell'app e passare a Gestisci>certificati e segreti.
Selezionare Credenziali federate.
Selezionare Aggiungi credenziali.
Selezionare lo scenario Altro emittente.
Incollare i valori per Issuer e Subject identifier copiati dal progetto Azure DevOps nelle credenziali federate nel portale di Azure. In Tipo selezionare Identificatore soggetto esplicito.
Seleziona Salva.

Concedere le autorizzazioni per la registrazione dell'app in portale di Azure

Nella portale di Azure passare alla risorsa di Azure per cui si vogliono concedere le autorizzazioni, ad esempio un gruppo di risorse.
Seleziona Controllo di accesso (IAM).
Selezionare Aggiungi un'assegnazione di ruolo. Assegnare il ruolo necessario alla registrazione dell'app, ad esempio Collaboratore.
Selezionare Rivedi e assegna.

Salvare la connessione al servizio Azure DevOps per la registrazione dell'app

In Azure DevOps, torna alla bozza di connessione al servizio.
Selezionare Completare configurazione.
Selezionare Verifica e salva. Al termine di questo passaggio, la connessione al servizio Azure Resource Manager è completamente configurata.