Configurar manualmente una conexión de servicio de identidad de carga de trabajo de Azure Resource Manager.

Servicios de Azure DevOps | Azure DevOps Server | Azure DevOps Server 2022

Al solucionar problemas de una conexión del servicio de identidad de carga de trabajo de Azure Resource Manager, podría necesitar configurar manualmente la conexión en lugar de usar la herramienta automatizada que está disponible en Azure DevOps.

Antes de comenzar una configuración manual, pruebe el enfoque automatizado.

Para la autenticación, puede usar una identidad administrada o un registro de aplicación. La opción de identidad administrada es útil si no tiene los permisos para crear entidades de servicio o si va a usar un inquilino distinto de Microsoft Entra de su usuario de Azure DevOps.

Desuso del emisor de Azure DevOps

Las conexiones del servicio de federación de identidades de carga de trabajo del emisor de Azure DevOps quedarán en desuso. Si la conexión del servicio está marcada como obsoleta, conviértala para que use el emisor de Microsoft Entra.

Este desuso solo se aplica a las conexiones de servicio elegibles en la nube pública de Azure que usan aplicaciones Microsoft Entra de un solo inquilino o identidades administradas. Las conexiones de servicio que se dirigen a nubes no públicas y las conexiones de servicio que usan aplicaciones multiinquilino quedan fuera del ámbito de esta retirada. Si tiene una conexión de servicio existente que usa el emisor de Azure DevOps, convierta la conexión existente en lugar de crear una conexión de reemplazo. Consulte Conversión de conexiones de servicio para obtener más detalles.

Permisos necesarios

Para configurar o convertir una conexión de servicio de identidad de carga de trabajo, es posible que necesite permisos en Azure DevOps y Azure o Microsoft Entra.

Ámbito	Permiso necesario
Azure DevOps	Permiso de administrador de conexiones de servicio o de administrador de puntos de conexión en la conexión de servicio.
Identidad administrada asignada por el usuario	Permiso para actualizar la identidad administrada y agregar credenciales federadas. El rol mínimo puede ser Colaborador de credenciales federadas de identidad administrada, Colaborador de identidad administrada u otro rol que permita crear credenciales federadas.
Registro de la aplicación	Acceso de propietario al registro de la aplicación u otro rol de Microsoft Entra que permite administrar las credenciales federadas.
Recurso de Azure de destino	Permiso para asignar a la identidad el rol requerido, como Colaborador, en la suscripción, el grupo de recursos o el recurso.

Los permisos de Azure DevOps y los de Azure son independientes. Es posible que un usuario pueda editar una conexión de servicio en Azure DevOps, pero necesita ayuda de un administrador o propietario de identidad de Azure para agregar la credencial federada en Azure o Microsoft Entra.

Información general sobre el proceso de instalación

En el diagrama siguiente se muestran los pasos generales para configurar una conexión de servicio de identidad de carga de trabajo:

Conversión de conexiones de servicio existentes

Si una conexión de servicio existente usa el emisor de Azure DevOps en desuso, conviértelo para usar el emisor de Microsoft Entra.

Uso de la conversión automática cuando esté disponible

En Azure DevOps, abra su proyecto y vaya a Configuración del proyecto>Pipelines>Conexiones de servicio.
Seleccione la conexión de servicio que está marcada como en desuso.
Seleccione la opción para actualizar la conexión de servicio.
Deje que Azure DevOps intentar la conversión.

Si la conversión se realiza correctamente, la conexión de servicio usa el emisor de Microsoft Entra y no se requiere ninguna configuración manual adicional. Consulte Conversión de conexiones de servicio para obtener pasos detallados de conversión.

Usar la conversión manual cuando la conversión automática no se completa

Si Azure DevOps no puede actualizar la identidad automáticamente, muestra los valores de credenciales federadas que debe agregar en Azure o Microsoft Entra. Use los valores que se muestran en Azure DevOps para crear la credencial federada en la identidad asociada a la conexión de servicio.

Necesita los siguientes valores de Azure DevOps:

Emisor
Identificador de sujeto

Después de agregar la credencial federada en Azure o Microsoft Entra, vuelva a la conexión de servicio en Azure DevOps y complete la configuración. Para ver los pasos de conversión detallados, consulte Conversión de conexiones de servicio.

Limitaciones

La experiencia del emisor de Azure DevOps no se aplica a todos los escenarios de identidad de cargas de trabajo.

Las conexiones de servicio que se dirigen a nubes no públicas quedan fuera del ámbito de esta retirada.
Las conexiones de servicio que usan aplicaciones multiinquilino quedan fuera del alcance de esta deprecación.

Configuración de una conexión del servicio de identidad de carga de trabajo

Identidad administrada
Registro de aplicación

Para configurar manualmente la autenticación de identidad administrada para las canalizaciones de Azure, siga estos pasos para crear una identidad administrada en Azure Portal, establecer una conexión de servicio en Azure DevOps, agregar credenciales federadas y conceder los permisos necesarios. Siga estos pasos en este orden:

Cree la identidad administrada en Azure Portal.
Cree la conexión de servicio en Azure DevOps y guárdela como borrador.
Agregue una credencial federada a la identidad administrada en Azure Portal.
Concesión de permisos a la identidad administrada en el portal de Azure.
Guarde la conexión de servicio en Azure DevOps.

También puede usar la API REST para este proceso.

Requisitos previos para la autenticación de identidad administrada

Para crear una identidad administrada asignada por el usuario, la cuenta de Azure requiere la asignación del rol Colaborador de identidades administradas o superior.
Para usar una identidad administrada para acceder a los recursos de Azure en su canalización, asigne a la identidad administrada acceso al recurso.

Cree una identidad administrada en el portal de Azure

Inicie sesión en Azure Portal.
En el cuadro de búsqueda, escriba Identidades administradas.
Seleccione Crear.
En el panel Crear identidad administrada asignada por el usuario, introduzca o seleccione los valores para los siguientes elementos:
- Suscripción: elija la suscripción en la que crear la identidad administrada asignada por el usuario.
- Grupo de recursos: elija un grupo de recursos en el que crear la identidad administrada asignada por el usuario, o bien seleccione Crear nuevo para crear un nuevo grupo de recursos.
- Región: elija una región para implementar la identidad administrada asignada por el usuario (por ejemplo, Este de EE. UU.).
- Nombre: escriba el nombre de la identidad administrada asignada por el usuario (por ejemplo, UADEVOPS).
Seleccione Revisar y crear para crear una nueva identidad administrada. Una vez finalizada la implementación, seleccione Ir al recurso.
Copie los valores de Suscripción, ID de suscripción e ID de cliente para la identidad administrada, para usarlos más adelante.
En la identidad administrada en Azure Portal, vaya a Configuración>Propiedades.
Copie el valor de Id. de inquilino para usarlo más adelante.

Crear una conexión de servicio para la autenticación de identidad administrada en Azure DevOps

En Azure DevOps, abra su proyecto y vaya a >Pipelines> Conexiones de servicio.
Seleccione Nueva conexión de servicio.
Seleccione Azure Resource Manager.
Seleccione el tipo de identidad Registro de aplicaciones o Identidad administrada (manual) y, a continuación, seleccione la credencial de federación de identidad de carga de trabajo .
En Nombre de la conexión de servicio, escriba un valor como uamanagedidentity. Usará este valor en su identificador de sujeto de credenciales federadas.
Seleccione Siguiente.

En el Paso 2: Detalles del registro de aplicaciones:

Paso 2: Detalles del registro de aplicaciones contiene los parámetros siguientes. Escriba o seleccione los parámetros siguientes:

Parámetro	Descripción
Emisor	Necesario. DevOps crea automáticamente la URL del emisor.
Identificador de sujeto	Necesario. DevOps crea automáticamente el identificador del firmante.
Entorno	Necesario. Elija un entorno de nube al que conectarse. Si selecciona Azure Stack, escriba la dirección URL del entorno, que es algo parecido a `https://management.local.azurestack.external`.

Seleccione el Nivel de ámbito. Seleccione Suscripción, Grupo de administración o Área de trabajo de Machine Learning. Los grupos de administración son contenedores que ayudan a administran el acceso, las directivas y el cumplimiento de varias suscripciones. Una área de trabajo de Machine Learning es un lugar para crear artefactos de aprendizaje automático.

En el ámbito de Suscripción, escriba los siguientes parámetros:

Parámetro	Descripción
Id. de suscripción	Necesario. Escriba el ID de suscripción de Azure.
Nombre de la suscripción	Necesario. Escriba el nombre de la suscripción de Azure.

En el ámbito Grupo de administración, escriba los parámetros siguientes:

Parámetro	Descripción
ID de grupo de administración	Necesario. Escriba el identificador del grupo de administración de Azure.
Nombre del grupo de administración	Necesario. Escriba el nombre del grupo de administración de Azure.

En el ámbito Área de trabajo de Machine Learning, escriba los parámetros siguientes:

Parámetro	Descripción
Id. de suscripción	Necesario. Escriba el ID de suscripción de Azure.
Nombre de la suscripción	Necesario. Escriba el nombre de la suscripción de Azure.
Grupo de recursos	Necesario. Seleccione el grupo de recursos que contiene el área de trabajo.
Nombre del área de trabajo de ML	Necesario. Escriba el nombre del área de trabajo de Azure Machine Learning existente.
Ubicación del área de trabajo de ML	Necesario. Escriba la ubicación del área de trabajo de Azure Machine Learning existente.

En la sección Autenticación, escriba o seleccione los parámetros siguientes:

Parámetro	Descripción
Id. de la aplicación (cliente)	Necesario. Introduzca el ID de cliente de la identidad administrada.
Id. de directorio (inquilino)	Necesario. Escriba el ID de inquilino de la identidad administrada.

En la sección Seguridad , si selecciona Conceder permiso de acceso a todas las canalizaciones, todas las canalizaciones pueden usar esta conexión. No use esta opción. En su lugar, autorice cada canalización individualmente para usar la conexión de servicio.

En Azure DevOps, copie los valores generados para el emisor y el ID de sujeto.
Seleccione Mantener como borrador para guardar una credencial de borrador. No se puede completar la configuración hasta que la identidad administrada tenga una credencial federada en Azure Portal.

Adición de una credencial federada en Azure Portal

En una ventana nueva del explorador, dentro de la identidad administrada en Azure Portal, vaya a Configuración>Credenciales federadas.
Seleccione Agregar credenciales.
Seleccione el escenario Otro emisor.
Pegue los valores del emisor y el ID de sujeto copiados del proyecto de Azure DevOps en las credenciales federadas en Azure Portal. En Tipo, seleccione Identificador de asunto explícito.
Escriba el Nombre de la credencial federada.
Seleccione Agregar.

Concesión de permisos a la identidad administrada en el portal de Azure

En el portal de Azure, vaya al recurso de Azure para el que desee conceder los permisos (por ejemplo, un grupo de recursos).
Seleccione Control de acceso (IAM).
Seleccione Agregar asignación de roles. Asigne el rol correspondiente a la identidad administrada (por ejemplo, Colaborador).
Seleccione Revisar y asignar.

Guarde la conexión de servicio de Azure DevOps

En Azure DevOps, vuelva a la conexión de servicio de borrador.
Seleccione Finalizar configuración.
Seleccione Comprobar y guardar. Cuando este paso se completa correctamente, la identidad administrada está totalmente configurada.

Esta sección le guía por la configuración de un registro de aplicaciones y las credenciales federadas en Azure Portal, la creación de una conexión de servicio para la autenticación de entidad de servicio en Azure DevOps, la adición de credenciales federadas al registro de la aplicación y la concesión de los permisos necesarios. El registro de aplicaciones usa la autenticación de entidad de servicio. Complete estos pasos en el orden siguiente:

Cree el registro de aplicaciones con la autenticación de entidad de servicio en Azure Portal.
Cree la conexión de servicio en Azure DevOps y guárdela como borrador.
Agregue una credencial federada a su registro de aplicación en el portal de Azure.
Conceda permisos al registro de la aplicación en el portal de Azure.
Guarde la conexión de servicio en Azure DevOps.

También puede usar la API REST para este proceso.

Requisitos previos para la autenticación de registro de aplicaciones

Para crear una conexión de servicio, la cuenta de Azure debe poder crear registros de aplicaciones.
- Si en su entorno está deshabilitada la creación de registros de aplicaciones, debe tener el rol de Desarrollador de aplicaciones para crear registros de aplicaciones.

Creación de un registro de aplicaciones y credenciales federadas en Azure Portal

En el portal de Azure, busque Registros de aplicaciones.
Seleccione Nuevo registro.
En Nombre, escriba un nombre para el registro de la aplicación. A continuación, seleccione Quién puede usar esta aplicación o acceder a esta API.
Seleccione Registrar.
Cuando se abra el nuevo registro de aplicación, copie los valores de Id. de aplicación (cliente) e Id. de directorio (inquilino) para usarlos más adelante.

Creación de una conexión de servicio para la autenticación de registro de aplicaciones en Azure DevOps

En Azure DevOps, abra su proyecto y vaya a >Pipelines> Conexiones de servicio.
Seleccione Nueva conexión de servicio.
Seleccione Azure Resource Manager.
Seleccione el tipo de identidad Registro de aplicaciones o Identidad administrada (manual) y, a continuación, seleccione la credencial de federación de identidad de carga de trabajo .
En Nombre de la conexión de servicio, escriba un valor como uaappregistration. Usará este valor en su identificador de sujeto de credenciales federadas.
Seleccione Siguiente.