Problembehandlung für ARM-Dienstverbindungen

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

In diesem Artikel werden die allgemeinen Problembehandlungsszenarien vorgestellt, die Ihnen helfen, Probleme zu beheben, die beim Erstellen einer Azure-Resource Manager-Dienstverbindung auftreten können. Informationen zum Erstellen, Bearbeiten und Sichern von Dienstverbindungen finden Sie unter "Verwalten von Dienstverbindungen ".

Was geschieht, wenn Sie eine ARM-Dienstverbindung erstellen?

Wenn Sie keine Dienstverbindung haben, können Sie eine wie folgt erstellen:

  1. Wählen Sie in Ihrem Projekt die Projekteinstellungen aus, und wählen Sie dann "Dienstverbindungen" aus.

    Screenshot, der zeigt, wie Sie über Projekteinstellungen auf Dienstverbindungen zugreifen können.

  2. Wählen Sie "Neue Dienstverbindung" aus, um eine neue Dienstverbindung hinzuzufügen, und wählen Sie dann Azure Resource Manager aus. Wählen Sie "Weiter" aus, wenn Sie fertig sind.

    Screenshot der Dienstverbindungen.

  3. Wählen Sie "Dienstprinzipal" (automatisch) und dann "**Weiter" aus.

  4. Wählen Sie "Abonnement" aus, und wählen Sie dann Ihr Abonnement aus der Dropdownliste aus. Füllen Sie das Formular aus, und wählen Sie dann "Speichern" aus, wenn Sie fertig sind.

    Screenshot des neuen ARM-Dienstverbindungsformulars.

Wenn Sie Ihre neue ARM-Dienstverbindung speichern, dann:

  1. Stellt eine Verbindung mit dem Azure Active Directory (Azure AD)-Mandanten für das ausgewählte Abonnement bereit.
  2. Erstellt eine Anwendung in Azure AD im Auftrag des Benutzers.
  3. Nachdem die Anwendung erfolgreich erstellt wurde, weisen Sie die Anwendung dem ausgewählten Abonnement als „Mitwirkender“ zu.
  4. Erstellt eine Azure Resource Manager-Dienstverbindung mithilfe der Details dieser Anwendung.

Hinweis

Um Dienstverbindungen zu erstellen, müssen Sie der Gruppe "Endpoint Creator" in Den Projekteinstellungen hinzugefügt werden: Project settings>Service connections>Security. Mitwirkende werden dieser Gruppe standardmäßig hinzugefügt.

Problembehandlungsszenarien

Nachfolgend finden Sie einige der Probleme, die beim Erstellen von Dienstverbindungen auftreten können:

Nicht genügend Berechtigungen zum Abschließen des Vorgangs.

Dies tritt in der Regel auf, wenn das System versucht, eine Anwendung in Azure AD in Ihrem Auftrag zu erstellen.

Dies ist ein Berechtigungsproblem, das möglicherweise auf die folgenden Ursachen zurückzuführen ist:

Der Benutzer verfügt nur über Gastberechtigungen im Verzeichnis

Der beste Ansatz, um dieses Problem zu beheben, während nur die minimalen zusätzlichen Berechtigungen für den Benutzer gewährt werden, besteht darin, die Gastbenutzerberechtigungen wie folgt zu erhöhen.

  1. Melden Sie sich mit einem Administratorkonto bei der Azure-Portal an. Das Konto sollte ein Besitzer, globaler Administrator oder Benutzerkontoadministrator sein.

  2. Wählen Sie Azure Active Directory in der linken Navigationsleiste aus.

  3. Stellen Sie sicher, dass Sie das entsprechende Verzeichnis bearbeiten, das dem Benutzerabonnement entspricht. Wenn nicht, wählen Sie "Verzeichnis wechseln " aus, und melden Sie sich bei Bedarf mit den entsprechenden Anmeldeinformationen an.

  4. Wählen Sie " Benutzer " aus dem Abschnitt "Verwalten" aus.

  5. Wählen Sie Benutzereinstellungen aus.

  6. Wählen Sie " Einstellungen für die externe Zusammenarbeit verwalten" im Abschnitt "Externe Benutzer " aus.

  7. Ändern Der Gastbenutzerberechtigungen ist auf"Nein" beschränkt.

Wenn Sie auch bereit sind, dem Benutzer zusätzliche Berechtigungen (Administratorebene) zu erteilen, können Sie den Benutzer zu einem Mitglied der globaler Administrator Rolle machen. Führen Sie dazu die folgenden Schritte aus:

Warnung

Benutzer, denen die Rolle „Globaler Administrator“ zugewiesen ist, können alle administrativen Einstellungen in Ihrer Azure AD-Organisation lesen und ändern. Als bewährte Methode wird empfohlen, diese Rolle weniger als fünf Personen in Ihrer Organisation zuzuweisen.

  1. Melden Sie sich mit einem Administratorkonto bei der Azure-Portal an. Das Konto sollte ein Besitzer, globaler Administrator oder Benutzerkontoadministrator sein.

  2. Wählen Sie Azure Active Directory im linken Navigationsbereich aus.

  3. Stellen Sie sicher, dass Sie das entsprechende Verzeichnis bearbeiten, das dem Benutzerabonnement entspricht. Wenn nicht, wählen Sie "Verzeichnis wechseln " aus, und melden Sie sich bei Bedarf mit den entsprechenden Anmeldeinformationen an.

  4. Wählen Sie " Benutzer " aus dem Abschnitt "Verwalten" aus.

  5. Verwenden Sie das Suchfeld, um nach dem Benutzer zu suchen, den Sie verwalten möchten.

  6. Wählen Sie die Verzeichnisrolle aus dem Abschnitt "Verwalten" aus, und ändern Sie dann die Rolle in globaler Administrator. Wählen Sie "Speichern" aus, wenn Sie fertig sind.

Normalerweise dauert es 15 bis 20 Minuten, um die Änderungen global anzuwenden. Der Benutzer kann dann versuchen, die Dienstverbindung neu zu erstellen.

Der Benutzer ist nicht berechtigt, Anwendungen im Verzeichnis hinzuzufügen.

Sie müssen über Berechtigungen zum Hinzufügen integrierter Anwendungen im Verzeichnis verfügen. Der Verzeichnisadministrator verfügt über Berechtigungen, um diese Einstellung zu ändern.

  1. Wählen Sie Azure Active Directory im linken Navigationsbereich aus.

  2. Stellen Sie sicher, dass Sie das entsprechende Verzeichnis bearbeiten, das dem Benutzerabonnement entspricht. Wenn nicht, wählen Sie "Verzeichnis wechseln " aus, und melden Sie sich bei Bedarf mit den entsprechenden Anmeldeinformationen an.

  3. Wählen Sie "Benutzer" und dann " Benutzereinstellungen" aus.

  4. Ändern Sie unter App-Registrierungen, und ändern Sie dann die Option "Benutzer" in "Ja".

Sie können auch den Dienstprinzipal mit einem vorhandenen Benutzer erstellen, der bereits über die erforderlichen Berechtigungen in Azure Active Directory verfügt. Weitere Informationen finden Sie unter Erstellen einer Azure-Resource Manager-Dienstverbindung mit einem vorhandenen Dienstprinzipal.

Fehler beim Abrufen eines Zugriffstokens oder eines gültigen Aktualisierungstokens wurde nicht gefunden.

Diese Fehler treten in der Regel auf, wenn Ihre Sitzung abgelaufen ist. So beheben Sie diese Probleme:

  1. Melden Sie sich bei Azure DevOps ab.
  2. Öffnen Sie ein InPrivate- oder Inkognito-Browserfenster, und navigieren Sie zu Azure DevOps.
  3. Melden Sie sich mit den entsprechenden Anmeldeinformationen an.
  4. Wählen Sie Ihre Organisation und Ihr Projekt aus.
  5. Erstellen Sie Ihre Dienstverbindung.

Fehler beim Zuweisen der Rolle "Mitwirkender"

Dieser Fehler tritt in der Regel auf, wenn Sie keine Schreibberechtigung für das ausgewählte Azure-Abonnement besitzen.

Um dieses Problem zu beheben, bitten Sie den Abonnementadministrator, Ihnen die entsprechende Rolle in Azure Active Directory zuzuweisen.

Das Abonnement wird beim Erstellen einer Dienstverbindung nicht aufgeführt.

Maximal 50 Azure-Abonnements werden in den verschiedenen Dropdownmenüs für Azure-Abonnements (Abrechnung, Dienstverbindung usw.) aufgeführt. Wenn Sie eine Dienstverbindung einrichten und über mehr als 50 Azure-Abonnements verfügen, werden einige Ihrer Abonnements nicht aufgeführt. Führen Sie in diesem Szenario die folgenden Schritte aus:

  1. Erstellen Sie einen neuen, nativen Azure AD-Benutzer in der Azure AD-Instanz Ihres Azure-Abonnements.

  2. Richten Sie den Azure AD-Benutzer so ein, dass er über die richtigen Berechtigungen verfügt, um Abrechnungen einzurichten oder Dienstverbindungen zu erstellen. Weitere Informationen finden Sie unter Hinzufügen eines Benutzers, der die Abrechnung für Azure DevOps einrichten kann.

  3. Fügen Sie den Azure AD-Benutzer der Azure DevOps-Organisation mit einer Zugriffsstufe für Stakeholder hinzu, und fügen Sie ihn der Gruppe "Project-Sammlungsadministratoren " hinzu (zur Abrechnung), oder stellen Sie sicher, dass der Benutzer über ausreichende Berechtigungen im Teamprojekt verfügt, um Dienstverbindungen zu erstellen.

  4. Melden Sie sich mit den neuen Benutzeranmeldeinformationen bei Azure DevOps an, und richten Sie eine Abrechnung ein. In der Liste wird nur ein Azure-Abonnement angezeigt.

Einige Abonnements fehlen in der Liste der Abonnements

Dieses Problem kann behoben werden, indem Sie die unterstützten Kontotypeneinstellungen ändern und definieren, wer Ihre Anwendung verwenden kann. Gehen Sie dazu wie folgt vor:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie den Verzeichnis+ Abonnementfilter im oberen Menü, um den Mandanten auszuwählen, in dem Sie eine Anwendung registrieren möchten.

    Screenshot des Symbols

  3. Wählen Sie Azure Active Directory im linken Bereich aus.

  4. Wählen Sie App-Registrierungen aus.

  5. Wählen Sie die Anwendung aus der Liste der registrierten Anwendungen aus.

  6. Wählen Sie unter "Authentifizierung" die Option "Unterstützte Kontotypen" aus.

  7. Unter unterstützten Kontotypenkönnen Sie diese Anwendung verwenden oder auf diese API zugreifen? Wählen Sie "Konten" in einem beliebigen Organisationsverzeichnis aus.

    Screenshot der unterstützten Kontotypen.

  8. Wählen Sie "Speichern" aus, wenn Sie fertig sind.

Das Token des Dienstprinzipals ist abgelaufen.

Ein Problem, das häufig mit Dienstprinzipalen entsteht, die automatisch erstellt werden, besteht darin, dass das Token des Dienstprinzipals abläuft und erneuert werden muss. Wenn Sie jedoch ein Problem beim Aktualisieren des Tokens haben, wurde das gültige Aktualisierungstoken nicht gefunden.

So verlängern Sie das Zugriffstoken für einen automatisch erstellten Dienstprinzipal:

  1. Wechseln Sie zu Project settings>Service Connections, und wählen Sie dann die Dienstverbindung aus, die Sie ändern möchten.

  2. Wählen Sie " Bearbeiten" in der oberen rechten Ecke und dann die Option "Überprüfen" aus.

  3. Wählen Sie Speichern aus.

Das Token ihres Dienstprinzipals wurde seit zwei Jahren verlängert.

Fehler beim Abrufen der JWT mithilfe der Dienstprinzipalclient-ID

Dieses Problem tritt auf, wenn Sie versuchen, eine Dienstverbindung mit einem abgelaufenen geheimen Schlüssel zu überprüfen.

So lösen Sie das Problem:

  1. Wechseln Sie zu Project settings>Service Connections, und wählen Sie dann die Dienstverbindung aus, die Sie ändern möchten.

  2. Wählen Sie " Bearbeiten" in der oberen rechten Ecke aus, und nehmen Sie dann eine Änderung an Ihrer Dienstverbindung vor. Die einfachste und empfohlene Änderung besteht darin, eine Beschreibung hinzuzufügen.

  3. Wählen Sie "Speichern " aus, um die Dienstverbindung zu speichern.

    Hinweis

    Wählen Sie Speichern aus. Versuchen Sie nicht, die Dienstverbindung in diesem Schritt zu überprüfen.

  4. Beenden Sie das Bearbeitungsfenster für die Dienstverbindung, und aktualisieren Sie dann die Seite "Dienstverbindungen".

  5. Wählen Sie " Bearbeiten" in der oberen rechten Ecke aus, und wählen Sie dann "Überprüfen" aus.

  6. Wählen Sie "Speichern " aus, um Ihre Dienstverbindung zu speichern.

Das Azure-Abonnement wird nicht von der vorherigen Vorgangsausgabe übergeben.

Wenn Sie Ihr Azure-Abonnement dynamisch für Ihre Releasepipeline festlegen und die Ausgabevariable aus einer vorherigen Aufgabe nutzen möchten, tritt dieses Problem möglicherweise auf.

Um das Problem zu beheben, stellen Sie sicher, dass die Werte innerhalb des Variablenabschnitts Ihrer Pipeline definiert sind. Anschließend können Sie diese Variable zwischen den Aufgaben Ihrer Pipeline übergeben.

Welche Authentifizierungsmechanismen werden unterstützt? Wie funktionieren verwaltete Identitäten?

Eine Azure-Resource Manager-Dienstverbindung kann eine Verbindung mit einem Azure-Abonnement herstellen, indem sie eine Dienstprinzipalauthentifizierung (SPA) oder eine verwaltete Identitätsauthentifizierung verwenden. Verwaltete Identitäten für Azure-Ressourcen stellen Azure-Dienste mit einer automatisch verwalteten Identität in Azure Active Directory (Azure AD) bereit. Sie können diese Identität verwenden, um sich bei jedem Dienst zu authentifizieren, der die Azure AD-Authentifizierung unterstützt, ohne Anmeldeinformationen im Code oder in der Dienstverbindung beizubehalten.

Informationen zu verwalteten Identitäten für virtuelle Computer finden Sie unter Zuweisen von Rollen.

Hinweis

Verwaltete Identitäten werden in von Microsoft gehosteten Agents nicht unterstützt. In diesem Szenario müssen Sie einen selbst gehosteten Agent auf einer Azure-VM einrichten und eine verwaltete Identität für diesen virtuellen Computer konfigurieren.