Conectar a Microsoft Azure
Si desea usar un conjunto predefinido de permisos de acceso y aún no tiene una entidad de servicio adecuada definida, siga uno de estos tutoriales para crear una entidad de servicio:
En Azure DevOps, abra la página Conexiones de servicio desde la página de configuración del proyecto. En TFS, abra la página Servicios desde el icono "configuración" de la barra de menús superior.
Elija + Nueva conexión de servicio y seleccione Azure Resource Manager.
Elija la opción Entidad de servicio (manual) y escriba los detalles de la entidad de servicio.
Escriba un nombre de conexión descriptivo que se usará al hacer referencia a esta conexión de servicio.
Seleccione el nombre del entorno (como Azure Cloud, Azure Stack o un Azure Government Cloud).
Si no selecciona AzureCloud,escriba la dirección URL del entorno. Por Azure Stack, será algo parecido a
https://management.local.azurestack.externalSeleccione el nivel de ámbito que necesita:
- Si elige Suscripción,seleccione una suscripción de Azure existente. Si no ve ninguna suscripción o instancia de Azure, consulte Solución de problemas Azure Resource Manager conexiones de servicio. |
- Si elige Grupo de administración, seleccione un grupo de administración de Azure existente. Consulte Creación de grupos de administración. |
Escriba la información sobre la entidad de servicio en los cuadros de texto del cuadro de texto Suscripción de Azure:
- Id. de suscripción
- Nombre de suscripción
- Id. de entidad del servicio
- La clave de cliente de la entidad de servicio o, si ha seleccionado Certificado,escriba el contenido de las secciones certificado y clave privada del archivo *.pem.
- Id. de inquilino
Puede obtener esta información si no la tiene a mano descargando y ejecutando este script de PowerShell en una ventana Azure PowerShell comandos. Cuando se le solicite, escriba el nombre de la suscripción, la contraseña, el rol (opcional) y el tipo de nube, como Azure Cloud (el valor predeterminado), Azure Stack o Azure Government Cloud.
Elija Comprobar conexión para validar la configuración que escribió.
Después de crear la nueva conexión de servicio:
- Si lo usa en la interfaz de usuario, seleccione el nombre de conexión que asignó en la configuración de suscripción de Azure de la canalización.
- Si lo usa en YAML, copie el nombre de la conexión en el código como el valor azureSubscription.
Si es necesario, modifique la entidad de servicio para exponer los permisos adecuados. Para más información, consulte Uso de Role-Based Access Control para administrar el acceso a los recursos de la suscripción de Azure. Esta entrada de blog también contiene más información sobre el uso de la autenticación de entidad de servicio.
Vea también: Solución de problemas Azure Resource Manager conexiones de servicio.
Creación de una Azure Resource Manager de servicio a una máquina virtual con una identidad de servicio administrada
Nota
Debe usar un agente auto-hospedado en una máquina virtual de Azure para poder usar la identidad de servicio administrada.
Puede configurar agentes basados en Azure Virtual Machines (VM) con una instancia de Azure Managed Service Identity en Azure Active Directory (Azure AD). Esto le permite usar la identidad asignada por el sistema (entidad de servicio) para conceder a los agentes basados en máquina virtual de Azure acceso a cualquier recurso de Azure que admita Azure AD, como Key Vault, en lugar de conservar las credenciales en Azure DevOps para la conexión.
En Azure DevOps, abra la página Conexiones de servicio desde la página de configuración del proyecto. En TFS, abra la página Servicios desde el icono "configuración" de la barra de menús superior.
Elija + Nueva conexión de servicio y seleccione Azure Resource Manager.
Seleccione la opción Managed Identity Authentication (Administrado).
Escriba un nombre de conexión descriptivo que se usará al hacer referencia a esta conexión de servicio.
Seleccione el nombre del entorno (como Azure Cloud, Azure Stack o un Azure Government Cloud).
Escriba los valores de la suscripción en estos campos del cuadro de diálogo de conexión:
- Id. de suscripción
- Nombre de suscripción
- Id. de inquilino
Después de crear la nueva conexión de servicio:
- Si lo usa en la interfaz de usuario, seleccione el nombre de conexión que asignó en la configuración de suscripción de Azure de la canalización.
- Si lo usa en YAML, copie el nombre de la conexión en el código como el valor azureSubscription.
Asegúrese de que la máquina virtual (agente) tiene los permisos adecuados. Por ejemplo, si el código necesita llamar a Azure Resource Manager, asigne a la máquina virtual el rol adecuado mediante Role-Based Access Control (RBAC) en Azure AD. Para más información, consulte ¿Cómo puedo usar identidades administradas para recursos de Azure? y Uso de Role-Based Access Control para administrar el acceso a los recursos de la suscripción de Azure.
Vea también: Solución de problemas Azure Resource Manager conexiones de servicio.
Conectar a una Azure Government Cloud
Para obtener información sobre cómo conectarse a Azure Government Cloud, consulte:
Conexión a Azure Stack
Para obtener información sobre cómo conectarse Azure Stack, vea:
- Conexión a Azure Stack
- Conectar Azure Stack a Azure mediante VPN
- Conexión de Azure Stack a Azure mediante ExpressRoute
Ayuda y soporte técnico
- Vea la guía de solución de problemas
- Obtenga consejos en Stack Overflow y no dude en publicar preguntas, buscar respuestas o sugerir una característica en la comunidad de desarrolladores de Azure DevOps. Página de soporte técnico.
Azure Pipelines | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 | TFS 2017
Nota
En Microsoft Team Foundation Server (TFS) 2018 y versiones anteriores, las canalizaciones de compilación y versión se denominan definiciones, las ejecuciones se denominan compilaciones, las conexiones de servicio se denominan puntos de conexión de servicio, las fases se denominan entornos y los trabajos se denominan fases.
Para implementar la aplicación en un recurso de Azure (en un servicio de aplicaciones o en una máquina virtual), necesita una conexión Azure Resource Manager servicio.
Para otros tipos de conexión e información general sobre cómo crear y usar conexiones, vea Conexiones de servicio para compilaciones y versiones.
Creación de una Azure Resource Manager de servicio mediante la seguridad automatizada
Se recomienda este enfoque sencillo si:
- Ha iniciado sesión como propietario de la organización Azure Pipelines la suscripción de Azure.
- No es necesario limitar aún más los permisos para los recursos de Azure a los que se accede a través de la conexión de servicio.
- No se está conectando a Azure Stack o a una Azure Government Cloud.
- No se está conectando desde Azure DevOps Server 2019 o versiones anteriores de TFS
En Azure DevOps, abra la página Conexiones de servicio desde la página de configuración del proyecto. En TFS, abra la página Servicios desde el icono "configuración" de la barra de menús superior.
Elija + Nueva conexión de servicio y seleccione Azure Resource Manager.
Especifique los parámetros siguientes.
Parámetro Descripción Nombre de la conexión Obligatorio. Nombre que usará para hacer referencia a esta conexión de servicio en las propiedades de la tarea. Este no es el nombre de la suscripción de Azure. Nivel de ámbito Seleccione Suscripción o Grupo de administración. Los grupos de administración son contenedores que le ayudan a administrar el acceso, la directiva y el cumplimiento en varias suscripciones. Subscription Si seleccionó Suscripción para el ámbito, seleccione una suscripción de Azure existente. Si no ve ninguna suscripción o instancia de Azure, consulte Solución de problemas Azure Resource Manager conexiones de servicio. Grupo de administración Si seleccionó Grupo de administración para el ámbito, seleccione un grupo de administración de Azure existente. Consulte Creación de grupos de administración. Grupo de recursos Déjelo vacío para permitir que los usuarios accedan a todos los recursos definidos dentro de la suscripción o seleccione un grupo de recursos al que quiera restringir el acceso de los usuarios (los usuarios solo podrán acceder a los recursos definidos dentro de ese grupo). Después de crear la nueva conexión de servicio:
- Si usa el editor clásico, seleccione el nombre de conexión que asignó en la configuración de suscripción de Azure de la canalización.
- Si usa YAML, copie el nombre de la conexión en el código como
azureSubscriptionvalor.
Para implementar en un recurso de Azure específico, la tarea necesitará datos adicionales sobre ese recurso.
- Si usa el editor clásico, seleccione los datos que necesita. Por ejemplo, el App Service nombre.
- Si usa YAML, vaya al recurso de la Azure Portal y copie los datos en el código. Por ejemplo, para implementar una aplicación web, copiaría el nombre del App Service en el
WebAppNamevalor .
Nota
Al seguir este enfoque, Azure DevOps se conecta con Azure Active Directory (Azure AD)y crea un registro de aplicación con un secreto que es válido durante dos años. Cuando la conexión de servicio tiene casi dos años de antigüedad, Azure AD muestra este mensaje: Un certificado o secreto expirará pronto. Cree uno nuevo. En este escenario, debe actualizar la conexión de servicio.
Para actualizar una conexión de servicio, en Azure DevOps portal, edite la conexión y seleccione Comprobar. Después de guardar la edición, la conexión de servicio es válida durante otros dos años.
Consulte también: Solución de problemas Azure Resource Manager conexión de servicio.
Si tiene problemas para usar este enfoque (por ejemplo, no se muestran suscripciones en la lista desplegable) o si desea limitar aún más los permisos de los usuarios, puede usar en su lugar una entidad de servicio o una máquina virtual con una identidad de servicio administrada.