Solución de problemas de conexiones de servicio de ARM

  • Artículo
  • 9 minutos para leer

Azure Pipelines | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2015

En este artículo se presentan los escenarios comunes de solución de problemas para ayudarle a resolver los problemas que pueden surgir al crear una conexión Azure Resource Manager servicio. Consulte Administración de conexiones de servicio para obtener información sobre cómo crear, editar y proteger las conexiones de servicio.

¿Qué ocurre cuando se crea una conexión de servicio arm?

Si no tiene una conexión de servicio, puede crear una como se muestra a continuación:

  1. Desde dentro del proyecto, seleccione Project configuración y,a continuación, seleccione Conexiones de servicio.

    Captura de pantalla que muestra cómo acceder a las conexiones de servicio desde la configuración del proyecto

  2. Seleccione Nueva conexión de servicio para agregar una nueva conexión de servicio y, a continuación, seleccione Azure Resource Manager. Seleccione Siguiente cuando haya terminado.

    Captura de pantalla que muestra los tipos de conexiones de servicio.

  3. Seleccione Entidad de servicio (automática)y, a continuación, seleccione **Siguiente.

  4. Seleccione Suscripcióny, a continuación, seleccione su suscripción en la lista desplegable. Rellene el formulario y seleccione Guardar cuando haya terminado.

    Captura de pantalla que muestra el nuevo formulario de conexión del servicio ARM.

Al guardar la nueva conexión de servicio de ARM, Azure DevOps a continuación:

  1. Se conecta al inquilino Azure Active Directory (Azure AD) de a la suscripción seleccionada.
  2. Crea una aplicación en Azure AD en nombre del usuario.
  3. Una vez creada correctamente la aplicación, asígnela como colaborador a la suscripción seleccionada.
  4. Crea una Azure Resource Manager de servicio mediante los detalles de esta aplicación.

Nota

Para crear conexiones de servicio, debe agregarse al grupo Endpoint Creator en la configuración del proyecto: Project configuraciónDe seguridad de conexiones deservicio. Los colaboradores se agregan a este grupo de forma predeterminada.

Escenarios de solución de problemas

A continuación se muestran algunos de los problemas que pueden producirse al crear conexiones de servicio:

Privilegios insuficientes para completar la operación

Esto suele ocurrir cuando el sistema intenta crear una aplicación en Azure AD en su nombre.

Se trata de un problema de permiso que puede deberse a las siguientes causas:

El usuario solo tiene permiso de invitado en el directorio

El mejor enfoque para resolver este problema, al tiempo que se conceden solo los permisos mínimos adicionales al usuario, es aumentar los permisos de usuario invitado como se muestra a continuación.

  1. Inicie sesión en el Azure Portal con una cuenta de administrador. La cuenta debe ser un propietario,un administrador globalo un administrador de cuentas de usuario.

  2. Seleccione Azure Active Directory en la barra de navegación izquierda.

  3. Asegúrese de que está editando el directorio adecuado correspondiente a la suscripción de usuario. Si no es así, seleccione Cambiar directorio e inicie sesión con las credenciales adecuadas si es necesario.

  4. Seleccione Usuarios en la sección Administrar.

  5. Seleccione Configuración de usuario.

  6. Seleccione Administrar la configuración de colaboración externa en la sección Usuarios externos.

  7. Cambie la opción Permisos de usuario invitado aNo.

Como alternativa, si está preparado para conceder al usuario permisos adicionales (nivel de administrador), puede convertir al usuario en miembro del rol Administrador global usuario. Para ello, siga estos pasos:

Advertencia

Los usuarios que tienen asignado el rol Administrador global pueden leer y modificar cada configuración administrativa de la organización de Azure AD. Como procedimiento recomendado, aconsejamos que se asigne este rol a menos de cinco personas de su organización.

  1. Inicie sesión en el Azure Portal con una cuenta de administrador. La cuenta debe ser un propietario,un administrador globalo un administrador de cuentas de usuario.

  2. Seleccione Azure Active Directory en el panel de navegación izquierdo.

  3. Asegúrese de que está editando el directorio adecuado correspondiente a la suscripción de usuario. Si no es así, seleccione Cambiar directorio e inicie sesión con las credenciales adecuadas si es necesario.

  4. Seleccione Usuarios en la sección Administrar.

  5. Use el cuadro de búsqueda para buscar el usuario que desea administrar.

  6. Seleccione Rol de directorio en la sección Administrar y, a continuación, cambie el rol a Administrador global. Seleccione Guardar cuando haya terminado.

Normalmente, los cambios tardan entre 15 y 20 minutos en aplicarse globalmente. A continuación, el usuario puede intentar volver a crear la conexión de servicio.

El usuario no está autorizado para agregar aplicaciones en el directorio

Debe tener permisos para agregar aplicaciones integradas en el directorio. El administrador de directorios tiene permisos para cambiar esta configuración.

  1. Seleccione Azure Active Directory en el panel de navegación izquierdo.

  2. Asegúrese de que está editando el directorio adecuado correspondiente a la suscripción de usuario. Si no es así, seleccione Cambiar directorio e inicie sesión con las credenciales adecuadas si es necesario.

  3. Seleccione Usuarios y,a continuación, seleccione Configuración de usuario.

  4. En Registros de aplicacionesy, a continuación, cambie la opción Users can register applications (Los usuarios pueden registrar aplicaciones) a Sí.

También puede crear la entidad de servicio con un usuario existente que ya tenga los permisos necesarios en Azure Active Directory. Consulte Creación de una Azure Resource Manager de servicio con una entidad de servicio existente para obtener más información.

No se pudo obtener un token de acceso o no se encontró un token de actualización válido

Estos errores suelen producirse cuando la sesión ha expirado. Para resolver estos problemas:

  1. Cerrar sesión en Azure DevOps.
  2. Abra una ventana del explorador InPrivate o incógnito y vaya a Azure DevOps.
  3. Inicie sesión con las credenciales adecuadas.
  4. Seleccione la organización y el proyecto.
  5. Cree la conexión de servicio.

No se pudo asignar el rol Colaborador

Este error suele producirse cuando no tiene permiso de escritura para la suscripción de Azure seleccionada.

Para resolver este problema, pida al administrador de suscripciones que le asigne el rol adecuado en Azure Active Directory.

Faltan algunas suscripciones en la lista de suscripciones

Para corregir este problema, deberá modificar los tipos de cuenta admitidos y quién puede usar la aplicación. Para ello, siga estos pasos:

  1. Inicie sesión en Azure Portal.

  2. Si tiene acceso a varios inquilinos, use el filtro Directorio y suscripción del menú superior para seleccionar el inquilino en el que desea registrar una aplicación.

    Captura de pantalla que muestra el icono de directorio y suscripciones en Azure Portal.

  3. Seleccione Azure Active Directory en el panel izquierdo.

  4. Seleccione App registrations (Registros de aplicaciones).

  5. Seleccione la aplicación en la lista de aplicaciones registradas.

  6. En Essentials,seleccione Tipos de cuenta admitidos.

  7. En Tipos de cuenta admitidos,Quién puede usar esta aplicación o acceder a esta API? seleccione Cuentas en cualquier directorio organizativo.

    Captura de pantalla que muestra los tipos de cuenta admitidos.

  8. Seleccione Guardar cuando haya terminado.

La suscripción no aparece al crear una conexión de servicio

Se muestran un máximo de 50 suscripciones de Azure en los distintos menús desplegables de suscripciones de Azure (facturación, conexión de servicio, etc.). Si va a configurar una conexión de servicio y tiene más de 50 suscripciones de Azure, algunas de las suscripciones no aparecerán en la lista. En este escenario, complete los pasos siguientes:

  1. Cree un nuevo usuario nativo Azure AD en la Azure AD de la suscripción de Azure.

  2. Configure el usuario Azure AD para que tenga los permisos adecuados para configurar la facturación o crear conexiones de servicio. Para obtener más información, consulte Adición de un usuario que puede configurar la facturación para Azure DevOps.

  3. Agregue el usuario Azure AD a la organización de Azure DevOps con un nivel de acceso de partes interesadas y, a continuación, agrégrélo al grupo administradores de recopilación de Project (para facturación) o asegúrese de que el usuario tiene permisos suficientes en Team Project para crear conexiones de servicio.

  4. Inicie sesión en Azure DevOps con las nuevas credenciales de usuario y configure una facturación. Solo verá una suscripción de Azure en la lista.

El token de la entidad de servicio expiró

Un problema que suele surgir con las entidades de servicio que se crean automáticamente es que el token de la entidad de servicio expira y debe renovarse. Sin embargo, si tiene un problema con la actualización del token, vea no se encontró el token de actualización válido.

Para renovar el token de acceso para una entidad de servicio creada automáticamente:

  1. Vaya a Project configuración Conexionesde servicio y, a continuación, seleccione la conexión de servicio que desea modificar.

  2. Seleccione Editar en la esquina superior derecha y, a continuación, seleccione Comprobar.

  3. Seleccione Guardar.

El token de la entidad de servicio ahora se ha renovado durante dos años más.

No se pudo obtener el JWT mediante el identificador de cliente de la entidad de servicio.

Este problema se produce cuando se intenta comprobar una conexión de servicio que tiene un secreto expirado.

Para solucionar este problema:

  1. Vaya a Project configuración Conexionesde servicio y, a continuación, seleccione la conexión de servicio que desea modificar.

  2. Seleccione Editar en la esquina superior derecha y, a continuación, realice cualquier cambio en la conexión de servicio. El cambio más sencillo y recomendado es agregar una descripción.

  3. Seleccione Guardar para guardar la conexión de servicio.

    Nota

    Seleccione Guardar. No intente comprobar la conexión de servicio en este paso.

  4. Salga de la ventana de edición de la conexión de servicio y actualice la página conexiones de servicio.

  5. Seleccione Editar en la esquina superior derecha y, ahora, seleccione Comprobar.

  6. Seleccione Guardar para guardar la conexión de servicio.

La suscripción de Azure no se pasa desde la salida de la tarea anterior

Al establecer dinámicamente la suscripción de Azure para la canalización de versión y desea consumir la variable de salida de una tarea anterior, es posible que se encuentre con este problema.

Para resolver el problema, asegúrese de que los valores se definen dentro de la sección variables de la canalización. A continuación, puede pasar esta variable entre las tareas de la canalización.

¿Qué mecanismos de autenticación se admiten? ¿Cómo funcionan las identidades administradas?

Una Azure Resource Manager de servicio puede conectarse a una suscripción de Azure mediante una autenticación de entidad de servicio (SPA) o una autenticación de identidad administrada. Las identidades administradas para recursos de Azure proporcionan a los servicios de Azure una identidad administrada automáticamente en Azure Active Directory (Azure AD). Puede usar esta identidad para autenticarse en cualquier servicio que admita la autenticación Azure AD sin conservar las credenciales en el código o en la conexión de servicio.

Para obtener información sobre las identidades administradas para máquinas virtuales, consulte Asignación de roles.

Nota

Las identidades administradas no se admiten en los agentes hospedados por Microsoft. En este escenario, debe configurar un agente auto hospedado en una máquina virtual de Azure y configurar una identidad administrada para esa máquina virtual.