Gunakan Tindakan GitHub untuk membuat sambungan ke Azure

Pelajari cara menggunakan login Azure dengan Azure PowerShell atau Azure CLI untuk berinteraksi dengan sumber daya Azure Anda.

Untuk menggunakan Azure PowerShell atau Azure CLI dalam alur kerja Tindakan GitHub, Anda harus masuk terlebih dahulu dengan tindakan login Azure.

Tindakan login Azure mendukung dua cara autentikasi berbeda menggunakan Azure:

• Perwakilan layanan dengan rahasia
• OpenID Connect (OIDC) dengan perwakilan layanan Azure menggunakan Info masuk Identitas Terfederasi

Secara default, tindakan login masuk menggunakan Azure CLI dan menyiapkan lingkungan pengeksekusi tindakan GitHub untuk Azure CLI. Anda dapat menggunakan Azure PowerShell dengan properti enable-AzPSSession pada tindakan login Azure. Dengan ini, lingkungan pengeksekusi tindakan GitHub disiapkan dengan modul Azure PowerShell.

Anda dapat menggunakan login Azure untuk tersambung ke cloud publik atau sovereign cloud termasuk Azure Government dan Azure Stack Hub.

Gunakan tindakan login Azure dengan OpenID Connect

Untuk menyiapkan Login Azure dengan OpenID Connect dan menggunakannya dalam alur kerja tindakan GitHub, Anda memerlukan:

• Aplikasi Azure Active Directory, dengan perwakilan layanan yang memiliki akses kontributor ke langganan Anda
• Aplikasi Azure Active Directory dikonfigurasi dengan informasi masuk terfederasi untuk memercayai token yang dikeluarkan oleh Tindakan GitHub ke repositori GitHub Anda. Anda dapat mengonfigurasikan ini di portal Microsoft atau dengan REST API Microsoft Graph
• Alur kerja Tindakan GitHub yang meminta GitHub mengeluarkan token ke alur kerja, dan menggunakan tindakan login Azure

Membuat aplikasi Microsoft Azure Active Directory dan perwakilan layanan

Anda harus membuat aplikasi Azure Active Directory dan perwakilan layanan, kemudian menetapkan peran pada langganan Anda ke aplikasi sehingga alur kerja Anda memiliki akses ke langganan Anda.

portal Microsoft Azure

1. Jika Anda belum memiliki aplikasi, daftarkan aplikasi Azure Active Directory dan perwakilan layanan baru yang bisa mengakses sumber daya. Sebagai bagian dari proses ini, pastikan untuk:

   • Mendaftarkan aplikasi Anda pada Azure Active Directory dan membuat perwakilan layanan
   • Menetapkan peran ke aplikasi

2. Buka Pendaftaran aplikasi di portal Azure dan temukan aplikasi Anda. Salin nilai untuk ID Aplikasi (klien) dan ID Direktori (penyewa) untuk digunakan dalam alur kerja tindakan GitHub Anda.

3. Buka Langganan di portal Azure dan temukan langganan Anda. Salin ID langganan.

Azure CLI

1. Buat aplikasi Azure Active Directory.

   az ad app create --display-name myApp
   

   Perintah ini akan menghasilkan JSON dengan appId JSON yang merupakan client-id Anda. objectId adalah APPLICATION-OBJECT-ID dan akan digunakan untuk membuat kredensial federasi dengan panggilan Graph API.

2. Buat Perwakilan Layanan. Ganti $appID dengan appId dari output JSON Anda. Perintah ini menghasilkan output JSON dengan objectId yang berbeda dan akan digunakan dalam langkah berikutnya. objectId yang baru adalah assignee-object-id.

    az ad sp create --id $appId
   

3. Membuat penetapan peran baru berdasarkan langganan dan objek. Secara default, penetapan peran akan terikat dengan langganan default Anda. Ganti $subscriptionId dengan ID langganan Anda, $resourceGroupName dengan nama grup sumber daya Anda, dan $assigneeObjectId dengan yang dihasilkan assignee-object-id (id objek perwakilan layanan yang baru dibuat).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Salin nilai untuk clientId, subscriptionId, dan tenantId untuk digunakan nanti dalam alur kerja Tindakan GitHub Anda.

Azure PowerShell

1. Buat aplikasi Azure Active Directory.

   New-AzADApplication -DisplayName myApp
   

   Perintah ini akan menghasilkan AppId properti yang merupakan milik Anda ClientId. Properti Id ini dan APPLICATION-OBJECT-ID akan digunakan untuk membuat kredensial federasi dengan panggilan Graph API.

2. Buat Perwakilan Layanan. $clientId Ganti dengan AppId dari output Anda. Perintah ini menghasilkan output dengan yang berbeda Id dan akan digunakan pada langkah berikutnya. Id yang baru adalah ObjectId.

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   New-AzADServicePrincipal -ApplicationId $clientId
   

3. Buat penetapan peran baru. Dimulai dengan modul Az PowerShell versi 7.x, New-AzADServicePrincipal tidak lagi menetapkan Contributor peran ke perwakilan layanan secara default. Ganti $resourceGroupName dengan nama grup sumber daya Anda, dan $objectId dengan yang dihasilkan Id.

   $objectId = (Get-AzADServicePrincipal -DisplayName myApp).Id
   New-AzRoleAssignment -ObjectId $objectId -RoleDefinitionName Contributor -ResourceGroupName $resourceGroupName
   

4. Dapatkan nilai untuk clientId, subscriptionId, dan tenantId untuk digunakan nanti di alur kerja GitHub Actions Anda.

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   $subscriptionId = (Get-AzContext).Subscription.Id
   $tenantId = (Get-AzContext).Subscription.TenantId
   

Tambahkan informasi masuk terfederasi

Anda dapat menambahkan informasi masuk terfederasi di portal Azure atau dengan REST API Microsoft Graph.

portal Microsoft Azure

1. Masuk ke Pendaftaran aplikasi pada portal Microsoft Azure dan buka aplikasi yang ingin Anda konfigurasikan.
2. Di dalam aplikasi, buka Sertifikat dan rahasia.
   
3. Di tab Kredensial gabungan, pilih Tambahkan kredensial.
4. Pilih skenario informasi masukTindakan GitHub yang menyebarkan sumber daya Azure. Buat informasi masuk Anda dengan memasukkan detail informasi masuk Anda.

Bidang	Deskripsi	Contoh
Organisasi	Nama organisasi GitHub atau nama pengguna GitHub Anda.	contoso
Repositori	Nama Repositori GitHub Anda.	contoso-app
Jenis entitas	Filter yang digunakan untuk mencakup permintaan OIDC dari alur kerja GitHub. Bidang ini digunakan untuk menghasilkan klaim subject.	Environment, Branch, Pull request, Tag
Nama GitHub	Nama lingkungan, cabang, atau tag.	main
Nama	Pengidentifikasi untuk informasi masuk terfederasi.	contoso-deploy

Untuk gambaran umum yang lebih detail, lihat Melakukan konfigurasi aplikasi untuk memercayai repositori GitHub.

Azure CLI

Jalankan perintah berikut ini untuk membuat informasi masuk identitas terfederasi yang baru bagi aplikasi Azure Active Directory Anda.

• Ganti APPLICATION-OBJECT-ID dengan objectId (dihasilkan saat membuat aplikasi) untuk aplikasi Azure Active Directory Anda.
• Tetapkan nilai untuk CREDENTIAL-NAME untuk referensi nanti.
• Set subject. Nilai ini ditentukan oleh GitHub tergantung pada alur kerja Anda:
  • Pekerjaan dalam lingkungan GitHub Actions Anda: repo:< Organization/Repository >:environment:< Name >
  • Untuk Pekerjaan yang tidak terikat dengan lingkungan, sertakan jalur referensi untuk cabang/tag berdasarkan jalur referensi yang digunakan untuk memicu alur kerja: repo:< Organization/Repository >:ref:< ref path>. Misalnya, repo:n-username/ node_express:ref:refs/heads/my-branch atau repo:n-username/ node_express:ref:refs/tags/my-tag.
  • Untuk alur kerja yang dipicu oleh peristiwa permintaan tarik: repo:< Organization/Repository >:pull_request.

az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:environment:Production","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 

Untuk gambaran umum yang lebih detail, lihat Melakukan konfigurasi aplikasi untuk memercayai repositori GitHub.

Azure PowerShell

Jalankan perintah berikut ini untuk membuat informasi masuk identitas terfederasi yang baru bagi aplikasi Azure Active Directory Anda.

• Ganti APPLICATION-OBJECT-ID dengan Id (dihasilkan saat membuat aplikasi) untuk aplikasi Azure Active Directory Anda.
• Tetapkan nilai untuk CREDENTIAL-NAME untuk referensi nanti.
• Set subject. Nilai ini ditentukan oleh GitHub tergantung pada alur kerja Anda:
  • Pekerjaan dalam lingkungan GitHub Actions Anda: repo:< Organization/Repository >:environment:< Name >
  • Untuk Pekerjaan yang tidak terikat dengan lingkungan, sertakan jalur referensi untuk cabang/tag berdasarkan jalur referensi yang digunakan untuk memicu alur kerja: repo:< Organization/Repository >:ref:< ref path>. Misalnya, repo:n-username/ node_express:ref:refs/heads/my-branch atau repo:n-username/ node_express:ref:refs/tags/my-tag.
  • Untuk alur kerja yang dipicu oleh peristiwa permintaan tarik: repo:< Organization/Repository >:pull_request.

Invoke-AzRestMethod -Method POST -Uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' -Payload  '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:environment:Production","description":"Testing","audiences":["api://AzureADTokenExchange"]}'

Untuk gambaran umum yang lebih detail, lihat Melakukan konfigurasi aplikasi untuk memercayai repositori GitHub.

Membuat rahasia GitHub

Anda perlu menyediakan ID Klien, ID Penyewa, dan ID Langganan aplikasi Anda untuk tindakan login. Nilai ini bisa disediakan secara langsung di alur kerja atau bisa disimpan di rahasia GitHub dan direferensikan dalam alur kerja Anda. Menyimpan nilai sebagai GitHub rahasia adalah opsi yang lebih aman.

1. Buka repositori GitHub Anda dan buka Pengaturan.

   

2. Pilih Rahasia lalu Rahasia Baru.

   

3. Membuat rahasia untuk AZURE_CLIENT_ID, AZURE_TENANT_ID, dan AZURE_SUBSCRIPTION_ID. Gunakan nilai-nilai dari aplikasi Azure Active Directory untuk rahasia GitHub Anda:

   GitHub Rahasia	Aplikasi Azure Active Directory
   AZURE_CLIENT_ID	ID (klien) Aplikasi
   AZURE_TENANT_ID	ID direktori (penyewa)
   AZURE_SUBSCRIPTION_ID	ID Langganan

4. Simpan setiap rahasia dengan memilih Tambahkan rahasia.

Menyiapkan Login Azure dengan autentikasi OpenID Connect

Alur kerja Tindakan GitHub Anda menggunakan OpenID Connect untuk autentikasi dengan Azure. Untuk mempelajari lebih lanjut tentang interaksi ini, lihat dokumentasi Tindakan GitHub.

Dalam contoh ini, Anda akan menggunakan OpenID Connect Azure CLI untuk autentikasi dengan Azure menggunakan tindakan Login Azure. Contoh ini menggunakan rahasia GitHub untuk nilai-nilai client-id, tenant-id, dan subscription-id. Anda juga dapat meneruskan nilai-nilai ini langsung dalam tindakan login.

Tindakan login Azure menyertakan parameter input audience opsional dengan pengaturan default ke api://AzureADTokenExchange. Anda dapat memperbarui parameter ini untuk nilai audiens khusus.

Linux

Alur kerja ini melakukan autentikasi pada OpenID Connect dan menggunakan Azure CLI untuk mendapatkan detail langganan yang tersambung dan mendaftar grup sumber daya.

name: Run Azure Login with OpenID Connect
on: [push]

permissions:
      id-token: write
      contents: read
      
jobs: 
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    - name: 'Az CLI login'
      uses: azure/login@v1
      with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
  
    - name: 'Run Azure CLI commands'
      run: |
          az account show
          az group list
          pwd 

Windows

Alur kerja ini melakukan autentikasi pada OpenID Connect dan menggunakan PowerShell untuk mengeluarkan daftar grup sumber daya yang terkait dengan langganan Azure yang tersambung.

name: Run Azure Login with OpenID Connect and PowerShell
on: [push]

permissions:
      id-token: write
      contents: read
      
jobs: 
  Windows-latest:
      runs-on: windows-latest
      steps:
        - name: OIDC Login to Azure Public Cloud with AzPowershell (enableAzPSSession true)
          uses: azure/login@v1
          with:
            client-id: ${{ secrets.AZURE_CLIENT_ID }}
            tenant-id: ${{ secrets.AZURE_TENANT_ID }}
            subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }} 
            enable-AzPSSession: true

        - name: 'Get resource group with PowerShell action'
          uses: azure/powershell@v1
          with:
             inlineScript: |
               Get-AzResourceGroup
             azPSVersion: "latest"

Verifikasi Login Azure yang berhasil dengan OpenID

Buka tindakan Az CLI login dan verifikasi bahwa hal itu berjalan sukses. Anda akan melihat pesan Login successful. Jika login Anda tidak berhasil, Anda akan melihat pesan Az CLI Login failed..

Menggunakan tindakan login Azure dengan rahasia perwakilan layanan

Untuk menggunakan Login Azure pada perwakilan layanan, Anda perlu menambahkan perwakilan layanan Azure Anda sebagai rahasia di repositori GitHub terlebih dahulu.

Buat dan tambahkan perwakilan layanan sebagai rahasia ke GitHub

Dalam contoh ini, Anda akan membuat satu rahasia bernama AZURE_CREDENTIALS yang dapat Anda gunakan untuk melakukan autentikasi dengan Azure.

1. Buka Azure Cloud Shell di portal Azure atau Azure CLI secara lokal.

   Catatan

   Jika menggunakan Azure Stack Hub, Anda harus mengatur titik akhir Manajemen SQL ke not supported. az cloud update -n {environmentName} --endpoint-sql-management https://notsupported

2. Buat perwakilan layanan baru di portal Azure untuk aplikasi Anda. Perwakilan layanan harus ditetapkan sebagai Kontributor.

       az ad sp create-for-rbac --name "myApp" --role contributor \
                                   --scopes /subscriptions/{subscription-id}/resourceGroups/{resource-group} \
                                   --sdk-auth
   

3. Salin objek JSON untuk perwakilan layanan Anda.

   {
       "clientId": "<GUID>",
       "clientSecret": "<GUID>",
       "subscriptionId": "<GUID>",
       "tenantId": "<GUID>",
       (...)
   }
   

4. Buka repositori GitHub Anda dan buka Pengaturan.

   

5. Pilih Rahasia lalu Rahasia Baru.

   

6. Tempelkan objek JSON Anda untuk perwakilan layanan dengan nama AZURE_CREDENTIALS.

   

7. Simpan dengan memilih Tambahkan rahasia.

Gunakan tindakan masuk Azure

Gunakan rahasia perwakilan layanan dengan tindakan Azure Login untuk melakukan autentikasi ke Azure.

Dalam alur kerja ini, Anda melakukan autentikasi menggunakan tindakan login Azure dengan detail perwakilan layanan yang disimpan di secrets.AZURE_CREDENTIALS. Kemudian, Anda menjalankan tindakan Azure CLI. Untuk informasi selengkapnya tentang merujuk rahasia GitHub dalam file alur kerja, lihat Menggunakan rahasia terenkripsi dalam alur kerja di GitHub Docs.

Setelah langkah login Azure Anda berfungsi, Anda dapat menggunakan tindakan Azure PowerShell atau Azure CLI. Anda juga dapat menggunakan tindakan Azure lainnya, seperti Penyebaran webapp Azure dan Fungsi Azure.

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'

Gunakan tindakan Azure PowerShell

Dalam contoh ini, Anda masuk dengan Tindakan Login Azure, kemudian mengambil grup sumber daya dengan Tindakan Azure PowerShell.

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'
          enable-AzPSSession: true
      - name: Azure PowerShell Action
        uses: Azure/powershell@v1
        with:
          inlineScript: Get-AzResourceGroup -Name "< YOUR RESOURCE GROUP >"
          azPSVersion: "latest"

Menggunakan tindakan Azure CLI

Dalam contoh ini, Anda masuk dengan Tindakan Login Azure, kemudian mengambil grup sumber daya dengan tindakan Azure CLI.

on: [push]

name: AzureLoginSample

jobs:
build-and-deploy:
    runs-on: ubuntu-latest
    steps:

    - name: Log in with Azure
        uses: azure/login@v1
        with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - name: Azure CLI script
        uses: azure/CLI@v1
        with:
        azcliversion: 2.0.72
        inlineScript: |
            az account show
            az storage -h

Membuat sambungan ke cloud Azure Government dan Azure Stack Hub

Untuk masuk ke salah satu cloud Azure Government, atur lingkungan parameter opsional dengan nama cloud AzureUSGovernment atau AzureChinaCloud yang didukung. Jika tidak ditentukan, parameter ini mengambil nilai default AzureCloud dan tersambung ke Azure Public Cloud.

   - name: Login to Azure US Gov Cloud with CLI
     uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: false
   - name: Login to Azure US Gov Cloud with Az Powershell
      uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: true

Sambungkan dengan layanan Azure lainnya

Artikel berikut memberikan detail tentang penyambungan ke GitHub dari Azure dan layanan lainnya.

Azure Active Directory

• Masuk ke GitHub Enterprise dengan Azure AD (akses menyeluruh)

Power BI

• Sambungkan Power BI dengan GitHub

Konektor

• Konektor GitHub untuk Azure Logic Apps, Power Automate, dan Power Apps

Azure Databricks

• Gunakan GitHub sebagai kontrol versi untuk notebook

Menyebarkan aplikasi dari GitHub ke Azure