Felsöka ARM-tjänstanslutningar

  • Artikel

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

I den här artikeln beskrivs vanliga felsökningsscenarier som hjälper dig att lösa problem som kan uppstå när du skapar en Azure Resource Manager-tjänstanslutning. Se Hantera tjänstanslutningar för att lära dig hur du skapar, redigerar och skyddar tjänstanslutningar.

Vad händer när du skapar en ARM-tjänstanslutning?

Om du inte har någon tjänstanslutning kan du skapa en på följande sätt:

  1. Från projektet väljer du Projektinställningar och sedan Tjänstanslutningar.

    Skärmbild som visar hur du kommer åt tjänstanslutningar från projektinställningar

  2. Välj Ny tjänstanslutning för att lägga till en ny tjänstanslutning och välj sedan Azure Resource Manager. Välj Nästa när du är klar.

    Skärmbild som visar tjänstanslutningstyperna.

  3. Välj Tjänstens huvudnamn (automatiskt) och välj sedan **Nästa.

  4. Välj Prenumeration och välj sedan din prenumeration i listrutan. Fyll i formuläret och välj sedan Spara när du är klar.

    Skärmbild som visar det nya arm-tjänstanslutningsformuläret.

När du sparar din nya ARM-tjänstanslutning gör Azure DevOps följande:

  1. Anslut till Microsoft Entra-klientorganisationen för den valda prenumerationen.
  2. Skapar ett program i Microsoft Entra ID åt användaren.
  3. När programmet har skapats konfigureras programmet som en deltagare till den valda prenumerationen.
  4. Skapar en Azure Resource Manager-tjänstanslutning med hjälp av programmets uppgifter.

Kommentar

Om du vill skapa tjänstanslutningar måste du läggas till i gruppen Slutpunktsskapare i projektinställningarna: Projektinställningar>Tjänstanslutningar>Säkerhet. Deltagare läggs till i den här gruppen som standard.

Felsökningsscenarier

Nedan följer några av de problem som kan uppstå när du skapar tjänstanslutningar:

Otillräcklig behörighet för att slutföra åtgärden

Detta inträffar vanligtvis när systemet försöker skapa ett program i Microsoft Entra-ID för din räkning.

Det här är ett behörighetsproblem som kan bero på följande orsaker:

Användaren har endast gästbehörighet i katalogen

Den bästa metoden för att lösa det här problemet, samtidigt som du endast beviljar användaren minsta ytterligare behörighet, är att öka gästanvändarbehörigheterna på följande sätt.

  1. Logga in på Azure-portalen med ett administratörskonto. Kontot ska vara ägare, global administratör eller användarkontoadministratör.

  2. Välj Microsoft Entra-ID i det vänstra navigeringsfältet.

  3. Se till att du redigerar lämplig katalog som motsvarar användarprenumerationen. Om inte väljer du Växla katalog och loggar in med lämpliga autentiseringsuppgifter om det behövs.

  4. Välj Användare i avsnittet Hantera .

  5. Välj Användarinställningar.

  6. Välj Hantera inställningar för externt samarbete i avsnittet Externa användare .

  7. Ändra behörigheter för gästanvändare är begränsade till Nej.

Om du är beredd att ge användaren ytterligare behörigheter (administratörsnivå) kan du också göra användaren till medlem i rollen Global administratör . Så här gör du genom att följa stegen nedan:

Varning

Användare som har tilldelats rollen Global administratör kan läsa och ändra alla administrativa inställningar i din Microsoft Entra-organisation. Vi rekommenderar att du tilldelar den här rollen till färre än fem personer i din organisation.

  1. Logga in på Azure-portalen med ett administratörskonto. Kontot ska vara ägare, global administratör eller användarkontoadministratör.

  2. Välj Microsoft Entra ID i det vänstra navigeringsfönstret.

  3. Se till att du redigerar lämplig katalog som motsvarar användarprenumerationen. Om inte väljer du Växla katalog och loggar in med lämpliga autentiseringsuppgifter om det behövs.

  4. Välj Användare i avsnittet Hantera .

  5. Använd sökrutan för att söka efter den användare som du vill hantera.

  6. Välj Katalogroll i avsnittet Hantera och ändra sedan rollen till Global administratör. Välj Spara när du är klar.

Det tar vanligtvis 15 till 20 minuter att tillämpa ändringarna globalt. Användaren kan sedan försöka återskapa tjänstanslutningen.

Användaren har inte behörighet att lägga till program i katalogen

Du måste ha behörighet att lägga till integrerade program i katalogen. Katalogadministratören har behörighet att ändra den här inställningen.

  1. Välj Microsoft Entra-ID i det vänstra navigeringsfönstret.

  2. Se till att du redigerar lämplig katalog som motsvarar användarprenumerationen. Om inte väljer du Växla katalog och loggar in med lämpliga autentiseringsuppgifter om det behövs.

  3. Välj Användare och sedan Användarinställningar.

  4. Under Appregistreringar och ändra sedan alternativet Användare kan registrera program till Ja.

Du kan också skapa tjänstens huvudnamn med en befintlig användare som redan har de behörigheter som krävs i Microsoft Entra-ID. Mer information finns i Skapa en Azure Resource Manager-tjänstanslutning med ett befintligt huvudnamn för tjänsten.

Det gick inte att hämta en åtkomsttoken eller så hittades inte en giltig uppdateringstoken

Dessa fel uppstår vanligtvis när sessionen har upphört att gälla. Så här löser du följande problem:

  1. Logga ut från Azure DevOps.
  2. Öppna ett InPrivate- eller inkognito-webbläsarfönster och gå till Azure DevOps.
  3. Logga in med lämpliga autentiseringsuppgifter.
  4. Välj din organisation och ditt projekt.
  5. Skapa din tjänstanslutning.

Det gick inte att tilldela deltagarrollen

Det här felet uppstår vanligtvis när du inte har skrivbehörighet för den valda Azure-prenumerationen.

Lös problemet genom att be prenumerationsadministratören att tilldela dig rätt roll i Microsoft Entra-ID.

Prenumeration visas inte när du skapar en tjänstanslutning

Högst 50 Azure-prenumerationer visas i de olika nedrullningsbara menyerna för Azure-prenumerationer (fakturering, tjänstanslutning osv.). Om du konfigurerar en tjänstanslutning och har fler än 50 Azure-prenumerationer visas inte några av dina prenumerationer. I det här scenariot utför du följande steg:

  1. Skapa en ny, inbyggd Microsoft Entra-användare i Microsoft Entra-instansen av din Azure-prenumeration.

  2. Konfigurera Microsoft Entra-användaren så att den har rätt behörigheter för att konfigurera fakturering eller skapa tjänstanslutningar. Mer information finns i Lägga till en användare som kan konfigurera fakturering för Azure DevOps.

  3. Lägg till Microsoft Entra-användaren i Azure DevOps-organisationen med en åtkomstnivå för intressenter och lägg sedan till den i gruppen Administratörer för projektsamling (för fakturering) eller se till att användaren har tillräcklig behörighet i teamprojektet för att skapa tjänstanslutningar.

  4. Logga in på Azure DevOps med de nya användarautentiseringsuppgifterna och konfigurera en fakturering. Du kommer bara se en Azure-prenumeration i listan.

Vissa prenumerationer saknas i listan över prenumerationer

Det här problemet kan åtgärdas genom att ändra inställningarna för kontotyper som stöds och definiera vem som kan använda ditt program. För att göra detta, följ stegen nedan:

  1. Logga in på Azure-portalen.

  2. Om du har åtkomst till flera klienter använder du filtret Katalog + prenumeration på den översta menyn för att välja den klientorganisation där du vill registrera ett program.

    Skärmbild som visar katalog- och prenumerationsikonen i Azure-portalen.

  3. Välj Microsoft Entra-ID i den vänstra rutan.

  4. Välj Appregistreringar.

  5. Välj ditt program i listan över registrerade program.

  6. Under Autentisering väljer du Kontotyper som stöds.

  7. Under Kontotyper som stöds kan Vem använda det här programmet eller komma åt det här API:et? välj Konton i valfri organisationskatalog.

    Skärmbild som visar vilka kontotyper som stöds.

  8. Välj Spara när du är klar.

Tjänstens huvudnamns token har upphört att gälla

Ett problem som ofta uppstår med tjänstens huvudnamn som skapas automatiskt är att tjänstens huvudnamns token upphör att gälla och måste förnyas. Men om du har problem med att uppdatera token kan du läsa giltig uppdateringstoken hittades inte.

Så här förnyar du åtkomsttoken för ett automatiskt skapat tjänsthuvudnamn:

  1. Gå till Projektinställningar>Tjänstanslutningar och välj sedan den tjänstanslutning som du vill ändra.

  2. Välj Redigera i det övre högra hörnet och välj Verifiera.

  3. Välj Spara.

Din tjänsthuvudnamns token har nu förnyats i ytterligare tre månader.

Kommentar

Den här åtgärden är tillgänglig även om tjänstens huvudnamnstoken inte har upphört att gälla.

Det gick inte att hämta JWT med hjälp av klient-ID:t för tjänstens huvudnamn

Det här problemet uppstår när du försöker verifiera en tjänstanslutning som har en hemlighet som har upphört att gälla.

Lös problemet så här:

  1. Gå till Projektinställningar>Tjänstanslutningar och välj sedan den tjänstanslutning som du vill ändra.

  2. Välj Redigera i det övre högra hörnet och gör sedan ändringar i tjänstanslutningen. Den enklaste och rekommenderade ändringen är att lägga till en beskrivning.

  3. Spara tjänstanslutningen genom att välja Spara .

    Kommentar

    Välj Spara. Försök inte verifiera tjänstanslutningen i det här steget.

  4. Avsluta redigeringsfönstret för tjänstanslutningen och uppdatera sedan sidan tjänstanslutningar.

  5. Välj Redigera i det övre högra hörnet och välj nu Verifiera.

  6. Välj Spara för att spara tjänstanslutningen.

Azure-prenumerationen skickas inte från föregående aktivitetsutdata

När du anger din Azure-prenumeration dynamiskt för din versionspipeline och vill använda utdatavariabeln från en föregående uppgift kan det här problemet uppstå.

Lös problemet genom att se till att värdena definieras i avsnittet variabler i din pipeline. Du kan sedan skicka den här variabeln mellan pipelinens uppgifter.

Vilka autentiseringsmekanismer stöds? Hur fungerar hanterade identiteter?

En Azure Resource Manager-tjänstanslutning kan ansluta till en Azure-prenumeration med hjälp av en autentisering med tjänstens huvudnamn (SPA) eller hanterad identitetsautentisering. Hanterade identiteter för Azure-resurser ger Azure-tjänster en automatiskt hanterad identitet i Microsoft Entra ID. Du kan använda den här identiteten för att autentisera till alla tjänster som stöder Microsoft Entra-autentisering utan att spara autentiseringsuppgifter i kod eller i tjänstanslutningen.

Mer information om hanterade identiteter för virtuella datorer finns i Tilldela roller.

Kommentar

Hanterade identiteter stöds inte i Microsoft-värdbaserade agenter. I det här scenariot måste du konfigurera en lokalt installerad agent på en virtuell Azure-dator och konfigurera en hanterad identitet för den virtuella datorn.