Подключения к службе Azure

Я пытаюсь создать конвейер выпуска в Azure DevOps. Я создал ресурс службы приложений в Azure и хочу развернуть свое веб-приложение в этой службе приложений через свой конвейер. Для этого мне нужно создать соединение с сервисом ARM. Не могли бы вы помочь мне понять разницу между типами сервисных подключений? Спасибо!

  1. В чем разница между принципалом службы (автоматически) и субъектом службы (вручную)?
  2. В чем разница между субъектом службы, управляемым удостоверением и профилем публикации?

azure-devops azure-managed-identity azure-active-directory service-principal serviceconnection
person SD4    schedule 12.08.2020    source источник

Ответы (1)


arrow_upward
2
arrow_downward

В чем разница между принципалом службы (автоматически) и субъектом службы (вручную)?

Service Principal (automatic): это будет автоматически создать приложение AD вместе с субъектом службы в Azure AD и использовать его при подключении к службе.

Service Principal (manual): Вам необходимо создайте приложение AD вместе с субъектом службы вручную в Azure AD и настройте его при создании подключения к службе.

В чем разница между субъектом службы, управляемым удостоверением и профилем публикации?

При создании Приложение AD (регистрация приложения) в Azure AD, оно создаст субъект-служба автоматически в Azure AD.

управляемое удостоверение - это По сути, это субъект-служба в вашем AAD, управляемый Azure, вы можете использовать его для доступа к ресурсам Azure в подписке.

опубликовать профиль - это файл, используемый для публикации вашего веб-приложения или веб-задания, он включает имя пользователя и пароль, он использует базовую аутентификацию для развертывания вашего веб-сайта app, если вы используете субъект-службу / управляемое удостоверение, оно использует аутентификацию Azure AD.

person Joy Wang    schedule 12.08.2020
comment
Привет, спасибо за ответ, радость! Кроме того, зачем нам использовать принципал-службу? Каковы преимущества использования принципала-службы? - person SD4; 12.08.2020
comment
@ SD4 Этот вопрос слишком общий, вы можете понять, что это удостоверение для доступа к ресурсам в Azure (также есть другие способы использования), для получения дополнительных сведений вам необходимо узнать об Azure AD, подробности здесь - docs.microsoft.com/en -us / лазурный / активный каталог / разработка / - person Joy Wang; 12.08.2020
comment
@ SD4 Вы также можете ознакомиться с этим сообщением, чтобы лучше понять. - person Joy Wang; 12.08.2020
comment
Итак, я создал субъекта-службы и попытался установить подключение к службе с использованием учетных данных. Но проверка не удалась, и появилось следующее сообщение об ошибке. Есть идеи, почему? Не удалось запросить API подключения к службе: 'management.azure.com/subscriptions/468- - '. Код состояния: 'Запрещено', ответ от сервера: '{error: {code: AuthorizationFailed, message: Клиент' 440b --- 'с идентификатором объекта' 440b4 --- 'не имеет авторизации для выполнения действия' Microsoft.Resources / subscriptions / прочтите 'over scope' / subscriptions / 468 --- 'или область неверна. - person SD4; 12.08.2020
comment
@ SD4 Вам необходимо добавить клиента 440b-- в качестве роли RBAC в вашей подписке, например Contributor, следуйте документам .microsoft.com / ru-ru / azure / контроль доступа на основе ролей / - person Joy Wang; 12.08.2020
comment
У меня есть группа ресурсов по моей подписке. Нужно ли мне добавить его в группу ресурсов? - person SD4; 12.08.2020
comment
@ SD4 Нет, просто нужно добавить его в рамках подписки. - person Joy Wang; 12.08.2020
comment
Потрясающие! Теперь он работает, создано подключение к службе, развертывание в веб-приложении выполнено успешно. Но URL-адрес службы приложения не загружает мое веб-приложение. Есть подсказка? - person SD4; 12.08.2020
comment
@ SD4 Я думаю, что это действительно проблема, отличная от исходной темы этого сообщения. Возможно, вам придется принять этот ответ и задать его в новом сообщении. Stackoverflow избегает задавать несколько вопросов в одном посте. - person Joy Wang; 12.08.2020