New-AzureResourceGroup non autorisé dans l'agent de construction VSO

Question

J'ai un agent de construction configuré sur une machine virtuelle dans Azure, qui est liée à Visual Studio Online. J'ai ensuite une étape de construction Azure Powershell qui exécute un script qui tente d'exécuter New-AzureResourceGroup.

Ce résultat suivant:

Nouveau-AzureResourceGroup: Non autorisé

113 ##[error]At C:\BuildAgents\agent\_work\[...]\Deploy-AzureResourceGroup.ps1:47 char:1 
114 ##[error]+ New-AzureResourceGroup -Name $ResourceGroupName -Location $ResourceGroupLocation ... 
115 ##[error]+  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
116 ##[error]+ CategoryInfo   : CloseError: (:) [New-AzureResourceGroup], CloudException 
117 ##[error]+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureResourceGroupCommand 

je peux exécuter ces scripts localement sans problème.

J'ai essayé d'importer un fichier de paramètres de publication dans le script, mais il semble que l'authentification New-AzureResourceGroup ne soit pas autorisée de cette façon.

Je lance l'agent de construction en tant que service sous un compte d'utilisateur local (pas de service réseau).

Est-ce que quelqu'un sait comment autoriser l'agent de construction à exécuter New-AzureResourceGroup?

J'espère pouvoir effectuer un déploiement continu complet, y compris la configuration et la gestion de tout ce qui est nécessaire dans Azure, y compris les groupes de ressources.

MISE À JOUR

Selon l'article ci-dessous:

« Si vous vous connectez en utilisant cette méthode [paramètres de publication fichier], vous ne pouvez utiliser la gestion des services Azure (ou le mode ASM) commandes. "

https://azure.microsoft.com/en-us/documentation/articles/xplat-cli-connect/

Je suppose que cela vaut pour Azure powershell ainsi. Donc, n'y a-t-il vraiment aucun moyen de gérer les ressources en azur sans utiliser l'authentification basée sur le compte?

MISE À JOUR

Merci à @ bmoore-msft pour fournir la pièce manquante. Je vais juste ajouter une autre capture d'écran du lien que je devais trouver pour configurer le build à exécuter sous un compte réel.

Answer 1

Dans Azure Resource Manager vous ne devez utiliser Azure authentification Active Directory, pas certs. Cela s'applique donc à cli, à PowerShell, aux API REST, etc.

Dans VSO, il existe une tâche de génération pour Azure PowerShell. Lorsque vous utilisez cette tâche, vous spécifiez une «connexion» ou un abonnement pour exécuter la tâche sous ... alors vous enregistrez les clés dans VSO. Vous pouvez utiliser une tâche PowerShell régulière, mais vous devrez sécuriser vous-même les fichiers.

Enfin, lorsque vous configurez la connexion de compte dans VSO, doit être être un orgID, les MSA ne sont pas pris en charge (limitation PowerShell). Le service Principal Support arrive.

Answer 2

J'ai aussi eu beaucoup de difficultés à utiliser le gestionnaire de ressources Azure avec VSO. J'ai finalement trouvé une solution de travail à mon problème en créant un compte Service Principal avec suffisamment de droits sur l'abonnement Azure pour déployer à partir de Visual Studio Online.

J'ai utilisé ce billet de blog de David Ebbo pour créer le compte de service principal: http://blog.davidebbo.com/2014/12/azure-service-principal.html

En VSO j'ai enlevé l'étape "Azure PowerShell" et l'a remplacée par une étape "PowerShell". Dans le script PowerShell, je commence par me connecter au compte Service Principal, puis déploie mes applications à l'aide d'Azure Resource Manager.

Plus de détails de mes résultats se trouvent sur le forum MSDN: https://social.msdn.microsoft.com/Forums/azure/en-US/d5a940e0-ed83-46ff-9efc-045fb9522c5b/ad-auth-from-azure-powershell-in-vso-fails-with-accessingwsmetadataexchangefailed?forum=azurescripting