Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Azure verbinden DevOps
<a name="connecting-azure-connecting-azure-devops"></a>

 DevOps Die Azure-Integration ermöglicht es dem AWS DevOps Agenten, auf Repositorys und den Pipeline-Ausführungsverlauf in Ihrer DevOps Azure-Organisation zuzugreifen. Der Agent kann Codeänderungen und Bereitstellungen mit betrieblichen Vorfällen korrelieren, um mögliche Ursachen zu identifizieren.

**Hinweis:** DevOps Azure-Pipelines können Quellcode aus Azure Repos oder Bitbucket verwenden. GitHub Die DevOps Azure-Integration bietet unabhängig vom Quellanbieter Zugriff auf den Pipeline-Ausführungsverlauf. Um bei Untersuchungen auf den eigentlichen Quellcode zugreifen zu können, muss das Repository jedoch separat über eine unterstützte Integration verbunden werden, z. [Verbindung herstellen GitHub](connecting-to-cicd-pipelines-connecting-github.md) B. Auf den Quellcode in Bitbucket kann über diese Integration nicht direkt zugegriffen werden.

Diese Integration folgt einem zweistufigen Prozess: Registrieren Sie Azure DevOps auf AWS Kontoebene und ordnen Sie dann bestimmte Projekte einzelnen Agent Spaces zu.

## Voraussetzungen
<a name="prerequisites"></a>

Bevor Sie Azure verbinden, stellen Sie sicher DevOps, dass Sie über Folgendes verfügen:
+ Zugriff auf die AWS DevOps Agentenkonsole
+ Eine DevOps Azure-Organisation mit mindestens einem Projekt, das einen Repository- und Pipeline-Verlauf enthält
+ Berechtigungen zum Hinzufügen von Benutzern zu Ihrer DevOps Azure-Organisation
+ Für die Admin-Zustimmungsmethode: ein Konto mit der Berechtigung, die Admin-Zustimmung in Microsoft Entra ID zu erteilen
+ Für die Methode der App-Registrierung: eine Entra-Anwendung mit Berechtigungen zur Konfiguration von föderierten Identitätsanmeldedaten und aktivierter [Outbound Identity Federation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-federation.html) in Ihrem Konto AWS 

**Hinweis:** Sie können die Registrierung auch von einem Agent Space aus starten. Navigieren Sie zum Abschnitt **Pipelines**, klicken Sie auf **Hinzufügen** und wählen Sie **Azure DevOps** aus. Wenn Azure noch nicht registriert DevOps ist, führt Sie die Konsole zunächst durch die Registrierung.

## Azure DevOps über Admin Consent registrieren
<a name="registering-azure-devops-via-admin-consent"></a>

Die Admin Consent-Methode verwendet einen auf Zustimmung basierenden Ablauf mit der vom AWS DevOps Agenten verwalteten Anwendung.

### Schritt 1: Starten Sie die Registrierung
<a name="step-1-start-the-registration"></a>

1. Melden Sie sich bei der AWS Management Console an und navigieren Sie zur AWS DevOps Agent-Konsole

1. Gehen Sie zur Seite **Capability Providers**

1. Suchen Sie den ** DevOpsAzure-Bereich** und klicken Sie auf **Registrieren**

1. Geben Sie den **Namen Ihrer DevOps Azure-Organisation** ein, wenn Sie dazu aufgefordert werden

### Schritt 2: Schließen Sie die Zustimmung des Administrators ab
<a name="step-2-complete-admin-consent"></a>

1. Klicken Sie hier, um fortzufahren — Sie werden zur Microsoft Entra-Administrator-Zustimmungsseite weitergeleitet

1. Melden Sie sich mit einem Hauptbenutzerkonto an, das berechtigt ist, die Zustimmung des Administrators zu erteilen

1. Überprüfen Sie die AWS DevOps Agent-Anwendung und erteilen Sie die Zustimmung

### Schritt 3: Vollständige Benutzerautorisierung
<a name="step-3-complete-user-authorization"></a>

1. Nach der Zustimmung des Administrators werden Sie zur Benutzerautorisierung aufgefordert, um Ihre Identität als Mitglied des autorisierten Mandanten zu überprüfen

1. Melden Sie sich mit einem Konto an, das demselben Azure-Mandanten gehört

1. Nach der Autorisierung werden Sie mit einem Erfolgsstatus zurück zur AWS DevOps Agent-Konsole weitergeleitet

### Schritt 4: Gewähren Sie Zugriff in Azure DevOps
<a name="step-4-grant-access-in-azure-devops"></a>

Weitere Informationen finden Sie DevOps weiter unten unter [Zugriff in Azure gewähren](#granting-access-in-azure-devops). Suchen Sie beim Hinzufügen von Benutzern nach **AWS DevOps Agent**.

## Azure DevOps über die App-Registrierung registrieren
<a name="registering-azure-devops-via-app-registration"></a>

Die App-Registrierung wird von Azure Resources und Azure gemeinsam genutzt DevOps. Wenn Sie die App-Registrierung für Azure-Ressourcen bereits abgeschlossen haben, können Sie mit dem Abschnitt [Zugriff in Azure gewähren fortfahren DevOps](#granting-access-in-azure-devops).

### Schritt 1: Starten Sie die ADO-App-Registrierung
<a name="step-1-start-the-ado-app-registration"></a>

1. Rufen Sie in der AWS DevOps Agent-Konsole die Seite **Capability Providers** auf

1. Suchen Sie den Bereich **Azure Cloud** und klicken Sie auf **Registrieren**

1. Wählen Sie die Methode zur **App-Registrierung**

### Schritt 2: Erstellen und konfigurieren Sie Ihre Entra-Anwendung
<a name="step-2-create-and-configure-your-entra-application"></a>

Folgen Sie den in der Konsole angezeigten Anweisungen, um:

1. Aktivieren Sie Outbound Identity Federation in Ihrem AWS Konto (gehen Sie in der IAM-Konsole zu **Kontoeinstellungen** → **Outbound** Identity Federation)

1. Erstellen Sie eine Entra-Anwendung in Ihrer Microsoft Entra-ID oder verwenden Sie eine vorhandene

1. Konfigurieren Sie die Anmeldeinformationen für föderierte Identitäten in der Anwendung

### Schritt 3: Geben Sie die Registrierungsdetails an
<a name="step-3-provide-registration-details"></a>

Füllen Sie das Anmeldeformular aus mit:
+ **Mandanten-ID** — Ihre Azure-Mandanten-ID
+ **Mandantenname** — Ein Anzeigename für den Mandanten
+ **Client-ID** — Die Anwendungs- (Client-) ID der Entra-Anwendung
+ **Zielgruppe** — Die Zielgruppen-ID für die Verbundanmeldedaten

### Schritt 4: Erstellen Sie die IAM-Rolle
<a name="step-4-create-the-iam-role"></a>

Eine IAM-Rolle wird automatisch erstellt, wenn Sie die Registrierung über die Konsole einreichen. Sie ermöglicht dem AWS DevOps Agenten, Anmeldeinformationen anzunehmen und aufzurufen`sts:GetWebIdentityToken`.

### Schritt 5: Schließen Sie die Registrierung ab
<a name="step-5-complete-the-registration"></a>

1. Bestätigen Sie die Konfiguration in der AWS DevOps Agentenkonsole

1. Klicken Sie auf **Senden**, um die Registrierung abzuschließen

### Schritt 6: Gewähren Sie Zugriff in Azure DevOps
<a name="step-6-grant-access-in-azure-devops"></a>

Weitere Informationen finden Sie DevOps weiter unten unter [Zugriff in Azure gewähren](#granting-access-in-azure-devops). Suchen Sie beim Hinzufügen von Benutzern nach der Entra-Anwendung, die Sie bei der App-Registrierung erstellt haben.

## Zugriff in Azure gewähren DevOps
<a name="granting-access-in-azure-devops"></a>

Gewähren Sie der Anwendung nach der Registrierung Zugriff auf Ihre DevOps Azure-Organisation. Dieser Schritt ist für die Methoden Admin Consent und App Registration identisch.

1. Gehen Sie in Azure DevOps zu **Organisationseinstellungen** > **Benutzer** > **Benutzer hinzufügen**

1. Suchen Sie nach der Anwendung (entweder **AWS DevOps Agent** for Admin Consent oder Ihre eigene Entra-Anwendung für die App-Registrierung)

1. **Stellen Sie die Zugriffsebene auf Basic ein**

1. Wählen **Sie unter Zu Projekten hinzufügen** die Projekte aus, auf die der Agent zugreifen soll

1. Wählen Sie unter ** DevOps Azure-Gruppen** die Option **Project Readers** aus

1. Klicken Sie auf **Hinzufügen**, um den Vorgang abzuschließen

**Sicherheitsanforderung:** Weisen Sie nur der Gruppe „**Projektleser**“ zu. Der schreibgeschützte Zugriff dient als Sicherheitsgrenze, die den Agenten auf schreibgeschützte Operationen beschränkt und die Auswirkungen indirekter Prompt-Injection-Angriffe begrenzt. Durch die Zuweisung von Gruppen mit Schreib- oder Aktionsberechtigungen wird der Explosionsradius von Prompt Injection erheblich erhöht, was zu einer Beeinträchtigung der Azure-Ressourcen führen kann. DevOps 

## Ein Projekt einem Agent Space zuordnen
<a name="associating-a-project-with-an-agent-space"></a>

Nachdem Sie Azure DevOps auf Kontoebene registriert haben, ordnen Sie Ihren Agent Spaces bestimmte Projekte zu:

1. Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent Space aus

1. Gehen Sie zur Registerkarte **Funktionen**

1. **Klicken Sie im Abschnitt **Pipelines** auf Hinzufügen**

1. Wählen Sie **Azure DevOps** aus der Liste der verfügbaren Anbieter aus

1. Wählen Sie das Projekt aus der Dropdownliste der verfügbaren Projekte aus

1. Klicken Sie auf **Hinzufügen**, um die Zuordnung abzuschließen

## Verwaltung von DevOps Azure-Verbindungen
<a name="managing-azure-devops-connections"></a>
+ **Verbundene Projekte anzeigen** — Auf der Registerkarte **Funktionen** werden im Abschnitt **Pipelines** alle verbundenen DevOps Azure-Projekte aufgeführt.
+ **Projekt **entfernen — Um ein Projekt** von einem Agent Space zu trennen, wählen Sie es im Abschnitt **Pipelines** aus und klicken Sie auf Entfernen.**
+ **Registrierung entfernen — Um die** DevOps Azure-Registrierung vollständig zu entfernen, rufen Sie die Seite **Capability Providers** auf und löschen Sie die Registrierung. Alle Agent Space-Verknüpfungen müssen zuerst entfernt werden.