Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Connecter Azure DevOps
<a name="connecting-azure-connecting-azure-devops"></a>

 DevOps L'intégration Azure permet à l' AWS DevOps agent d'accéder aux référentiels et à l'historique d'exécution du pipeline dans votre DevOps organisation Azure. L'agent peut corréler les modifications de code et les déploiements avec les incidents opérationnels pour aider à identifier les causes profondes potentielles.

**Remarque :** les DevOps pipelines Azure peuvent utiliser le code source d'Azure Repos ou de Bitbucket. GitHub L' DevOps intégration Azure permet d'accéder à l'historique d'exécution du pipeline quel que soit le fournisseur source. Toutefois, pour accéder au code source réel pendant les enquêtes, le référentiel doit être connecté séparément via une intégration prise en charge telle que[Connecter GitHub](connecting-to-cicd-pipelines-connecting-github.md). Le code source de Bitbucket n'est pas directement accessible via cette intégration.

Cette intégration suit un processus en deux étapes : enregistrer Azure DevOps au niveau du AWS compte, puis associer des projets spécifiques à des espaces d'agent individuels.

## Conditions préalables
<a name="prerequisites"></a>

Avant de connecter Azure DevOps, assurez-vous d'avoir :
+ Accès à la console de AWS DevOps l'agent
+ Une DevOps organisation Azure avec au moins un projet contenant un historique de référentiel et de pipeline
+ Autorisations pour ajouter des utilisateurs à votre DevOps organisation Azure
+ Pour la méthode de consentement de l'administrateur : un compte autorisé à effectuer le consentement de l'administrateur dans le Microsoft Entra ID
+ Pour la méthode d'enregistrement des applications : une application Entra autorisée à configurer les informations d'identification fédérées, et la [fédération d'identité sortante](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-federation.html) activée sur votre compte AWS 

**Remarque :** Vous pouvez également démarrer l'enregistrement depuis un espace agent. Accédez à la section **Pipelines**, cliquez sur **Ajouter**, puis sélectionnez **Azure DevOps**. Si Azure n' DevOps est pas encore enregistré, la console vous guide d'abord tout au long de l'enregistrement.

## Enregistrement d'Azure DevOps via le consentement de l'administrateur
<a name="registering-azure-devops-via-admin-consent"></a>

La méthode Admin Consent utilise un flux basé sur le consentement avec l'application gérée par l' AWS DevOps agent.

### Étape 1 : Commencez l'enregistrement
<a name="step-1-start-the-registration"></a>

1. Connectez-vous à la console AWS de gestion et accédez à la console de l' AWS DevOps agent

1. Accédez à la page **Capability Providers**

1. Localisez la DevOps section **Azure** et cliquez sur **Enregistrer**

1. Entrez le **nom de votre DevOps organisation Azure** lorsque vous y êtes invité

### Étape 2 : Compléter le consentement de l'administrateur
<a name="step-2-complete-admin-consent"></a>

1. Cliquez pour continuer - vous êtes redirigé vers la page de consentement de l'administrateur Microsoft Entra

1. Connectez-vous avec un compte utilisateur principal autorisé à obtenir le consentement de l'administrateur

1. Examiner la demande d' AWS DevOps agent et donner son accord

### Étape 3 : Autorisation complète de l'utilisateur
<a name="step-3-complete-user-authorization"></a>

1. Après le consentement de l'administrateur, vous êtes invité à obtenir l'autorisation de l'utilisateur pour vérifier votre identité en tant que membre du locataire autorisé

1. Connectez-vous avec un compte appartenant au même client Azure

1. Après autorisation, vous êtes redirigé vers la console de l' AWS DevOps agent avec un statut de réussite

### Étape 4 : accorder l'accès dans Azure DevOps
<a name="step-4-grant-access-in-azure-devops"></a>

Consultez la section [Octroi d'accès dans Azure DevOps](#granting-access-in-azure-devops) ci-dessous. Recherchez **AWS DevOps Agent** lors de l'ajout d'utilisateurs.

## Enregistrement d'Azure DevOps via l'enregistrement d'applications
<a name="registering-azure-devops-via-app-registration"></a>

L'enregistrement des applications est partagé entre Azure Resources et Azure DevOps. Si vous avez déjà terminé l'enregistrement des applications pour Azure Resources, vous pouvez passer à la section [Accorder l'accès dans Azure DevOps](#granting-access-in-azure-devops).

### Étape 1 : démarrer l'enregistrement de l'application ADO
<a name="step-1-start-the-ado-app-registration"></a>

1. Dans la console de l' AWS DevOps agent, accédez à la page **Capability Providers**

1. Localisez la section **Azure Cloud** et cliquez sur **Enregistrer**

1. Sélectionnez la méthode **d'enregistrement de l'application**

### Étape 2 : Créez et configurez votre application Entra
<a name="step-2-create-and-configure-your-entra-application"></a>

Suivez les instructions affichées dans la console pour :

1. Activez la fédération des identités sortantes dans votre AWS compte (dans la console IAM, allez dans **Paramètres du compte** → Fédération des identités **sortantes**)

1. Créez une application Entra dans votre identifiant Microsoft Entra ou utilisez-en une existante

1. Configurer les informations d'identification fédérées sur l'application

### Étape 3 : Fournissez les informations d'enregistrement
<a name="step-3-provide-registration-details"></a>

Remplissez le formulaire d'inscription avec :
+ **ID de locataire** : votre identifiant de locataire Azure
+ **Nom du locataire** : nom d'affichage du locataire
+ **ID client** — L'identifiant de l'application (client) de l'application Entra
+ **Audience** : identifiant d'audience pour l'identifiant fédéré

### Étape 4 : Création du rôle IAM
<a name="step-4-create-the-iam-role"></a>

Un rôle IAM est automatiquement créé lorsque vous soumettez l'enregistrement via la console. Cela permet à AWS DevOps l'agent d'assumer les informations d'identification et d'appeler`sts:GetWebIdentityToken`.

### Étape 5 : Compléter l'enregistrement
<a name="step-5-complete-the-registration"></a>

1. Confirmez la configuration dans la console de AWS DevOps l'agent

1. Cliquez sur **Soumettre** pour terminer l'enregistrement

### Étape 6 : accorder l'accès dans Azure DevOps
<a name="step-6-grant-access-in-azure-devops"></a>

Consultez la section [Octroi d'accès dans Azure DevOps](#granting-access-in-azure-devops) ci-dessous. Recherchez l'application Entra que vous avez créée lors de l'enregistrement de l'application lors de l'ajout d'utilisateurs.

## Octroi d'accès dans Azure DevOps
<a name="granting-access-in-azure-devops"></a>

Après l'enregistrement, accordez à l'application l'accès à votre DevOps organisation Azure. Cette étape est la même pour les méthodes de consentement de l'administrateur et d'enregistrement de l'application.

1. Dans Azure DevOps, accédez à **Paramètres de l'organisation** > **Utilisateurs** > **Ajouter des utilisateurs**

1. Recherchez l'application (soit **AWS DevOps agent** pour le consentement de l'administrateur, soit votre propre application Entra pour l'enregistrement de l'application)

1. Définissez le niveau d'accès sur **Basic**

1. Sous **Ajouter aux projets**, sélectionnez les projets auxquels vous souhaitez que l'agent accède

1. Sous **Azure DevOps Groups**, sélectionnez **Project Readers**

1. Cliquez sur **Ajouter** pour terminer

**Exigence de sécurité :** Attribuez uniquement le groupe des **lecteurs de projet**. L'accès en lecture seule constitue une limite de sécurité qui limite l'agent aux opérations en lecture seule et limite l'impact des attaques indirectes par injection rapide. L'attribution à des groupes d'autorisations d'écriture ou d'action augmente considérablement le rayon d'action d'injection rapide et peut compromettre les DevOps ressources Azure.

## Associer un projet à un agent Space
<a name="associating-a-project-with-an-agent-space"></a>

Après avoir enregistré Azure DevOps au niveau du compte, associez des projets spécifiques à vos espaces d'agent :

1. Dans la console AWS DevOps Agent, sélectionnez votre espace agent

1. Accédez à l'onglet **Fonctionnalités**

1. Dans la section **Pipelines**, cliquez sur **Ajouter**

1. Sélectionnez **Azure DevOps** dans la liste des fournisseurs disponibles

1. Sélectionnez le projet dans le menu déroulant des projets disponibles

1. Cliquez sur **Ajouter** pour terminer l'association

## Gestion des DevOps connexions Azure
<a name="managing-azure-devops-connections"></a>
+ **Affichage des projets connectés** : dans l'onglet **Fonctionnalités**, la section **Pipelines** répertorie tous les DevOps projets Azure connectés.
+ **Supprimer un projet** : pour déconnecter un projet d'un espace agent, sélectionnez-le dans la section **Pipelines** et cliquez sur **Supprimer**.
+ **Suppression de l'enregistrement** : pour supprimer complètement l' DevOps enregistrement Azure, rendez-vous sur la page **Capability Providers** et supprimez l'enregistrement. Toutes les associations Agent Space doivent d'abord être supprimées.