У меня есть сценарий Python, который я хочу запустить в контексте Azure Resource Manager в рамках задачи конвейера Azure DevOps, чтобы иметь доступ к ресурсам Azure (например, к Azure CLI или задачам Azure PowerShell).
Как передать в скрипт учетные данные конечной точки службы Azure RM, хранящиеся в Azure DevOps - как ServicePrincipal / Secret или OAuth Token?
Зависит от того, что вы называете сценарием python, но в любом случае в Azure DevOps нет встроенной поддержки для аутентификации python sdk (или вашего настраиваемого сценария python), но вы можете передать учетные данные из переменных build \ release в свой сценарий или попробовать и вытащите это из Azure Cli (я думаю, что он хранит данные где-то в /home/.azure/.
Azure CLI задачу, пакетный встроенный скрипт Windows python "$(Build.SourcesDirectory)\anyscript.py" "%USERPROFILE%\.azure\accessTokens.json" и проанализирую файл в скрипте PY. По-прежнему возникают проблемы, потому что авторизация для конечной точки управления не работает, но это может быть не связанной проблемой.
- person Kai Walter; 11.11.2018
requests.exceptions.HTTPError: 401 Client Error: Unauthorized for url: https://management.azure.com/subscriptions/... с токеном, хранящимся в CLI. Придется проверить размах.
- person Kai Walter; 11.11.2018
[{"servicePrincipalId": "xxxx", "servicePrincipalTenant": "yyyy", "accessToken": "zzzz"}]
- person Kai Walter; 12.11.2018
на основе подсказки, данной 4c74356b41 выше, и с некоторым анализом Azure CLI Я создал эту функцию, которая позволяет извлекать токен OAuth через ADAL из Service Princial, вошедшего в Azure DevOps - задача Azure CLI
import os
import json
import adal
_SERVICE_PRINCIPAL_ID = 'servicePrincipalId'
_SERVICE_PRINCIPAL_TENANT = 'servicePrincipalTenant'
_TOKEN_ENTRY_TOKEN_TYPE = 'tokenType'
_ACCESS_TOKEN = 'accessToken'
def get_config_dir():
return os.getenv('AZURE_CONFIG_DIR', None) or os.path.expanduser(os.path.join('~', '.azure'))
def getOAuthTokenFromCLI():
token_file = (os.environ.get('AZURE_ACCESS_TOKEN_FILE', None)
or os.path.join(get_config_dir(), 'accessTokens.json'))
with open(token_file) as f:
tokenEntry = json.load(f)[0] # just assume first entry
tenantID = tokenEntry[_SERVICE_PRINCIPAL_TENANT]
appId = tokenEntry[_SERVICE_PRINCIPAL_ID]
appPassword = tokenEntry[_ACCESS_TOKEN]
authURL = "https://login.windows.net/" + tenantID
resource = "https://management.azure.com/"
context = adal.AuthenticationContext(authURL, validate_authority=tenantID, api_version=None)
token = context.acquire_token_with_client_credentials(resource,appId,appPassword)
return token[_TOKEN_ENTRY_TOKEN_TYPE] + " " + token[_ACCESS_TOKEN]
