Skip to main content

在 Azure 中配置 OpenID Connect

在工作流程中使用 OpenID Connect 向 Azure 进行身份验证。

概览

OpenID Connect (OIDC) 允许您的 GitHub Actions 工作流程访问 Azure 中的资源,而无需将任何 Azure 凭据存储为长期 GitHub 机密。

本指南概述了如何配置 Azure 信任 GitHub 的 OIDC 作为联合标识,并包括 azure/login 操作的工作流程示例,该操作使用令牌向 Azure 进行身份验证和访问资源。

基本要求

  • 要了解 GitHub 如何使用 OpenID Connect (OIDC) 的基本概念及其体系结构和优势,请参阅“关于使用 OpenID Connect 进行安全强化”。

  • 在继续之前,必须规划安全策略,以确保仅以可预测的方式分配访问令牌。 要控制云提供商颁发访问令牌的方式,必须至少定义一个条件,使不受信任的存储库无法为云资源请求访问令牌。 更多信息请参阅“使用云配置 OIDC 信任”。

将联合凭据添加到 Azure

GitHub 的 OIDC 提供商与 Azure 的工作负载联合身份验证配合使用。 有关概述,请参阅 Microsoft 的文档“工作负载联合身份验证”。

要在 Azure 中配置 OIDC 身份提供商,您需要执行以下配置。 有关进行这些更改的说明,请参阅 Azure 文档

  1. 创建 Azure Active Directory 应用程序和服务主体。
  2. 为 Azure Active Directory 应用程序添加联合凭据。
  3. 创建用于存储 Azure 配置的 GitHub 机密。

配置身份提供商的附加指导:

更新 GitHub Actions 工作流程

要更新 OIDC 的工作流程,您需要对 YAML 进行两项更改:

  1. 为令牌添加权限设置。
  2. 使用 azure/login 操作将 OIDC 令牌 (JWT) 交换为云访问令牌。

添加权限设置

 The job or workflow run requires a permissions setting with id-token: write. You won't be able to request the OIDC JWT ID token if the permissions setting for id-token is set to read or none.

The id-token: write setting allows the JWT to be requested from GitHub's OIDC provider using one of these approaches:

  • Using environment variables on the runner (ACTIONS_ID_TOKEN_REQUEST_URL and ACTIONS_ID_TOKEN_REQUEST_TOKEN).
  • Using getIDToken() from the Actions toolkit.

如果您只需要为单个作业获取 OIDC 令牌,则可以在该作业中设置此权限。 例如:

YAML
permissions:
  id-token: write

You may need to specify additional permissions here, depending on your workflow's requirements.

请求访问令牌

azure/login 操作从 GitHub OIDC 提供商接收 JWT,然后从 Azure 请求访问令牌。 更多信息请参阅 azure/login 文档。

以下示例将 OIDC ID 令牌与 Azure 交换以接收访问令牌,然后可以使用该令牌访问云资源。

YAML
name: Run Azure Login with OIDC
on: [push]

permissions:
      id-token: write
      contents: read
jobs: 
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: 'Az CLI login'
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      - name: 'Run az commands'
        run: |
          az account show
          az group list