针对 Azure DevOps Rest API 对 Azure Pipelines Powershell 任务进行身份验证

Question

要求

我的要求是，对于我的 Azure devops 发布管道，我想使用包含内部版本号和日期（在带注释的标记上自动设置）的带注释标记来标记特定提交。

建议的解决方案

我对此的解决方案是使用 Azure Powershell 管道任务，此处显示的任务：

任务（现在忽略脚本框中的内容）将使用我设置的 Azure 订阅，以便向 Azure DevOps REST API 进行身份验证。我已经能够使用个人访问令牌 (PAT) 成功执行我想要的任务，但这对于整个团队来说长期不稳定，我想使用我们的 Azure 订阅。

问题

我的问题是我不确定如何正确使用 Azure 订阅的身份验证。我似乎使用 Get-AzureRmContext 获取了一些数据（请参阅下面的当前代码），然后我找到了a GitHub issue which seems to do sort of the same thing。该代码获取某种 OAuth 令牌，但使用下面的代码，Azure 仍然返回给我我需要登录，所以我认为它不是正确的令牌。我不明白事物是如何相互孵化的。

请注意，我的订阅应具有执行我想要的操作所需的所有权限。

到目前为止的代码：

Function Get-AccessToken($tenantId) {
    $cache = [Microsoft.IdentityModel.Clients.ActiveDirectory.TokenCache]::DefaultShared
    $cacheItem = $cache.ReadItems() | Where-Object { $_.TenantId -eq $tenantId } | Select-Object -First 1
    return $cacheItem.AccessToken
}

$context = Get-AzureRmContext
$uri = "https://dev.azure.com/<my_org>/<my_area>/_apis/git/repositories/<project_sha>/annotatedtags?api-version=5.0-preview.1"
$token = Get-AccessToken $context.tenantID

$body = @"
{
    "taggedObject": {
        "objectId": "$(BUILD.SOURCEVERSION)"
    },
    "name": "D-$(Build.BuildNumber)",
    "message": "dummy"
}
"@
$header = @{"Authorization" = "Bearer" + $token}

Invoke-RestMethod -Uri $uri -Method Post -ContentType "application/json" -Body $body -Headers $header

非常感谢任何帮助！

Answer 1

有构建任务的例子：Use a PowerShell script to customize your build pipeline

1. 您必须启用对令牌的访问（选项允许脚本访问 OAuth 令牌）

1. 然后在您的脚本中使用它。示例中的脚本：

   $url = "$($env:SYSTEM_TEAMFOUNDATIONCOLLECTIONURI)$env:SYSTEM_TEAMPROJECTID/_apis/build/definitions/$($env:SYSTEM_DEFINITIONID)?api-version=5.0"

   Write-Host "URL: $url" $pipeline = Invoke-RestMethod -Uri $url -Headers @{ Authorization = "Bearer $env:SYSTEM_ACCESSTOKEN" }

   Write-Host "Pipeline = $($pipeline | ConvertTo-Json -Depth 100)"