VSTS NuGet Publisher - 403(Forbidden)错误

时间:2017-05-04 22:42:54

标签: azure-devops azure-pipelines-build-task azure-artifacts

我在Team Services中创建了一个构建定义,它需要在私有代理(即内部构建服务器)上运行。此代理程序在域帐户下运行。然后我在Team Services中创建了一个NuGet提要,我试图发布由NuGet Packager任务创建的包。

尝试使用NuGet Publisher任务(NuGet v4.0.0.2283)将程序包推送到内部源时,我收到了身份验证错误(403 Forbidden):

2017-05-04T21:05:06.3076014Z CredentialProvider.TeamBuild: Failed to authenticate to https://mycompany.pkgs.visualstudio.com/_packaging/MyProject/nuget/v3/index.json from your project collection, prefix = https://mycompany.pkgs.visualstudio.com/
2017-05-04T21:05:07.8546075Z System.AggregateException: One or more errors occurred. ---> NuGet.Protocol.Core.Types.FatalProtocolException: Unable to load the service index for source https://mycompany.pkgs.visualstudio.com/_packaging/MyProject/nuget/v3/index.json. ---> System.Net.Http.HttpRequestException: Response status code does not indicate success: 403 (Forbidden).

请注意,我可以使用我在此处描述的凭据在构建服务器上手动发布相同的包:https://www.visualstudio.com/en-us/docs/package/nuget/nuget-exe

现在,构建定义是项目作用域(而不是Project Collection作用域)。因此,将 Project Collection Build 服务帐户添加到Feed的贡献者的默认权限可能不正确。 我相信与此特定团队项目相关联的项目构建服务帐户需要添加到贡献者(或所有者)。

由于此Team Services帐户中有15个以上的项目且项目构建服务帐户都具有相同的名称,因此找到正确的帐户需要一些工作。我设法通过将以下PowerShell内联脚本添加到构建中来找到特定的Project Build Service帐户guid(我从这里获得:https://github.com/Microsoft/vsts-tasks/issues/3287):

$headers = @{Authorization="Bearer ${env:SYSTEM_ACCESSTOKEN}"}
$response = Invoke-RestMethod "${env:SYSTEM_TEAMFOUNDATIONCOLLECTIONURI}/_apis/connectionData" -Headers $headers 
$response.authenticatedUser | Format-List id, customDisplayName | Out-Host

现在,我似乎无法将项目构建服务帐户添加到Feed的贡献者,可以通过键入其guid或键入“Project Build Service”来从帐户列表中找到具有正确guid的帐户。 / p>

这是一个错误还是忘了配置?

1 个答案:

答案 0 :(得分:3)

我设法找到了解决方案。为了其他可能遇到同样问题的人的利益,这里有解决问题的方法。

我开始查看REST API以获取Feed权限,以尝试将项目特定的构建服务帐户(使用从上述PowerShell脚本收集的ID)添加到Feed的贡献者。

查看API documentation,我意识到您需要指定具有以下格式的完整标识描述符:

Microsoft.TeamFoundation.ServiceIdentity;00000000-0000-0000-0000-000000000000:Build:10000000-0000-0000-0000-00000000000

然后我修改了内联PowerShell脚本以显示有关Project Build Service标识的所有信息:

$headers = @{Authorization="Bearer ${env:SYSTEM_ACCESSTOKEN}"}
$response = Invoke-RestMethod "${env:SYSTEM_TEAMFOUNDATIONCOLLECTIONURI}/_apis/connectionData" -Headers $headers 
$response.authenticatedUser | Format-List | Out-Host

然后我意识到返回的描述符包含第二个guid,它出现在" Build:"与身份 id 不同的部分。此guid也出现在返回的authenticatedUser对象的 providerDisplayName 属性中。

使用feed权限界面,我尝试使用providerDisplayName guid进行搜索,最后得到一个结果!将此Project Build服务帐户添加到贡献者并运行新版本后,我能够发布源。

为了便于配置Feed的权限,我相信documentation specific to build identities可以改进,因为它只提到项目集合作用域构建定义而不是项目作用域定义。

最终,问题源于这样一个事实,即如果一个Team Services帐户计算多个项目,那么为项目的构建服务帐户提供正确的权限并不容易,因为它们都具有相同的名称,即项目构建服务(帐户)。

相关问题
最新问题