Digger项目在Azure中使用OIDC凭证的配置指南

2025-06-13 08:55:13作者：邬祺芯Juliet

背景介绍

在DevOps实践中，基础设施即代码(IaC)工具与CI/CD管道的集成至关重要。Digger作为一款开源工具，能够帮助团队在GitHub Actions中自动化执行Terraform操作。本文将详细介绍如何在Azure环境中配置Digger使用OIDC(OpenID Connect)凭证进行身份验证。

核心问题分析

许多团队在尝试将Digger与Azure集成时，会遇到403权限错误，特别是在以下场景：

使用OIDC凭证进行身份验证时
访问Azure存储账户中的锁表时
执行digger plan等操作时

错误通常表现为：

无法在Authorization头中找到Bearer令牌
意外的403响应状态码
策略检查失败

解决方案详解

1. Azure基础设施准备

在开始前，需要确保Azure环境中已配置以下资源：

应用注册和服务主体
两个存储账户：分别用于Terraform后端状态和Digger锁表
为服务主体分配"Storage Blob Data Contributor"角色，并限定在两个存储账户范围内

2. OIDC凭证配置

正确的OIDC配置步骤如下：

在Azure AD中创建联合身份凭证
将凭证实体类型设置为"Pull Request"
确保GitHub Actions工作流具有正确的权限：
- id-token: write
- contents: read
- pull-requests: write

3. GitHub Actions工作流配置

工作流文件应包含以下关键元素：

jobs:
  build:
    steps:
      - uses: diggerhq/digger@v0.4.20
        with:
          setup-azure: true
          azure-client-id: ${{ secrets.AZURE_CLIENT_ID }}
          azure-tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          azure-subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
        env:
          ARM_CLIENT_ID: ${{ secrets.AZURE_CLIENT_ID }}
          ARM_TENANT_ID: ${{ secrets.AZURE_TENANT_ID }}
          ARM_SUBSCRIPTION_ID: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
          LOCK_PROVIDER: azure

4. Digger配置文件

digger.yml需要正确定义工作流和环境变量：

workflows:
  dummy_workflow:
    env_vars:
      state:
        - name: TF_VAR_azure_client_id
          value_from: AZURE_CLIENT_ID
        - name: TF_VAR_azure_tenant_id
          value_from: AZURE_TENANT_ID
      commands:
        - name: TF_VAR_azure_client_id
          value_from: ARM_CLIENT_ID
        - name: TF_VAR_azure_tenant_id
          value_from: ARM_TENANT_ID

常见问题解决

403错误：通常是由于权限不足或OIDC配置错误导致。检查：
- 服务主体是否具有存储账户的适当权限
- 联合凭证是否配置正确
- GitHub Actions工作流是否具有id-token: write权限
锁表访问问题：确保：
- LOCK_PROVIDER设置为azure
- 存储账户名称和密钥配置正确
- 服务主体具有表服务的访问权限
策略检查失败：验证：
- GitHub Token是否正确传递
- 项目策略配置是否允许当前操作