Nastavení oprávnění úložiště Git

  • Článek

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Udělíte nebo omezíte přístup k úložištím a uzamknete, kdo může přispívat do zdrojového kódu a spravovat další funkce. Oprávnění ve všech úložištích Git můžete nastavit tak, že provedete změny v položce úložiště Git nejvyšší úrovně. Jednotlivá úložiště dědí oprávnění z položky Úložiště Git nejvyšší úrovně.

Poznámka:

Větve dědí podmnožinu oprávnění z přiřazení provedených na úrovni úložiště. Informace o oprávněních a zásadách větví najdete v tématu Nastavení oprávnění k větvi a zlepšení kvality kódu pomocí zásad větve.

Pokyny k tomu, kdo poskytuje vyšší úrovně oprávnění, najdete v tématu Udělení nebo omezení přístupu pomocí oprávnění.

Požadavky

  • Musíte mít projekt. Pokud ještě projekt nemáte, vytvořte ho v Azure DevOps nebo ho nastavte v místním Azure DevOps.
  • Musíte být členem skupiny Project Správa istrators nebo mít nastavená oprávnění Spravovat pro úložiště Git.

Abyste mohli přispívat do zdrojového kódu, musíte mít udělenou základní úroveň přístupu nebo vyšší. Uživatelé, kterým byl udělen přístup účastníků pro soukromé projekty, nemají přístup ke zdrojovému kódu. Uživatelé s uděleným přístupem účastníků pro veřejné projekty mají stejný přístup jako přispěvatelé a ti, kteří udělili základní přístup. Další informace najdete v tématu O úrovních přístupu.

Abyste mohli přispívat do zdrojového kódu, musíte mít udělenou základní úroveň přístupu nebo vyšší. Uživatelé, kterým byl udělen přístup účastníka , nemají přístup ke zdrojovému kódu. Další informace najdete v tématu O úrovních přístupu.

Výchozí oprávnění úložiště

Ve výchozím nastavení mají členové skupiny Přispěvatelé projektu oprávnění přispívat do úložiště. To zahrnuje možnost vytvářet větve, vytvářet značky a spravovat poznámky. Popis každé skupiny zabezpečení a úrovně oprávnění naleznete v tématu Oprávnění a odkazy na skupinu.

Oprávnění

Čtenáři

Přispěvatelů

Vytváření Správa

Project Správa s

Čtení (klonování, načítání a zkoumání obsahu úložiště); může také vytvářet, komentovat, hlasovat a přispívat k žádostem o přijetí změn.

✔️

✔️

✔️

✔️

Přispívání, vytváření větví, vytváření značek a správa poznámek

✔️

✔️

✔️

Vytvoření úložiště, odstranění úložiště a přejmenování úložiště

✔️

Úprava zásad, správa oprávnění, odebrání zámků ostatních uživatelů

✔️

Obcházení zásad při dokončování žádostí o přijetí změn, obejití zásad při nasdílení změn, vynucení zápisu (historie přepsání, odstranění větví a značek)
(není nastaveno pro žádnou skupinu zabezpečení)

Od verze Azure DevOps sprint 224 (Azure DevOps Services a Azure DevOps Server 2022.1 a novější) už není oprávnění k úpravám zásad automaticky uděleno tvůrcům větví. Když jste dříve vytvářeli novou větev, bylo vám uděleno oprávnění k úpravám zásad v této větvi. Při této aktualizaci měníme výchozí chování tak, aby toto oprávnění neudělovala, i když je pro úložiště zapnuté nastavení Správa oprávnění. Oprávnění k úpravám zásad budete potřebovat explicitně (buď ručně, nebo prostřednictvím rozhraní REST API) dědičností oprávnění zabezpečení nebo členstvím ve skupině.

Otevření zabezpečení úložiště

Oprávnění úložiště Git nastavíte z Projectu Nastavení> Repositories.

  1. Otevřete webový portál a zvolte projekt, do kterého chcete přidat uživatele nebo skupiny. Pokud chcete zvolit jiný projekt, přečtěte si téma Přepnutí projektu, úložiště, týmu.

  2. Otevřete úložiště nastavení>projektu.

    Pokud chcete nastavit oprávnění pro všechna úložiště Git, zvolte Zabezpečení.

    Tady například zvolíme (1) Nastavení projektu, (2) Úložiště a pak (3) Zabezpečení.

    Snímek obrazovky znázorňující výběr možnosti Zabezpečení úložišť>nastavení>projektu

  3. V opačném případě chcete nastavit oprávnění pro konkrétní úložiště, zvolte (1) úložiště a pak zvolte (2) Zabezpečení.

    Snímek obrazovky znázorňující volbu Nastavení>projektu Zvolte zabezpečení úložiště>

Nastavení oprávnění pro úložiště

Přístup k úložišti můžete udělit nebo omezit nastavením stavu oprávnění na Povolit nebo Odepřít pro jednoho uživatele nebo skupinu zabezpečení.

  1. Otevřete webový portál a zvolte projekt, do kterého chcete přidat uživatele nebo skupiny. Pokud chcete zvolit jiný projekt, přečtěte si téma Přepnutí projektu, úložiště, týmu.

  2. Pokud chcete nastavit oprávnění pro všechna úložiště Git pro projekt, zvolte Úložiště Git a pak zvolte skupinu zabezpečení, jejíž oprávnění chcete spravovat.

    Tady například zvolíme (1) Project Nastavení, (2) Úložiště, (3) Úložiště Git, (4) skupina Přispěvatelé a pak (5) oprávnění k vytvoření úložiště.

    Pokud chcete zobrazit celý obrázek, klikněte na obrázek a rozbalte ho. Ikona zavřít Zvolte ikonu zavřít, abyste ji zavřeli.

    Zabezpečení úložišť Git v úložištích>>Project Nastavení> Code>

    Poznámka:

    Uživatele možná nebudete moct najít ze stránky oprávnění nebo pole identity, pokud uživatel nebyl přidán do projektu – buď ho přidáte do skupiny zabezpečení, nebo do projektového týmu. Pokud je uživatel přidaný do Microsoft Entra ID nebo Active Directory, může dojít ke zpoždění mezi časem, kdy se do projektu přidají, a když je prohledávatelné z pole identity. Zpoždění může být mezi 5 minut a 7 dny.

    V opačném případě zvolte konkrétní úložiště a zvolte skupinu zabezpečení, jejíž oprávnění chcete spravovat.

    Poznámka:

    Pokud přidáte uživatele nebo skupinu a nezměníte žádná oprávnění pro tohoto uživatele nebo skupinu, po aktualizaci stránky oprávnění se už uživatel nebo skupina, které jste přidali, nezobrazí.

  3. Až budete hotovi, zvolte Uložit změny.

Změna oprávnění pro skupinu zabezpečení

Pokud chcete nastavit oprávnění pro vlastní skupinu zabezpečení, musíte tuto skupinu dříve definovat. Viz Nastavení oprávnění na úrovni projektu.

  1. Pokud chcete nastavit oprávnění pro konkrétní skupinu, zvolte skupinu. Tady například zvolíme skupinu Přispěvatelé.

    Snímek obrazovky znázorňující výběr skupiny Přispěvatelé

  2. Změňte jedno nebo více oprávnění. Pokud chcete udělit oprávnění, změňte možnost Nenastavit na Povolit. Chcete-li omezit oprávnění, změňte možnost Povolit odepřít.

    Snímek obrazovky zobrazující tři změněná oprávnění pro skupinu Přispěvatelé

  3. Po dokončení přejděte mimo stránku. Změny oprávnění se automaticky uloží pro vybranou skupinu.

Nastavení oprávnění pro konkrétního uživatele

  1. Pokud chcete nastavit oprávnění pro konkrétního uživatele, zadejte jméno uživatele do vyhledávacího filtru a vyberte z identit, které se zobrazí.

    Přidání uživatele nebo skupiny

    Potom proveďte změny v sadě oprávnění.

    Poznámka:

    Uživatele možná nebudete moct najít ze stránky oprávnění nebo pole identity, pokud uživatel nebyl přidán do projektu – buď ho přidáte do skupiny zabezpečení, nebo do projektového týmu. Pokud je uživatel přidaný do Microsoft Entra ID nebo Active Directory, může dojít ke zpoždění mezi časem, kdy se do projektu přidají, a když je prohledávatelné z pole identity. Zpoždění může být mezi 5 minut a 7 dny.

  2. Po dokončení přejděte mimo stránku. Změny oprávnění se automaticky uloží pro vybranou skupinu.

Poznámka:

Pokud přidáte uživatele nebo skupinu a nezměníte žádná oprávnění pro tohoto uživatele nebo skupinu, po aktualizaci stránky oprávnění se už uživatel nebo skupina, které jste přidali, nezobrazí.

Povolení nebo zakázání dědičnosti pro konkrétní úložiště

  • Pokud chcete povolit nebo zakázat dědičnost pro konkrétní úložiště, vyberte úložiště a potom přesuňte posuvník Dědičnost do polohy zapnuto nebo mimo.

    Povolte nebo zakažte dědičnost pro konkrétní úložiště.

    Další informace o dědičnosti najdete v tématu o oprávněních a skupinách, dědičnosti a skupinách zabezpečení.

Vyloučení z vynucování zásad a obcházení oprávnění zásad

Existuje mnoho scénářů, kdy občas potřebujete obejít zásady větve. Například při vrácení změny, která způsobila přerušení sestavení nebo použití opravy hotfix uprostřed noci. Dříve pomohla výjimka z oprávnění vynucování zásad týmům spravovat, kterým uživatelům byla udělena možnost obejít zásady větví při dokončování žádosti o přijetí změn. Toto oprávnění ale také udělilo možnost nasdílení změn přímo do větve a zcela obejití procesu žádosti o přijetí změn.

Abychom toto prostředí zlepšili, rozdělíme výjimku z oprávnění k vynucení zásad, abychom týmům, které udělují oprávnění k obejití, nabídli větší kontrolu. Předchozí oprávnění nahrazují následující dvě oprávnění:

  • Při dokončování žádostí o přijetí změn zásady obejití. Uživatelé s tímto oprávněním budou moct pro žádosti o přijetí změn používat prostředí Přepsání.
  • Vynechat zásady při nabízení Uživatelé s tímto oprávněním budou moct odesílat přímo větve, které mají nakonfigurované požadované zásady.

Když uživateli udělíte první oprávnění a odepřete sekundu, může v případě potřeby použít možnost obejití, ale bude mít ochranu před náhodným nasdílením do větve se zásadami.

Poznámka:

Tato změna nezavádí žádné změny chování. Uživatelům, kteří byli dříve uděleni Povolit pro vyloučení z vynucování zásad, jsou udělena možnost Povolit pro obě nová oprávnění, takže budou moct přepsat dokončení žádosti o přijetí změn i přímo do větví se zásadami.