Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020
Tento článek popisuje metody ověřování pro integraci Azure DevOps a pomáhá zvolit nejlepší možnost pro váš scénář. Moderní přístupy k ověřování, jako je Microsoft Entra ID, poskytují lepší zabezpečení a nejlepší přístup pro nové aplikace.
Důležité
Pro nové aplikace, které se integrují se službou Azure DevOps Services, doporučujeme ověřování Microsoft Entra ID. Používejte osobní přístupové tokeny střídmě a používejte je jenom v případě, že není k dispozici ID Microsoft Entra.
Ověřování OAuth 2.0 a Microsoft Entra ID jsou k dispozici pouze pro Azure DevOps Services, nikoli pro Azure DevOps Server.
V případě místních scénářů použijte klientské knihovny .NET, autentizaci Windows nebo osobní přístupové tokeny.
Metody ověřování podle scénáře
Zvolte odpovídající metodu ověřování na základě typu a požadavků vaší aplikace.
| Typ aplikace | Popis | Příklad | Doporučená metoda | Ukázky kódu |
|---|---|---|---|---|
| Webové nebo desktopové aplikace | Interaktivní aplikace využívající aktuální architektury | Aplikace React, desktopová aplikace .NET | Microsoft Entra OAuth s knihovnou Microsoft Authentication Library (MSAL) | Konzolová aplikace pro správu klienta |
| Aplikace na pozadí nebo služby | Aplikace spuštěné bez zásahu uživatele | Azure Functions, služby na pozadí | Instanční objekty a spravované identity | Hlavní služby |
| Starší klientské aplikace | Existující aplikace využívající klientské knihovny | Konzolové aplikace s knihovnami Azure DevOps .NET | Klientské knihovny .NET s OAuth | Konzolová aplikace klientské knihovny |
| Bezobsádové aplikace nebo aplikace rozhraní příkazového řádku | Neinteraktivní nástroje příkazového řádku | Vytváření skriptů, automatizačních nástrojů | Tok udělení autorizace zařízení | Profil zařízení |
| Rozšíření Azure DevOps | Rozšíření spuštěná v Azure DevOps | Vlastní widgety řídicího panelu a formuláře pracovních položek | Sada SDK webového rozšíření Azure DevOps | Přidání widgetu řídicího panelu |
| Aplikace Azure DevOps Serveru | Místní integrace Azure DevOps Serveru | Vlastní serverová rozšíření | Klientské knihovny .NET nebo Ověřování systému Windows | Konzolová aplikace klientské knihovny |
| Osobní/ad hoc skripty | Rychlé skripty pro osobní použití | Skripty PowerShellu, příkazy curl | Osobní přístupové tokeny | Začínáme s rozhraními REST API |
Návrhy pro začátek
Následující části obsahují doporučení pro zahájení práce v různých scénářích.
Nové aplikace
- Vytvářejte integrace Azure DevOps s aplikacemi Microsoft Entra OAuth za nejlepší zabezpečení a budoucí kompatibilitu.
- Používejte poskytovatele služeb nebo spravované identity pro scénáře mezi službami.
- Vyhněte se osobním přístupovým tokenům v produkčních aplikacích.
Existující aplikace
- Naplánujte migraci z osobních přístupových tokenů na ověřování Microsoft Entra ID.
- Zvažte časovou osu migrace ověřování ke zlepšení Azure DevOps a snížení používání osobních přístupových tokenů.
- Zkontrolujte svůj současný přístup k ověřování oproti osvědčeným postupům zabezpečení.
Azure DevOps Server
- Pokud je to možné, používejte klientské knihovny .NET s ověřováním systému Windows.
- Pokud jsou přijatelné, používejte osobní přístupové tokeny pro scénáře Azure DevOps Serveru.
- Naplánujte budoucí migraci azure DevOps Services, abyste mohli využívat výhod moderního ověřování.
Odpovědi na časté dotazy
V následujících částech najdete odpovědi na nejčastější dotazy.
Mám používat tokeny Microsoft Entra ID OAuth nebo osobní přístupové tokeny?
Microsoft Entra ID OAuth použijte v následujících scénářích:
- Nové aplikace a integrace
- Produkční úlohy, které vyžadují robustní zabezpečení
- Aplikace, které potřebují integraci podnikové identity
- Dlouhodobé projekty s požadavky na dodržování předpisů
V následujících scénářích používejte pouze osobní přístupové tokeny:
- Osobní skripty a ad hoc úkoly
- Starší verze aplikací během plánování migrace
- Scénáře Azure DevOps Serveru, ve kterých není moderní ověřování dostupné
Mám k ověřování použít služební principály nebo delegování uživatelských práv?
Instanční objekty nebo spravované identity použijte v následujících scénářích:
- Vytvářejte aplikace, které pracují nezávisle (služby na pozadí, automatizace).
- Vytvářejte aplikace, které nevyžadují interakci uživatele.
- Implementujte komunikaci mezi službami.
- Vytváření kanálů kontinuální integrace a průběžného doručování (CI/CD) nebo automatizovaných pracovních postupů
Delegování uživatele (OAuth se souhlasem uživatele) použijte v následujících scénářích:
- Vytvářejte aplikace, které fungují pro lidské uživatele.
- Vytvářejte interaktivní aplikace, ve kterých se uživatelé přihlašují pomocí vlastních přihlašovacích údajů.
- Implementujte funkce, které vyžadují oprávnění specifická pro uživatele.
- Vytvářejte aplikace, které respektují jednotlivá přístupová práva uživatelů.
Jak se můžu ověřit pomocí Azure DevOps Services i Azure DevOps Serveru?
Osvědčeným postupem je vytvořit samostatné cesty ověřování:
- Azure DevOps Services: Použijte OAuth s Microsoft Entra ID.
- Azure DevOps Server: Používejte klientské knihovny .NET s ověřováním Windows nebo osobními přístupovými tokeny.
requestContext Pomocí metody detekujte typ služby a použijte příslušnou metodu ověřování.
Proč můj účet služby nemá přístup k rozhraním API Azure DevOps?
Tady je několik běžných problémů, které můžou mít vliv na přístup k účtu služby:
- Účet služby není materializovaný: Použijte správnou metodu přihlášení. Účty služeb potřebují interaktivní přihlašovací oprávnění nebo správnou registraci ID Microsoft Entra.
- Nedostatečná oprávnění: Ujistěte se, že účet služby má příslušná oprávnění Azure DevOps.
- Metoda ověřování: Místo pokusu ověřit se jako účet služby používejte principy služby nebo spravované identity.
Jak můžu migrovat z osobních přístupových tokenů na moderní ověřování?
Postupujte následovně:
Identifikujte aktuální využití osobních přístupových tokenů ve vašich aplikacích.
Zvolte alternativní metodu ověřování:
- Microsoft Entra ID OAuth pro scénáře delegované uživatelem
- Instanční objekty pro scénáře service-to-service
Aktualizujte ověřovací kód pomocí vzorů pro ověřování migrace Azure DevOps.
Před odstraněním jakýchkoli závislostí na osobních přístupových tokenech pečlivě otestujte změny.
Monitorujte a ověřte novou metodu ověřování.
Postupy implementace
Po výběru metody ověřování pro váš scénář dokončete implementaci:
- Nové aplikace: Vytváření integrací Azure DevOps s aplikacemi Microsoft Entra OAuth
- Service applications: Použití aplikačních identit a spravovaných identit v Azure DevOps
- Osobní skripty: Použití osobních přístupových tokenů