Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Služby Azure DevOps
Důležité
Doporučujeme používat ověřování Microsoft Entra ID pro nové aplikace, které se integrují s Azure DevOps Services. Poskytuje rozšířené zabezpečení, integraci podnikové identity a možnosti moderního ověřování.
Tento článek vysvětluje výhody ověřování Microsoft Entra ID a provede vás implementací ve vašich aplikacích.
Přehled
Microsoft Entra ID je cloudová platforma microsoftu pro správu identit a přístupu, která organizacím umožňuje:
- Správa identit uživatelů a řízení přístupu k prostředkům
- Implementujte podnikové zásady zabezpečení, jako je vícefaktorové ověřování a podmíněný přístup Microsoft Entra.
- Integrace s tisíci aplikací, včetně Azure DevOps Services
- Poskytovat jednotné přihlašování napříč službami Microsoftu a jiných společností než Microsoft.
Řada podnikových zákazníků Azure DevOps propojuje svou organizaci Azure DevOps s ID Microsoft Entra, aby mohli tyto funkce a vylepšené funkce zabezpečení používat.
Poznámka:
ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD). V některých produktech a dokumentaci Microsoftu se stále můžou zobrazovat odkazy.
Možnosti ověřování
Platforma Microsoft Identity Platform poskytuje dva primární vzory ověřování pro přístup k Azure DevOps.
Delegování uživatele (OAuth)
Nejvhodnější pro: Interaktivní aplikace, které fungují pro uživatele
- Uživatelé se přihlašují pomocí svých přihlašovacích údajů Microsoft Entra ID.
- Aplikace obdrží delegovaná oprávnění, aby fungovaly jako přihlášený uživatel.
- Podpora vícefaktorového ověřování a zásad podmíněného přístupu Microsoft Entra
- Ideální pro webové aplikace, desktopové aplikace a uživatelsky orientované nástroje.
Začínáme: Implementace OAuth pro Microsoft Entra ID
Identita aplikace (instanční objekty a spravované identity)
Nejvhodnější pro: Scénáře automatizace a služby na pozadí
- Aplikace se ověřují pomocí vlastní identity (nikoli uživatelských přihlašovacích údajů).
- Vhodné pro kanály kontinuální integrace a průběžného doručování (CI/CD), služby na pozadí a automatizované nástroje.
- Bezpečnější pro komunikaci mezi službami.
- Podpora instančních objektů a spravovaných identit Azure
Začínáme: Principály služeb a spravované identity
Výhody ověřování Microsoft Entra ID
Ověřování Microsoft Entra ID poskytuje významné výhody oproti starším metodám ověřování Azure DevOps.
Vylepšené zabezpečení
- Krátkodobé tokeny (jednohodinové vypršení platnosti) snižují riziko z ohrožených přihlašovacích údajů.
- Zásady podmíněného přístupu Microsoft Entra chrání před krádeží tokenů a neoprávněným přístupem.
- Vícefaktorové ověřování podporuje další vrstvy zabezpečení.
- Rozšířená ochrana před hrozbami poskytuje posouzení rizik v reálném čase.
Podniková integrace
- Jednotné přihlašování napříč aplikacemi Microsoftu a aplikací jiných společností než Microsoft
- Centralizovaná správa identit pro uživatele a aplikace
- Vynucení zásad na úrovni organizace
- Možnosti auditu a dodržování předpisů pro požadavky zásad správného řízení
Zkušenost vývojáře
- Moderní knihovny ověřování (Microsoft Authentication Library) s automatickou aktualizací tokenů
- Konzistentní platforma identit napříč všemi službami Microsoftu
- Bohatá dokumentace a ukázky pro rychlou implementaci
- Aktivní podpora a vývoj s využitím pravidelných aktualizací funkcí
Porovnání se staršími metodami
| Vlastnost | Microsoft Entra ID | Osobní přístupové tokeny (PAT) | Azure DevOps OAuth |
|---|---|---|---|
| Životnost tokenů | Jedna hodina (autorefresh) | Až jeden rok | Konfigurovatelný |
| Vícefaktorové ověřování | ✅ Nativní podpora | ❌ Nepodporováno | ❌ Nepodporováno |
| Podmíněný přístup | ✅ Úplná podpora | ❌ Nepodporováno | ❌ Nepodporováno |
| Podnikové zásady | ✅ Vynucený | ⚠️ Omezené | ⚠️ Omezené |
| Protokolování auditu | ✅ Komplexní | ⚠️ Základní | ⚠️ Základní |
| Budoucí investice | ✅ Aktivní vývoj | ⚠️ Režim údržby | ❌ Zavrhovaný |
Důležité
Kompatibilita tokenů: Tokeny Microsoft Entra ID a tokeny Azure DevOps se nedají zaměnit. Aplikace, které migrují z Azure DevOps OAuth na Microsoft Entra ID OAuth, vyžadují opětovné ověření uživatele.
Migrace ze starší verze ověřování
Organizace stále častěji přijímají zásady zabezpečení, které omezují vytváření tokenů PAT kvůli bezpečnostním rizikům. Ověřování Microsoft Entra ID poskytuje zabezpečené alternativy pro běžné scénáře PAT.
| Scénář PAT | Alternativní řešení Microsoft Entra |
|---|---|
| Ověřování pomocí Správce přihlašovacích údajů Gitu (GCM) | Výchozím nastavením GCM je ověřování pomocí PAT. Nastavte výchozí typ přihlašovacích údajů na oauth. Další informace najdete na stránce Git Credential Manager (GCM). |
| Ověřte se v sestavovacím nebo vydávacím kanálu | Použijte připojení služby s federací identit úloh. |
| Ad hoc požadavky na rozhraní REST API Azure DevOps | Jednorázový token Microsoft Entra vydáte pomocí Azure CLI. |
Návod
Máte scénář PAT Azure DevOps bez jasné alternativy tokenu Microsoft Entra? Sdílejte svůj scénář v komunitě vývojářů.