Informace o zabezpečení, ověřování a autorizaci

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Azure DevOps využívá různé koncepty zabezpečení, které zajišťují, že k funkcím, funkcím a datům mají přístup jenom autorizovaní uživatelé. Uživatelé získají přístup k Azure DevOps prostřednictvím ověřování svých přihlašovacích údajů zabezpečení a autorizace oprávnění účtu pro přístup ke konkrétním funkcím nebo funkcím.

Tento článek vychází z informací uvedených v části Začínáme s oprávněními, přístupem a skupinami zabezpečení. Správci můžou těžit z pochopení typů účtů, metod ověřování, metod autorizace a zásad používaných k zabezpečení Azure DevOps.

---

Typy účtů

• Uživatelé
• Vlastník organizace
• Service Accounts
• Instanční objekty nebo spravované identity
• Agenti úloh

Authentication

• Přihlašovací údaje uživatele
• Ověřování systému Windows
• Dvojúrovňové ověřování (2FA)
• Ověřování pomocí klíče SSH
• Osobní přístupové tokeny (PAT)
• Konfigurace OAuth
• Knihovna ověřování služby Active Directory

Autorizace

• Členství ve skupině zabezpečení
• Řízení přístupu na základě role
• Úrovně přístupu
• Hlavní příznaky
• Obory názvů zabezpečení a oprávnění

Zásady

• Adresa URL zásad ochrany osobních údajů
• Připojení aplikací a zásady zabezpečení
• Zásady uživatelů
• Zásady úložiště Git a větví

---

Důležité

Azure DevOps nepodporuje ověřování alternativních přihlašovacích údajů. Pokud stále používáte alternativní přihlašovací údaje, důrazně doporučujeme přejít na bezpečnější metodu ověřování.

Azure DevOps Services (cloud) i Azure DevOps Server (místní) podporují vývoj softwaru od plánování až po nasazení. Využívají infrastrukturu a služby Platformy Microsoft Azure jako služby, včetně databází Azure SQL, k zajištění spolehlivé a globálně dostupné služby pro vaše projekty.

Další informace o tom, jak Microsoft zajišťuje, aby vaše projekty Azure DevOps Services byly bezpečné, dostupné, zabezpečené a soukromé, najdete v přehledu ochrany dat Azure DevOps Services.

Účty

I když jsou lidské uživatelské účty primárním cílem, Azure DevOps podporuje různé jiné typy účtů pro různé operace. Patří mezi ně následující typy účtů:

• Vlastník organizace: Tvůrce organizace Azure DevOps Services nebo přiřazeného vlastníka. Pokud chcete najít vlastníka vaší organizace, přečtěte si téma Vyhledání vlastníka organizace.
• Účty služeb: Interní organizace Azure DevOps používaná k podpoře konkrétní služby, jako je služba fondu agentů, PipelinesSDK. Popis účtů služeb najdete v tématu Skupiny zabezpečení, účty služeb a oprávnění.
• Instanční objekty nebo spravované identity: Aplikace Microsoft Entra nebo spravované identity přidané do vaší organizace za účelem provádění akcí jménem aplikace třetí strany. Některé instanční objekty odkazují na interní organizaci Azure DevOps, která podporuje interní operace.
• Agenti úloh: Interní účty používané ke spouštění konkrétních úloh v pravidelném plánu.
• Účty třetích stran: Účty, které vyžadují přístup k podpoře webových hooků, připojení služeb nebo jiných aplikací třetích stran.

V našich článcích souvisejících se zabezpečením odkazuje "users" na všechny identity přidané do centra Users Hub, které můžou zahrnovat lidské uživatele a instanční objekty.

Nejúčinnější způsob správy účtů je jejich přidáním do skupin zabezpečení.

Poznámka:

Vlastníkovi organizace a členům skupiny Správci kolekcí projektů je udělen úplný přístup k téměř všem funkcím a funkcím.

Ověřování

Ověřování ověřuje identitu účtu na základě přihlašovacích údajů zadaných během přihlašování k Azure DevOps. Tyto systémy se integrují s funkcemi zabezpečení následujících dalších systémů a spoléhají na ně:

• Microsoft Entra ID
• Účet Microsoft (MSA)
• Active Directory (AD)

Microsoft Entra ID a MSA podporují cloudové ověřování. Ke správě velké skupiny uživatelů doporučujeme použít ID Microsoft Entra. Pro malou uživatelskou základnu, která přistupuje k organizaci Azure DevOps, jsou účty Microsoft dostatečné. Další informace najdete v tématu O přístupu k Azure DevOps pomocí Microsoft Entra ID.

Pro místní nasazení se služba AD doporučuje ke správě velké skupiny uživatelů. Další informace najdete v tématu Nastavení skupin pro použití v místních nasazeních.

Metody ověřování, integrace s jinými službami a aplikacemi

Ostatní aplikace a služby se můžou integrovat s Azure DevOps. Pokud chcete získat přístup ke svému účtu bez opakovaného zadání přihlašovacích údajů uživatele, můžou aplikace používat následující metody ověřování:

• Osobní přístupové tokeny (PAT) pro vygenerování tokenů vaším jménem:

  • Přístup ke konkrétním prostředkům nebo aktivitám, jako jsou buildy nebo pracovní položky
  • Klienti, jako je Xcode a NuGet, kteří vyžadují uživatelská jména a hesla jako základní přihlašovací údaje a nepodporují účet Microsoft a funkce Microsoft Entra, jako je například vícefaktorové ověřování
  • Přístup k rozhraním REST API Azure DevOps

• Azure DevOps OAuth za uživatele vygeneruje tokeny pro přístup k rozhraním REST API. Rozhraní API pro účty a profily podporují pouze OAuth.

• Ověřování SSH k vygenerování šifrovacích klíčů pro sebe, když používáte Linux, macOS nebo Windows s Gitem pro Windows a nemůžete k ověřování HTTPS používat správce přihlašovacích údajů Gitu ani paty .

• Instanční objekty nebo spravované identity , které generují tokeny Microsoft Entra jménem aplikace nebo služby, obvykle automatizují pracovní postupy, které potřebují přístup k prostředkům Azure DevOps. Většina akcí tradičně prováděných účtem služby a pat se dá provést pomocí instančního objektu nebo spravované identity.

Ve výchozím nastavení váš účet nebo kolekce umožňuje přístup ke všem metodám ověřování. Přístup můžete omezit tím, že omezíte každou metodu. Když odepřete přístup k metodě ověřování, nebude tuto metodu pro přístup k vašemu účtu moct používat žádná aplikace. Každá aplikace, která dříve měla přístup, obdrží chybu ověřování a nemůže získat přístup k vašemu účtu.

Další informace najdete v následujících článcích:

• Úložiště přihlašovacích údajů pro Azure DevOps
• Pokyny k ověřování

Autorizace

Autorizace ověřuje, že identita, která se pokouší o připojení, má potřebná oprávnění pro přístup ke službě, funkci, funkci, objektu nebo metodě. Autorizace se vždy provádí po úspěšném ověření. Pokud připojení není ověřené, selže před provedením jakýchkoli kontrol autorizace. I když ověřování proběhne úspěšně, může být určitá akce stále zakázaná, pokud uživatel nebo skupina nemají autorizaci.

Autorizace závisí na oprávněních přiřazených uživateli, a to buď přímo, nebo prostřednictvím členství ve skupině zabezpečení nebo roli zabezpečení. Úrovně přístupu a příznaky funkcí můžou také spravovat přístup ke konkrétním funkcím. Další informace o těchto metodách autorizace najdete v tématu Začínáme s oprávněními, přístupem a skupinami zabezpečení.

Obory názvů a oprávnění zabezpečení

Obory názvů zabezpečení určují úrovně přístupu uživatelů pro konkrétní akce u prostředků.

• Každá řada prostředků, jako jsou pracovní položky nebo úložiště Git, má jedinečný obor názvů.
• Každý obor názvů obsahuje nula nebo více seznamů řízení přístupu (ACL).
  • Každý seznam ACL obsahuje token, příznak dědění a položky řízení přístupu (ACL).
  • Každá ACE má popisovač identity, povolenou masku oprávnění a bitovou masku odepřených oprávnění.

Další informace naleznete v tématu Obory názvů zabezpečení a odkazy na oprávnění.

Zásady zabezpečení

Pokud chcete zabezpečit organizaci a kód, můžete nastavit různé zásady. Konkrétně můžete povolit nebo zakázat následující zásady:

OBECNÉ

• Adresa URL zásad ochrany osobních údajů: Určuje adresu URL, která odkazuje na váš vlastní dokument, který popisuje, jak zpracováváte interní i externí ochranu osobních údajů hostů. Další informace najdete v tématu Přidání adresy URL zásad ochrany osobních údajů pro vaši organizaci.

Připojení aplikací a zásady zabezpečení

Pomocí zásad tenanta Microsoft Entra omezte vytváření nových organizací jenom na požadované uživatele. Tato zásada je ve výchozím nastavení vypnutá a platná pouze v případě, že je organizace připojená k ID Microsoft Entra. Další informace najdete v tématu Omezení vytváření organizace.

Následující zásady určují přístup udělený uživatelům a aplikacím ve vaší organizaci:

• Přístup k aplikacím třetích stran prostřednictvím OAuth
• Přístup k ověřování SSH.
• Povolit veřejné projekty: Když je tato možnost povolená, můžou uživatelé vytvářet veřejné projekty, které umožňují nečlenům projektu a uživatelům, kteří nejsou přihlášení jen pro čtení, omezený přístup k artefaktům a službám projektu. Další informace najdete v tématu Nastavení projektu jako veřejného.
• Události auditu protokolu – Zapněte možnost sledovat události auditování a streamy pro vaši organizaci.
• Povolte ověřování zásad podmíněného přístupu (CAP) společnosti Microsoft Entra.

Zásady uživatelů

• Externí přístup hosta (platí jenom v případě, že je organizace připojená k Microsoft Entra ID.): Pokud je tato možnost povolená, můžou se pozvánky posílat e-mailovým účtům uživatelů, kteří nejsou členy Microsoft Entra ID tenanta prostřednictvím stránky Uživatelé. Další informace najdete v tématu Přidání externích uživatelů do vaší organizace.
• Povolit správcům týmů a projektů pozvat nové uživatele: Platí jenom v případech, kdy je organizace připojená k Microsoft Entra ID. Pokud je tato možnost povolená, můžou správci týmu a projektů přidávat uživatele prostřednictvím stránky Uživatelé . Další informace najdete v tématu Omezení nových pozvánek uživatelů od správců projektů a týmů.
• Požádat o přístup: Platné pouze v případech, kdy je organizace připojená k MICROSOFT Entra ID. Pokud je tato možnost povolená, můžou si uživatelé vyžádat přístup k prostředku. Žádost vede k e-mailovému oznámení správcům, kteří podle potřeby požadují kontrolu a přístup. Další informace najdete v tématu Přidání externích uživatelů do vaší organizace.
• Pozvat uživatele GitHubu: Platí jenom v případech, kdy organizace není připojená k Microsoft Entra ID. Pokud je tato možnost povolená, můžou správci přidávat uživatele na základě svých uživatelských účtů GitHubu ze stránky Uživatelé . Další informace najdete v tématu Připojení k GitHubu nebo nejčastějším dotazům.

Skupina Uživatelé s oborem projektu

Ve výchozím nastavení můžou uživatelé přidaní do organizace zobrazit všechny informace a nastavení organizace a projektu, včetně seznamů uživatelů, seznamů projektů, podrobností o fakturaci, dat o využití a dalších.

Důležité

• Omezené funkce viditelnosti popsané v této části se vztahují pouze na interakce prostřednictvím webového portálu. Pomocí rozhraní REST API nebo azure devops příkazů rozhraní příkazového řádku můžou členové projektu přistupovat k omezeným datům.
• Uživatelé typu host, kteří jsou členy omezené skupiny s výchozím přístupem v Microsoft Entra ID, nemůžou vyhledávat uživatele s výběrem osob. Když je funkce Preview pro organizaci vypnutá nebo když uživatelé typu host nejsou členy omezené skupiny, můžou uživatelé typu host prohledávat všechny uživatele Microsoft Entra podle očekávání.

Pokud chcete omezit určité uživatele, jako jsou účastníci, uživatelé typu host Microsoft Entra nebo členové konkrétní skupiny zabezpečení, můžete povolit funkci Omezit viditelnost uživatelů a spolupráci na konkrétní projekty ve verzi Preview pro organizaci. Po povolení jsou všichni uživatelé nebo skupina přidaní do skupiny Uživatelé s oborem projektu omezeni následujícími způsoby:

• Má přístup jenom na stránky Přehled a Projekty v nastavení organizace.
• Může se připojit a zobrazit pouze ty projekty, ke kterým byly přidány explicitně.
• Můžete vybrat pouze identity uživatelů a skupin přidané explicitně do projektu, ke kterému jsou připojeni.

Další informace najdete v tématu Správa organizace, omezení viditelnosti uživatelů pro projekty a další a správa funkcí ve verzi Preview.

Upozorňující

Pokud je pro organizaci povolená funkce Omezit viditelnost uživatelů a spolupráci na konkrétní projekty ve verzi Preview, nemůžou uživatelé v oboru projektu vyhledávat uživatele, kteří byli do organizace přidáni prostřednictvím členství ve skupině Microsoft Entra, a ne prostřednictvím explicitní pozvánky uživatele. Jedná se o neočekávané chování a pracuje se na řešení. Pokud chcete tento problém vyřešit sami, zakažte funkci Omezit viditelnost a spolupráci uživatelů na konkrétní projekty ve verzi Preview pro organizaci.

Zásady úložiště Git a větví

• Konfigurace nastavení a zásad úložiště
• Konfigurace zásad větve
• Konfigurace zásad větve pro externí službu
• Vytvoření vlastních zásad větvení pomocí Azure Functions

Zabezpečení Azure Repos a Azure Pipelines

Vzhledem k tomu, že úložiště a kanály buildů a verzí představují jedinečné problémy se zabezpečením, využívají se další funkce nad rámec funkcí probíraných v tomto článku. Další informace naleznete v následujících článcích.

• Zabezpečení služby Azure Pipelines
• Plánování zabezpečení kanálů YAML
• Ochrana úložiště
• Prostředky kanálu
• Doporučení k bezpečné struktuře projektů v kanálu
• Zabezpečení prostřednictvím šablon
• Jak bezpečně používat proměnné a parametry v kanálu
• Doporučení k zabezpečení sdílené infrastruktury ve službě Azure Pipelines
• Další aspekty zabezpečení

Další kroky

Referenční informace o oprávněních a skupinách

Související články

• Výchozí oprávnění a přiřazení přístupu
• Přidání nebo odstranění uživatelů pomocí Microsoft Entra ID
• Nastavení skupin pro použití v místních nasazeních
• Nastavení HTTPS s protokolem SSL (Secure Sockets Layer)
• Výchozí oprávnění a přiřazení přístupu