Jak ukládáme vaše přihlašovací údaje pro Azure DevOps Services

  • Článek

Azure DevOps Services

Důležité

Azure DevOps už od začátku 2. března 2020 nepodporuje ověřování pomocí alternativních přihlašovacích údajů. Pokud stále používáte alternativní přihlašovací údaje, důrazně doporučujeme přejít na bezpečnější metodu ověřování (například osobní přístupové tokeny). Další informace.

Zabezpečení přihlašovacích údajů

Microsoft se zavazuje zajistit, aby vaše projekty zůstaly bez výjimky v bezpečí. V Azure DevOps těží vaše projekty z několika vrstev technologií zabezpečení a zásad správného řízení, provozních postupů a zásad dodržování předpisů. Vynucujeme ochranu osobních údajů a integritu dat v klidovém stavu i při přenosu. Kromě toho dodržujeme následující postupy s ohledem na přihlašovací údaje nebo tajné kódy, které Azure DevOps ukládá. Další informace o tom, jak zvolit správný mechanismus ověřování, najdete v tématu Doprovodné materiály k ověřování.

Tokeny PAT

  • Ukládáme hodnotu hash tokenu PAT.
  • Nezpracovaný token PAT se generuje v paměti na straně serveru jako 32 bajtů náhodně vygenerovaných prostřednictvím RNGCryptoServiceProvider a pak se sdílí s volajícím jako řetězec kódovaný jako base-32. Tato hodnota NENÍ uložena.
  • Hodnota hash PAT se generuje v paměti na straně serveru jako HMACSHA256Hash nezpracovaného tokenu PAT s použitím 64babajtů symetrického podpisového klíče uloženého v našem trezoru klíčů.
  • Hodnota hash je uložená v naší databázi.

Klíče SSH (Secure Shell)

  • Ukládáme hodnotu hash nadřazeného ID organizace a veřejného klíče SSH.
  • Nezpracovaný veřejný klíč poskytuje volající přímo přes SSL.
  • Hodnota hash SSH se generuje v paměti na straně serveru jako HMACSHA256Hash ID organizace a nezpracovaný veřejný klíč pomocí 64bajtového symetrického podpisového klíče uloženého v trezoru klíčů.
  • Hodnota hash je uložená v naší databázi.

Přihlašovací údaje OAuth (JWT)

  • Tyto tokeny se vydávají jako plně popisující webové tokeny JSON (JWT) a NEJSOU uložené v naší službě.
  • Deklarace identity v sadě JWT vydané a předložené naší službě se ověřují pomocí certifikátu uloženého v trezoru klíčů.