Freigeben über


Präzise Bereiche für Azure Active Directory OAuth

Wir unterstützen präzise Azure DevOps-Bereiche, mit denen das Verhalten der In Azure DevOps integrierten Azure Active Directory OAuth-Anwendungen eingeschränkt werden kann.

Durch Festlegen von Bereichen für eine Anwendung können Sie die Vorgänge (z. B. Schreiben in Arbeitselemente, Anzeigen von Quellcode, Konfigurieren von Pipelines usw.) einschränken, die eine Anwendung beim Herstellen einer Verbindung mit Azure DevOps im Namen des Benutzers ausführen kann. Apps, die einen einzelnen umfassenden Benutzeridentitätswechselbereich verwenden, der es der App ermöglicht, alle Vorgänge auszuführen, die dem zugrunde liegenden Benutzer erlaubt sind, können jetzt die granularen Bereiche verwenden, um ihr Verhalten einzuschränken. Beispielsweise kann einer App, die nur Arbeitselemente liest, nur ein workitem_read Bereich zugewiesen werden, sodass sie nichts außerhalb dieses Verhaltens absichtlich oder anderweitig tun kann.

Das Hinzufügen von Bereichen zu einer Anwendung erfordert, dass alle Anwendungen, in die Sie integrieren, zuerst deklarieren müssen, was sie für Sie tun möchten, indem sie diese Bereiche im Voraus definieren. Diese Bereiche können Sie überprüfen, bevor Sie der Autorisierung dieser App zum Ausführen von Aktionen in Ihrem Namen zustimmen. Dadurch wird sichergestellt, dass Sie mehr Transparenz darüber erhalten, was eine Anwendung mit Ressourcen macht, auf die Sie Zugriff haben.

Als Anwendungsentwickler hilft dies, den Risikovektor zu begrenzen, wenn ein von Ihrer Anwendung ausgegebenes Token in falsche Hände fällt.