Komponenten, Begriffe und Schlüsselkonzepte
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Um Azure DevOps Server effektiv bereitzustellen und zu verwalten, müssen Sie verstehen, wie es funktioniert und mit anderen Bereitstellungskomponenten kommuniziert. Als Azure DevOps-Administrator sollten Sie mit Windows-Authentifizierung, Netzwerkprotokollen und Datenverkehr sowie mit der Struktur des Geschäftsnetzwerks vertraut sein, in dem Azure DevOps installiert ist. Sie sollten auch über Kenntnisse zu Azure DevOps-Gruppen und -Berechtigungen verfügen.
Möglicherweise finden Sie auch ein Verständnis von SQL Server, SQL Server Reporting Services und SharePoint-Produkten hilfreich.
Sie können Azure DevOps Server besser planen, bereitstellen und verwalten, wenn Sie die in diesem Artikel beschriebenen Komponenten und Begriffe verstehen.
Analysedienst
Der Analysedienst ist die Berichtsplattform der Zukunft für Azure DevOps. Sie ist derzeit auf Azure DevOps Services verfügbar und kann über den Azure DevOps Marketplace auf Azure DevOps Server installiert werden. Weitere Informationen finden Sie unter Was ist der Analysedienst?
Anwendungsebene, Datenebene und Clientebene
Die logischen Ebenen, aus denen Azure DevOps Server. Diese Ebenen können alle auf demselben physischen Computer bereitgestellt werden, oder sie können auf mehreren Computern installiert werden. Weitere Informationen finden Sie unter Architekturübersicht für Azure DevOps Server.
Projektauflistung.
Die primäre Organisationseinheit für alle Daten in Azure DevOps Server. Sammlungen bestimmen die Ressourcen, die den ihnen hinzugefügten Projekten zur Verfügung stehen. Diese Ressourcen können SQL Server Reporting Services, Code Search, Marketplace-Erweiterungen und vieles mehr umfassen. Weitere Informationen finden Sie unter Verwalten von Projektsammlungen.
Project
Ein Teamprojekt ist eine Zentrale für kooperative Aktivitäten des Teams, die zum Entwickeln bestimmter Softwaretechnologien oder -produkte erfolgen. Projekte sind in Projektsammlungen organisiert. Weitere Informationen finden Sie unter Informationen zu Projekten und Skalieren Ihrer organization.
Azure DevOps Server-Verwaltungskonsole
Das zentrale Verwaltungstool für Azure DevOps Server Administratoren zum Konfigurieren und Verwalten von Ressourcen. Weitere Informationen finden Sie unter Schnellübersicht zu administrativen Aufgaben.
Dienstkonten
Das Konto oder die Konten, die von den Webdiensten und Anwendungen von Azure DevOps ausgeführt werden. Azure DevOps Server erfordert, dass Dienstkonten Vorgänge server- und webdienstübergreifend ausführen. Diese Dienstkonten weisen bestimmte Anforderungen auf. Weitere Informationen finden Sie unter Dienstkonten und Abhängigkeiten in Azure DevOps Server.
SharePoint-Produkte
Software, die Unterstützung für Projektportale und Dashboards bereitstellt. Sie können eine oder mehrere SharePoint-Webanwendungen als Teil Ihrer Bereitstellung von Azure DevOps Server einschließen. Um eine dieser Anwendungen einzuschließen, müssen Sie Azure DevOps Server Erweiterungen für SharePoint-Produkte installieren und konfigurieren, und Sie müssen Berechtigungen für die gesamte Bereitstellung konfigurieren. Weitere Informationen finden Sie unter Freigeben von Informationen über das Projektportal. Die Integration in SharePoint-Produkte ist für TFS 2018 und höhere Versionen veraltet.
SQL Server und SQL Server Reporting Services
Software, die eine Datenbankplattform für Data Warehousing und eine Business Intelligence-Plattform für Datenintegration, Analyse und Berichtslösungen bereitstellt. Azure DevOps Server speichert seine Daten in SQL Server Datenbanken. Optional können Sie auch einen Server einschließen, der SQL Server Reporting Services ausführt und automatisch Berichte für Projekte generiert. Weitere Informationen finden Sie unter Verwalten von Berichten, Data Warehouse und Analysis Services-Cube.
Sicherheitskonzepte
Um die Sicherheit von Azure DevOps Server zu optimieren, sollten Sie die folgenden Konzepte verstehen:
- Topologie, die umfasst, wo und wie Server bereitgestellt werden, auf denen Komponenten von Azure DevOps ausgeführt werden, den Netzwerkdatenverkehr, der zwischen Azure DevOps Server und Azure DevOps-Clients geleitet wird, und die Dienste, die auf Azure DevOps Server ausgeführt werden müssen.
- Authentifizierung, die die Bestimmung der Gültigkeit von Benutzern, Gruppen und Diensten in Azure DevOps Server umfasst.
- Die Autorisierung umfasst die Bestimmung, ob gültige Benutzer, Gruppen und Dienste in Azure DevOps Server über die entsprechenden Berechtigungen zum Ausführen bestimmter Aktionen verfügen.
Sie sollten auch die anderen Komponenten und Dienste berücksichtigen, von denen Azure DevOps Server abhängt.
Wenn Sie die Sicherheit für Azure DevOps Server in Betracht ziehen, müssen Sie den Unterschied zwischen Authentifizierung und Autorisierung verstehen. Authentifizierung bezeichnet die Überprüfung der Anmeldeinformationen bei einem Verbindungsversuch durch einen Client, Server oder Prozess. Autorisierung ist die Überprüfung, ob der Benutzer, der eine Verbindung herstellt, über Berechtigungen für den Zugriff auf das Objekt oder die Methode verfügt. Die Autorisierung erfolgt erst nach erfolgreicher Authentifizierung. Wenn eine Verbindung nicht authentifiziert werden kann, missling der Verbindungsversuch bereits vor der Autorisierung. Nach erfolgreicher Authentifizierung kann eine bestimmte Aktion trotzdem unzulässig sein, weil der Benutzer oder die Gruppe nicht zum Durchführen der Aktion autorisiert ist.
Topologien, Ports und Dienste
Das erste Element der Bereitstellung und Sicherheit für Azure DevOps Server besteht darin, ob die Komponenten Ihrer Bereitstellung eine Verbindung miteinander herstellen können, um zu kommunizieren. Ihr Ziel besteht darin, Verbindungen zwischen Azure DevOps-Clients und Azure DevOps Server zu aktivieren und andere Verbindungsversuche einzuschränken oder zu verhindern.
Azure DevOps Server hängt von bestimmten Ports und Diensten ab, damit es funktionieren kann. Diese Ports können zur Einhaltung der Sicherheitsanforderungen des Unternehmens gesichert und überwacht werden. Sie müssen netzwerkdatenverkehr zulassen, damit Azure DevOps Server zwischen Azure DevOps-Clients, den Servern, die die logischen Komponenten der Anwendungsebene und der Datenebene hosten, Computern für Team Foundation Build und Remoteclients, die Azure DevOps Proxy Server verwenden. Standardmäßig ist Azure DevOps Server für die Verwendung von HTTP für seine Webdienste konfiguriert. Eine vollständige Liste der Ports und Dienste, die Azure DevOps Server verwendet und wie sie innerhalb der Architektur verwendet werden, finden Sie unter Azure DevOps Server-Architektur.
Sie können Azure DevOps Server in einer Active Directory-Domäne oder in einer Arbeitsgruppe bereitstellen. Active Directory stellt mehr integrierte Sicherheitsfunktionen bereit als Arbeitsgruppen. Sie können Active Directory-Features verwenden, um Ihre Bereitstellung von Azure DevOps Server zu schützen. Beispielsweise können Sie Active Directory so konfigurieren, dass doppelte Computernamen verhindert werden, sodass ein böswilliger Benutzer den Computernamen nicht mit einem nicht autorisierten Server spooft, auf dem Azure DevOps Server ausgeführt wird. Um die gleiche Art von Bedrohung in einer Arbeitsgruppe zu verhindern, müssen Sie Computerzertifikate konfigurieren.
Unabhängig davon, ob Sie Azure DevOps Server in einer Arbeitsgruppe oder domäne bereitstellen, müssen Sie bestimmte Einschränkungen einhalten, die durch die Anforderungen von Azure DevOps Server selbst auferlegt werden. Weitere Informationen zu Topologien für Azure DevOps Server finden Sie unter A Simple Azure DevOps Server Topology, A Moderate Azure DevOps Server Topology, A Complex Azure DevOps Server Topology, Understanding Windows SharePoint Services und Grundlegendes zu SQL Server und SQL Server Reporting Services.
Authentifizierung
Sicherheit für Azure DevOps Server ist in die integrierte Windows-Authentifizierung integriert und basiert auf den Sicherheitsfeatures des Windows-Betriebssystems. Sie können die integrierte Windows-Authentifizierung verwenden, um Konten für Verbindungen zwischen Azure DevOps-Clients und Azure DevOps Server, für Webdienste auf den Servern zu authentifizieren, die die logischen Anwendungs- und Datenebenen hosten, und für Verbindungen zwischen Anwendungs- und Datenebenenservern selbst.
Hinweis
Sie können Azure DevOps Server konfigurieren, um Kerberos für die gegenseitige Authentifizierung sowohl des Clients als auch des Servers zu unterstützen, nachdem Sie Azure DevOps Server installiert haben.
Sie sollten keine SQL Server Datenbankverbindungen zwischen Azure DevOps Server und SharePoint-Produkten konfigurieren, um SQL Server-Authentifizierung zu verwenden, da sie nicht so sicher ist wie Windows-Authentifizierung. Bei der Verbindung mit der Datenbank werden Benutzername und Kennwort für das Administratorkonto der Datenbank unverschlüsselt übertragen. Bei der integrierten Windows-Authentifizierung werden Benutzername und Kennwort nicht gesendet. Stattdessen werden integrierte Sicherheitsprotokolle für die Windows-Authentifizierung verwendet, um Dienstkontoidentitätsinformationen, die dem IIS-Anwendungspool (Internetinformationsdienste) des Hosts zugeordnet sind, an SQL Server zu übertragen.
Authorization
Azure DevOps Server Autorisierung basiert auf Benutzern und Gruppen in Azure DevOps, den Berechtigungen, die diesen Benutzern und Gruppen direkt zugewiesen werden, sowie auf Berechtigungen, die diese Benutzer und Gruppen möglicherweise erben, indem sie anderen Gruppen in Azure DevOps Server angehören. Benutzer und Gruppen in Azure DevOps können lokale Benutzer oder Gruppen, Active Directory-Benutzer oder -Gruppen oder beides sein.
Azure DevOps Server ist mit Standardgruppen auf Server-, Sammlungs- und Projektebene vorkonfiguriert. Sie können diesen Gruppen einzelne Benutzer hinzufügen. Sie sollten diese Gruppen jedoch mithilfe von Active Directory-Sicherheitsgruppen auffüllen, da diese einfacher verwaltet werden können. Mit diesem Ansatz können Sie Gruppenmitgliedschaften und Berechtigungen auf mehreren Computern oder Anwendungen effizienter verwalten, z. B. SharePoint-Produkte und SQL Server.
Möglicherweise müssen Sie in Ihrer Bereitstellung Benutzer, Gruppen und Berechtigungen auf mehreren Computern und in verschiedenen Anwendungen konfigurieren. Beispielsweise müssen Sie Berechtigungen für Benutzer und Gruppen in Reporting Services, SharePoint-Produkte und Azure DevOps Server konfigurieren, wenn Sie Berichte und Projektportale in Ihre Bereitstellung einbeziehen möchten. In Azure DevOps Server können Sie Berechtigungen für jedes Projekt, für jede Sammlung und für eine Bereitstellung (auf Serverebene) festlegen. Darüber hinaus werden bestimmte Berechtigungen standardmäßig jedem Benutzer oder jeder Gruppe gewährt, die Sie Azure DevOps Server hinzufügen, da dieser Benutzer oder diese Gruppe automatisch zu Gültigen Azure DevOps-Benutzern hinzugefügt wird. Weitere Informationen finden Sie unter Verwalten von Benutzern oder Gruppen.
In additon to configuring permissions for authorization in Azure DevOps Server, you might need authorization within version control and work items. Sie verwalten diese Berechtigungen separat an einer Eingabeaufforderung, aber sie sind als Teil der Benutzeroberfläche für Team Explorer integriert.