Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID es una plataforma de administración de identidades y acceso (IAM) que permite a las empresas administrar la pertenencia a la organización y proteger los recursos de la empresa. Muchos clientes empresariales de Azure DevOps eligen conectar su organización de Azure DevOps a un tenant de Microsoft Entra ID para facilitar la gestión del gran volumen de usuarios de su empresa y aprovechar otras características de seguridad que ofrece Microsoft Entra.
Nota:
Microsoft Entra anteriormente se conocía como Azure Active Directory (Azure AD), así que puede que todavía vea referencias a Azure AD a través de los productos de Microsoft. También se puede hacer referencia a Active Directory como equivalente local de Microsoft Entra.
Una vez conectado, la plataforma de aplicaciones de Identidad de Microsoft que se encuentra sobre el identificador de Entra de Microsoft se puede usar para registrar una aplicación para acceder a los inquilinos de Azure y definir los permisos necesarios para los recursos de Azure, incluido Azure DevOps.
Se admite el desarrollo de aplicaciones para:
- Aplicaciones OAuth de Microsoft Entra (en nombre de los usuarios)
- Principales de servicio e identidades administradas de Microsoft Entra (aplicaciones que actúan en su propio nombre)
Autenticación basada en Azure DevOps frente a autenticación basada en Entra
Se crearon muchas autenticaciones nativas basadas en Azure DevOps (por ejemplo, tokens de acceso personal (PAT) o aplicaciones de OAuth de Azure DevOps antes de Microsoft Entra. Los tokens de Microsoft Entra ofrecen una alternativa segura que dura solo una hora antes de requerir una actualización. Los protocolos de autenticación para generar tokens de Entra son más sólidos y seguros. Las medidas de seguridad, como las directivas de acceso condicional, protegen contra los ataques de robo y repetición de tokens. Mientras tanto, nuestros tokens nativos se encuentran fuera de Azure y no tienen compatibilidad nativa con conceptos, como inquilinos o acceso condicional.
Los tokens emitidos por cada plataforma también son distintos. Las aplicaciones de Microsoft Entra OAuth emiten tokens de Microsoft Entra, no tokens de acceso de Azure DevOps. Estos tokens no se pueden usar indistintamente en cada plataforma. Si está explorando la migración desde Azure DevOps OAuth a Microsoft Entra OAuth, los usuarios deben volver a autorizar para la nueva aplicación.
Sustitución de PAT por tokens de Microsoft Entra
Los tokens de acceso personal (PAT) son una forma popular de autenticación de Azure DevOps debido a su facilidad de creación y uso. Sin embargo, la administración y el almacenamiento de PAT deficientes pueden provocar pérdidas y acceso no autorizado a las organizaciones de Azure DevOps. Los PAT de larga duración o de ámbito excesivo aumentan el riesgo de daños por un PAT filtrado. Animamos a los usuarios a explorar el uso de tokens de Microsoft Entra en lugar de PAT siempre que sea posible.
Alternativas de PAT comunes
Debido a su creciente riesgo, los administradores solicitan cada vez más directivas de seguridad que restringen la creación de PAT. Como resultado, los PAT se están convirtiendo en una alternativa menos viable para acceder a Azure DevOps mediante programación. Fuera de la migración de cualquier desarrollo de aplicaciones existente a la Plataforma de identidad de Microsoft, compartimos algunos casos de uso comunes en Azure DevOps que dependen históricamente de PAT y su alternativa recomendada de Microsoft Entra.
| Escenario PAT | Alternativa de Entra |
|---|---|
| Autenticación con el Administrador de credenciales de Git (GCM) | GCM tiene como valor predeterminado la autenticación con PAT. Establezca el tipo de credencial predeterminado en oauth. Obtenga más información en nuestra página administrador de credenciales de Git (GCM). |
| Autenticación en una canalización de compilación o versión | Uso una conexión de servicio con la Workload Identity Federation. |
| Solicitudes ad hoc a las API REST de Azure DevOps | Emita un token de Microsoft Entra único mediante la CLI de Azure. |
Sugerencia
Tiene un escenario de Token de Acceso Personal (PAT) de Azure DevOps sin ninguna alternativa clara de token de Microsoft Entra? Comparta su escenario en la Comunidad de desarrolladores.