Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019
Azure DevOps usa una combinación de conceptos de seguridad para garantizar que solo los usuarios autorizados puedan acceder a sus características, funciones y datos. El acceso se determina mediante dos procesos clave: autenticación, que comprueba las credenciales de un usuario y la autorización, que concede permisos basados en derechos de cuenta. Juntos, estos procesos controlan lo que cada usuario puede hacer en Azure DevOps.
Este artículo se expande en Introducción a los permisos, el acceso y los grupos de seguridad , y ayuda a los administradores a comprender los distintos tipos de cuenta, métodos de autenticación y autorización y directivas de seguridad disponibles para proteger los entornos de Azure DevOps.
Tipos de cuenta
- Usuarios
- Propietario de la organización
- Cuentas de servicio
- Entidades de servicio o identidades administradas
- Agentes de trabajo
Autenticación
- Credenciales de usuario
- Autenticación de Windows.
- Autenticación en dos fases (2FA)
- Autenticación de clave SSH
- Token de Microfost Entra
- Token de acceso personal
- Configuración de Oauth
- Biblioteca de autenticación de Active Directory
Autorización
- Pertenencia a grupos de seguridad
- Control de acceso basado en rol
- Niveles de acceso
- Marcas de característica
- Permisos y espacio de nombres de seguridad
Directivas
- Dirección URL de la directiva de privacidad
- Directivas de seguridad y conexión de aplicaciones
- Directivas de usuario
- Repositorio de Git y directivas de rama
Tipos de cuenta
- Usuarios
- Cuentas de servicio
- Entidades de servicio o identidades administradas
- Agentes de trabajo
Autenticación
- Credenciales de usuario
- Autenticación de Windows.
- Autenticación en dos fases (2FA)
- Autenticación de clave SSH
- Tokens de acceso personal
- Configuración de Oauth
- Biblioteca de autenticación de Active Directory
Autorización
- Pertenencia a grupos de seguridad
- Permisos basados en roles
- Niveles de acceso
- Marcas de característica
- Permisos y espacio de nombres de seguridad
Directivas
- Repositorio de Git y directivas de rama
Importante
Azure DevOps no admite la autenticación de credenciales alternativas. Si sigue usando credenciales alternativas, le recomendamos encarecidamente que cambie a un método de autenticación más seguro.
Tanto Azure DevOps admiten el desarrollo de software desde la planeación hasta la implementación. Cada plataforma usa la infraestructura y los servicios de la plataforma como servicio de Microsoft Azure, incluidas las bases de datos de Azure SQL, para proporcionar un servicio confiable y globalmente disponible para los proyectos.
Para más información sobre cómo Microsoft garantiza que los proyectos son seguros, disponibles, seguros y privados, consulte la introducción a la protección de datos de Azure DevOps.
Cuentas
Aunque las cuentas de usuario humanas son el enfoque principal, Azure DevOps también admite otros tipos de cuentas para distintas operaciones:
- Propietario de la organización: creador de una organización Azure DevOps Services o propietario asignado. Para buscar el propietario de la organización, consulte Buscar el propietario de la organización.
- Cuentas de servicio: organización interna de Azure DevOps que se usa para admitir un servicio específico, como El servicio de grupo de agentes, PipelinesSDK. Para obtener descripciones de las cuentas de servicio, consulte Grupos de seguridad , cuentas de servicio y permisos.
- Entidades de servicio o identidades administradas: aplicaciones de Microsoft Entra o identidades administradas agregadas a su organización para realizar acciones en nombre de una aplicación que no es de Microsoft. Algunas entidades de servicio hacen referencia a la organización interna de Azure DevOps para admitir operaciones internas.
- Agentes de trabajo: cuentas internas usadas para ejecutar trabajos específicos según una programación normal.
- Cuentas de terceros: cuentas que requieren acceso para admitir webhooks, conexiones de servicio u otras aplicaciones que no sean de Microsoft.
A lo largo de nuestros artículos relacionados con la seguridad, "usuarios" hace referencia a todas las identidades agregadas al Centro de usuarios, que pueden incluir usuarios humanos y entidades de servicio.
- Cuentas de servicio: organización interna de Azure DevOps que se usa para admitir un servicio específico, como El servicio de grupo de agentes, PipelinesSDK. Para obtener descripciones de las cuentas de servicio, consulte Grupos de seguridad , cuentas de servicio y permisos.
- Entidades de servicio o identidades administradas: aplicaciones de Microsoft Entra o identidades administradas agregadas a su organización para realizar acciones en nombre de una aplicación que no es de Microsoft. Algunas entidades de servicio hacen referencia a la organización interna de Azure DevOps para admitir operaciones internas.
- Agentes de trabajo: cuentas internas usadas para ejecutar trabajos específicos según una programación normal.
- Cuentas de terceros: cuentas que requieren acceso para admitir webhooks, conexiones de servicio u otras aplicaciones que no sean de Microsoft.
La manera más eficaz de administrar cuentas es agregarlas a grupos de seguridad.
Nota:
El propietario de la organización y los miembros del grupo Administradores de colecciones de proyectos tienen acceso total a casi todas las características y funciones.
Autenticación
La autenticación comprueba la identidad de un usuario en función de las credenciales proporcionadas durante el inicio de sesión en Azure DevOps. Azure DevOps se integra con varios sistemas de identidad para administrar la autenticación:
- Id. de Entra de Microsoft: recomendado para las organizaciones que administran un gran grupo de usuarios. Proporciona una autenticación sólida basada en la nube y la administración de usuarios.
- Cuenta Microsoft (MSA): adecuado para bases de usuarios más pequeñas que accedan a organizaciones de Azure DevOps. Admite la autenticación en la nube.
- Active Directory (AD): recomendado para implementaciones locales con muchos usuarios, mediante la infraestructura de AD existente.
Tanto el identificador de Microsoft Entra como las cuentas de Microsoft admiten la autenticación en la nube. Para más información, consulte Acerca del acceso a Azure DevOps con el identificador de Microsoft Entra.
Para entornos locales, use Active Directory para administrar eficazmente el acceso de los usuarios. Obtenga más información en Configuración de grupos para su uso en implementaciones locales.
Autenticación mediante programación
Acceda a la organización de Azure DevOps mediante programación sin escribir repetidamente el nombre de usuario y la contraseña eligiendo uno de los métodos de autenticación disponibles. Use los métodos siguientes para automatizar los flujos de trabajo, integrarlos con las API REST o compilar aplicaciones personalizadas:
- Use OAuth para compilar aplicaciones que realicen acciones en nombre de los usuarios. Los usuarios deben dar su consentimiento a la aplicación. Para las nuevas aplicaciones, use Microsoft Entra OAuth.
- Utiliza principales de servicio o identidades administradas para automatizar flujos de trabajo o crear herramientas que accedan periódicamente a los recursos de la organización. Emita tokens de Microsoft Entra en nombre de la propia aplicación.
- Use microsoft Entra ID para la autenticación segura basada en la nube y la administración de usuarios.
- Use tokens de acceso personal (PAT) para solicitudes ad hoc o prototipos tempranos. Evite los PAT para el desarrollo de aplicaciones a largo plazo, ya que son más susceptibles a pérdidas y uso indebido.
Sugerencia
Almacene siempre las credenciales de forma segura y siga los procedimientos recomendados para administrar métodos de autenticación.
De forma predeterminada, la organización permite el acceso a todos los métodos de autenticación. Los administradores de la organización pueden restringir el acceso a estos métodos de autenticación deshabilitando las directivas de seguridad. Los administradores de inquilinos pueden reducir aún más el riesgo de PAT mediante la restricción de las formas en que se pueden crear.
Autorización
La autorización determina si una identidad autenticada tiene los permisos necesarios para acceder a un servicio, una característica, una función, un objeto o un método específicos en Azure DevOps. Las comprobaciones de autorización siempre se producen después de la autenticación correcta; si se produce un error en la autenticación, nunca se evalúa la autorización. Incluso después de la autenticación, los usuarios o grupos pueden denegar el acceso a determinadas acciones si carecen de los permisos necesarios.
Azure DevOps administra la autorización mediante permisos asignados directamente a los usuarios o heredados a través de grupos de seguridad o roles. Los niveles de acceso y las marcas de características pueden controlar aún más el acceso a características específicas. Para obtener más información sobre estos métodos de autorización, consulte Introducción a los permisos, el acceso y los grupos de seguridad.
Espacios de nombres y permisos de seguridad
Los espacios de nombres de seguridad definen niveles de acceso de usuario para acciones específicas en recursos de Azure DevOps.
- Cada familia de recursos, por ejemplo, elementos de trabajo o repositorios de Git, tiene su propio espacio de nombres único.
- Dentro de cada espacio de nombres, puede haber varias listas de control de acceso (ACL).
- Cada ACL contiene un token, una marca de herencia y una o varias entradas de control de acceso (ACE).
- Cada ACE especifica un descriptor de identidad, una máscara de bits para los permisos permitidos y una máscara de bits para los permisos denegados.
Para obtener más información, consulte Security namespaces and permission reference (Referencia de permisos y espacios de nombres de seguridad).
Directivas de seguridad
Para proteger la organización y el código, los administradores de nivel de organización (administrador de colecciones de proyectos) o de nivel de inquilino (administrador de Azure DevOps) pueden habilitar o deshabilitar varias directivas de seguridad, en función del ámbito de la directiva. Entre las directivas clave que se deben tener en cuenta se incluyen:
- Especifique una dirección URL de directiva de privacidad para describir cómo controlar la privacidad de los datos de invitado internos y externos.
- Decida si los usuarios de su organización pueden crear proyectos públicos.
Si su organización está conectada a Microsoft Entra ID, tiene acceso a las siguientes características de seguridad:
- Restrinja la creación de la organización a usuarios específicos.
- Invite a invitados externos a la organización.
- Permitir que los administradores del equipo y del proyecto inviten a nuevos usuarios.
- Habilite la validación de la directiva de acceso condicional (CAP).
- Realice un seguimiento de los eventos y secuencias de auditoría de su organización.
Revise y configure estas directivas para reforzar la posición de seguridad de la organización y garantizar el cumplimiento de los requisitos de privacidad y acceso de los datos.
grupo usuarios de Project-Scoped
De forma predeterminada, los usuarios agregados a una organización pueden ver toda la información y la configuración del proyecto, incluidas las listas de usuarios, las listas de proyectos, los detalles de facturación, los datos de uso, etc.
Para limitar el acceso a usuarios específicos, como partes interesadas, usuarios invitados de Microsoft Entra o miembros de un grupo de seguridad determinado, habilite la característica Limitar la visibilidad y la colaboración del usuario a proyectos específicos en versión preliminar para su organización. Cuando esta característica está habilitada, cualquier usuario o grupo agregado al grupo usuarios deProject-Scoped se restringe de las maneras siguientes:
- El acceso se limita a las páginas Información general y Proyectos dentro de la configuración de la organización.
- Los usuarios solo pueden conectarse a proyectos y ver aquellos a los que se les ha agregado explícitamente.
- Los usuarios solo pueden seleccionar identidades de usuario y grupo que se agregan explícitamente al mismo proyecto.
Para obtener más información, consulte Administrar su organización: Limitar la visibilidad del usuario para proyectos y más yAdministrar características en versión preliminar.
Advertencia
Tenga en cuenta las siguientes limitaciones al usar esta característica en versión preliminar:
- Las características de visibilidad limitadas descritas en esta sección solo se aplican a las interacciones a través del portal web. Con las API REST o
azure devopslos comandos de la CLI, los miembros del proyecto pueden acceder a los datos restringidos. - Los usuarios del grupo limitado solo pueden seleccionar usuarios que se agregan explícitamente a Azure DevOps y no a los usuarios que tienen acceso a través de la pertenencia a grupos de Microsoft Entra.
- Los usuarios invitados que son miembros del grupo limitado con acceso predeterminado en microsoft Entra ID, no pueden buscar usuarios con el selector de personas.
Repositorio de Git y directivas de rama
Para proteger el código, puede establecer varias directivas de repositorio y rama de Git. Para obtener más información, consulte los siguientes artículos.
seguridad de Azure Repos y Azure Pipelines
Dado que los repositorios y las canalizaciones de compilación y versión representan desafíos de seguridad únicos, se emplean otras características más allá de las características que se describen en este artículo. Para obtener más información, consulte los siguientes artículos.
- Protección de Azure Pipelines
- Planear cómo proteger las canalizaciones de YAML
- Protección de repositorios
- Recursos de canalización
- Recomendaciones para estructurar proyectos de forma segura en la canalización
- Seguridad mediante plantillas
- Uso seguro de variables y parámetros en la canalización
- Recomendaciones para proteger la infraestructura compartida en Azure Pipelines
- Otras consideraciones de seguridad