Ámbitos granulares para OAuth de Azure Active Directory

Estamos incorporando compatibilidad con ámbitos granulares de Azure DevOps que se pueden usar para limitar el comportamiento de las aplicaciones de OAuth de Azure Active Directory que se integran con Azure DevOps.

Al establecer ámbitos en una aplicación, puede limitar las operaciones (por ejemplo, escribir en elementos de trabajo, ver código fuente, configurar canalizaciones, etc.) una aplicación puede hacerlo al conectarse a Azure DevOps en nombre del usuario. Las aplicaciones que usan un único ámbito amplio de suplantación de usuario que permite a la aplicación realizar cualquier operación que el usuario subyacente pueda realizar ahora puede usar los ámbitos granulares para limitar su comportamiento. Por ejemplo, una aplicación que solo lee elementos de trabajo solo se puede asignar un ámbito workitem_read para que no pueda hacer nada fuera de este comportamiento intencionadamente o de otro modo.

La adición de ámbitos a una aplicación requerirá que todas las aplicaciones con las que se integre primero deben declarar lo que intentan hacer para usted mediante la definición de estos ámbitos con antelación. Estos ámbitos estarán disponibles para que pueda revisar antes de dar su consentimiento para autorizar a esta aplicación a realizar acciones en su nombre. Esto garantiza que tiene más visibilidad sobre lo que hace una aplicación con los recursos a los que tiene acceso.

Como desarrollador de aplicaciones, esto ayudará a limitar el vector de riesgo si un token emitido por la aplicación entra en manos incorrectas.