Controlar el acceso a las áreas funcionales
Puede establecer la configuración de seguridad inicial en las siguientes áreas funcionales de un proyecto de equipo: consultas del equipo, control de versiones de Team Foundation, Team Foundation Build y Visual Studio Lab Management. Las plantillas de procesos de Microsoft Solutions Framework (MSF) asignan varios permisos para admitir a los grupos de seguridad. Para modificar estas asignaciones, se debe personalizar el archivo de complemento correspondiente al área funcional apropiada.
Para obtener información sobre cómo configurar los grupos de seguridad de Visual Studio Team Foundation Server, vea Configurar grupos iniciales, miembros y permisos.
En este tema
Asignar permisos a las áreas funcionales mediante el elemento de permiso funcional
Asignar permisos para las consultas de elementos de trabajo
Asignar permisos para el control de versiones
Asignar permisos para la compilación
Asignar permisos para Lab Management
Para obtener más información sobre cómo administrar los usuarios y grupos y controlar el acceso a Visual Studio Application Lifecycle Management (ALM), vea Configurar usuarios, grupos y permisos.
Asignar permisos a las áreas funcionales mediante el elemento de permiso funcional
Puede utilizar el elemento funcional permission para permitir o denegar permisos de áreas funcionales a un grupo de seguridad de Team Foundation Server, un grupo de Windows o una identidad de Windows. Este elemento se utiliza en los archivos de complemento de seguimiento de elementos de trabajo, control de versiones de Team Foundation, Team Foundation Build y Lab Management. Debe encapsular el elemento de permiso dentro de su contenedor correspondiente: el elemento permissions. Puede usar la siguiente estructura sintáctica del elemento funcional permission:
<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>
En la tabla siguiente, se describen los atributos del elemento funcional permission:
Atributo |
Descripción |
|---|---|
allow |
Identifica los permisos concedidos. Los permisos se especifican como texto delimitado por comas. Para obtener información sobre los nombres de los permisos definidos para cada área funcional, vea las siguientes secciones que figuran más adelante en este tema:
|
deny |
Identifica los permisos revocados. Los permisos se especifican como texto delimitado por comas. .gif "Nota") Nota
Los permisos denegados tienen prioridad sobre los permisos concedidos.
|
identity |
Especifica el grupo de seguridad de Team Foundation Server, el grupo de Windows o identidad de Windows a los que se aplican los permisos. Para obtener información sobre el formato que se debe usar al especificar grupos, vea la sección "Grupos predeterminados definidos en Team Foundation Server" del tema Configurar grupos iniciales, miembros y permisos. |
En el siguiente ejemplo, se muestra cómo conceder permisos para que el grupo Contributors pueda ver las compilaciones y definiciones de compilación, poner en cola las compilaciones y modificar la calidad de compilación.
<taskXml>
<permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>
Nota
En tiempo de ejecución, si no se encuentra un permiso para una identidad, se busca en otros grupos a los que ella pertenezca. Si no se encuentra, se deniega el permiso de manera predeterminada.
Asignar permisos para las consultas de elementos de trabajo
En el archivo del complemento de elementos de trabajo, puede asignar permisos que controlen el acceso a las carpetas de consultas del equipo. Los permisos de la carpeta de consultas son específicos para las consultas y sus carpetas. Se puede conceder acceso a los usuarios y a los grupos de Windows o a los grupos predeterminados definidos en Team Foundation Server.
Estos permisos se asignan mediante el elemento funcional permission, tal y como se muestra en el siguiente ejemplo:
<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="$$CREATOR_OWNER$$" />
Nota
Una vez creado el proyecto de equipo, puede establecer estos permisos; para ello, haga clic con el botón secundario en una consulta o carpeta de consultas de Team Explorer y, a continuación, haga clic en Seguridad. Para obtener más información, vea Organizar y establecer los permisos en las consultas de elementos de trabajo.
En la tabla siguiente, se describen los permisos que controlan el acceso a las consultas y carpetas de consulta. También se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF. De forma predeterminada, los creadores o los propietarios de las consultas y las carpetas de consulta tienen control total para administrar las consultas han creado o que son de su propiedad.
Permiso |
Descripción |
Readers, Contributors, Builders |
Creator Owners, Project Administrator Group, Project Collection Administrators |
|---|---|---|---|
Read |
Leer. Puede ver y ejecutar una consulta o ver una carpeta de consulta y su contenido |
.png "marca de verificación"){kind=icon} |
|
Contribute |
Contribuir. Puede ver y editar una consulta o una carpeta de consulta y su contenido |
|
|
Delete |
Eliminar. Pude ver, editar y eliminar una consulta o una carpeta de consulta y su contenido |
|
|
ManagePermissions |
Administrar permisos. Puede administrar los permisos de una consulta o una carpeta de consulta y su contenido |
|
|
FullControl |
Control total. Puede ver, editar, eliminar y administrar permisos de una consulta o una carpeta de consulta y su contenido |
|
Asignar permisos para el control de versiones
Es posible asignar permisos que controlan el acceso a los archivos y carpetas de código fuente cambiando el archivo de complemento para el control de versiones. Los permisos del control de versiones son específicos de los archivos y carpetas de código fuente. Se puede conceder acceso a los usuarios y grupos de Windows o a los grupos predeterminados definidos para Team Foundation Server.
Estos permisos se asignan mediante el elemento funcional permission, tal y como se muestra en el siguiente ejemplo:
<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Nota
Una vez creado el proyecto de equipo, se pueden establecer estos permisos; para ello, haga clic con el botón secundario en la carpeta o el archivo en el Explorador de control de código fuente, haga clic en Propiedades y, a continuación, haga clic en la pestaña Seguridad. En esa pestaña, puede hacer clic en el usuario o grupo cuyos permisos desea cambiar y, a continuación, editar los permisos enumerados en Permisos. Estos permisos también se pueden establecer mediante la herramienta de la línea de comandos tf para el control de versiones o la herramienta de la línea de comandos TFSSecurity. Para obtener más información, vea Controlar el acceso al control de versiones de Team Foundation.
En la tabla siguiente, se describen los permisos que controlan el acceso a los archivos y carpetas de código fuente. También se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.
Permiso |
Descripción |
Readers |
Contributors |
Builders |
Grupo Project Administrators |
|---|---|---|---|---|---|
Read |
Leer. Permite mostrar el contenido de un archivo o una carpeta. Si un usuario tiene permisos de lectura para una carpeta, pero no para los archivos que contiene, podrá mostrar los nombres y propiedades de esos archivos, pero no podrá abrirlos. |
|
|
|
|
PendChange |
Desproteger. Permite desproteger y realizar un cambio pendiente en un elemento. Entre los ejemplos de cambios pendientes se incluyen agregar, editar, cambiar de nombre, eliminar, recuperar, bifurcar y combinar un archivo. |
|
|
|
|
Merge |
Combinar. Permite combinar cambios en la ruta de acceso para la que se dispone de permisos. |
|
|
|
|
Checkin |
Proteger. Permite proteger los elementos y revisar los comentarios de los conjunto de cambios confirmados. Los cambios pendientes se confirman cuando el usuario protege el elemento. |
|
|
|
|
Label |
Etiquetar. Permite etiquetar los elementos. |
|
|
|
|
Lock |
Bloquear. Permite bloquear un elemento para que otros usuarios no puedan actualizarlo. |
|
|
|
|
ReviseOther |
Revisar los cambios de otro usuario. Permite cambiar el contenido de los comentarios del conjunto de cambios y las notas de protección de otro usuario. |
|
|||
UnlockOther |
Desbloquear los cambios de otro usuario. Permite quitar el bloqueo de otro usuario. |
|
|||
UndoOther |
Deshacer los cambios de otro usuario. Permite deshacer los cambios pendientes de otro usuario. |
|
|||
LabelOther |
Administrar etiquetas. Permite modificar la etiqueta de otro usuario. |
|
|||
AdminProjectRights |
Administrar permisos. Permite establecer la configuración de seguridad para el control de versiones. |
|
|||
CheckinOther |
Proteger los cambios de otro usuario. Permite realizar la protección como otro usuario. Este permiso es necesario con utilidades de conversión. |
|
|||
ManageBranch |
Administrar bifurcación. Los usuarios que tienen este permiso para una ruta de acceso determinada pueden convertir cualquier carpeta bajo esa ruta de acceso en una bifurcación. Los usuarios con este permiso para una bifurcación también pueden editar sus propiedades, cambiar su elemento primario y convertirla en una carpeta. Los usuarios que tienen este permiso sólo pueden crear una bifurcación de esta bifurcación si también tienen el permiso Combinar para la ruta de acceso de destino. Los usuarios no pueden crear bifurcaciones a partir de una bifurcación para la que no tienen el permiso Administrar bifurcación. |
|
Asignar permisos para la compilación
Es posible asignar permisos que controlan el acceso a las actividades de compilación cambiando el archivo de complemento para la compilación. Se puede conceder acceso a los usuarios y grupos de Windows y a los grupos de Team Foundation Server. Para obtener información sobre el formato que se debe usar al especificar grupos, vea la sección "Grupos predeterminados definidos en Team Foundation Server" del tema Configurar grupos iniciales, miembros y permisos.
Estos permisos se asignan mediante el elemento funcional permission, tal y como se muestra en el siguiente ejemplo:
<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Nota
Una vez creado el proyecto de equipo, puede establecer estos permisos abriendo el proyecto en Team Explorer; para ello, haga clic con el botón secundario del mouse en Compilaciones y, a continuación, haga clic en Seguridad. Si desea aplicar los permisos a una definición de compilación concreta, haga clic con el botón secundario en la definición de compilación y, a continuación, haga clic en Seguridad. Si desea aplicar los permisos a una carpeta de compilación, haga clic con el botón secundario en esa carpeta y, a continuación, haga clic en Seguridad. Además, puede establecer estos permisos con la herramienta de línea de comandos TFSSecurity. Para obtener más información, vea Administrar permisos.
En la siguiente tabla, se describen los permisos que controlan el acceso a las funciones de compilación de un proyecto de equipo. En la tabla también se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.
Nota
El permiso Reemplazar validación de protección por compilación debe asignarse únicamente a las cuentas de servicio de los servicios de compilación y a los administradores de compilación responsables de la calidad del código. Para obtener más información, vea Proteger los cambios pendientes controlados por una compilación de protección controlada.
Permiso |
Descripción |
Readers |
Contributors |
Builders |
Project Administrators |
Project Collection Administrators |
|---|---|---|---|---|---|---|
ViewBuildDefinition |
Ver definición de compilación. Permite ver las definiciones de compilación que se han creado para el proyecto de equipo. |
|
|
|
|
|
ViewBuilds |
Ver compilaciones. Permite ver las compilaciones que se han puesto en cola y se han completado para este proyecto de equipo. |
|
|
|
|
|
EditBuildQuality |
Editar calidad de la compilación. Permite agregar información sobre la calidad de la compilación a través de la interfaz de Team Foundation Build. |
|
|
|
|
|
QueueBuilds |
Poner compilaciones en cola. Permite agregar una compilación a la cola a través de la interfaz de Team Foundation Build o en un símbolo del sistema. |
|
|
|
|
|
DeleteBuildDefinition |
Eliminar definición de compilación. Permite eliminar definiciones de compilación. |
|
|
|
||
DeleteBuilds |
Eliminar compilaciones. Permite eliminar una compilación completada. |
|
|
|
||
DestroyBuilds |
Destruir compilaciones. Permite eliminar una compilación completada de manera permanente. |
|
|
|
||
EditBuildDefinition |
Editar definición de compilación. Permite crear y modificar las definiciones de compilación. |
|
|
|
||
ManageBuildQualities |
Administrar calidades de compilación. Permite agregar o quitar calidades de compilación, como Listo para la implementación, Rechazado o Bajo investigación. Para obtener más información, vea Agregar o quitar valores de calidad de compilación. |
|
|
|
||
ManageBuildQueue |
Administrar cola de compilación. Permite cancelar, aplazar o cambiar la prioridad de las compilaciones en cola. |
|
|
|
||
RetainIndefinitely |
Retener indefinidamente. Permite marcar una compilación para que una directiva de retención aplicable no la elimine automáticamente. |
|
|
|
||
StopBuilds |
Detener compilaciones. Permite detener una compilación en curso. |
|
|
|
||
OverrideBuildCheckInValidation |
Reemplazar validación de protección por compilación. Permite confirmar un conjunto de cambios que afecte a una definición de compilación con cambios recopilados sin que el sistema aplace y compile antes los cambios. Para obtener más información, vea Proteger los cambios pendientes controlados por una compilación de protección controlada. |
|
||||
UpdateBuildInformation |
Actualizar información de compilación. Permite agregar información sobre la calidad de una compilación. Este permiso se debería asignar sólo a las cuentas de servicio. |
Asignar permisos para Lab Management
Es posible controlar el acceso a las actividades de Lab Management cambiando el archivo de complemento para el laboratorio. Los permisos de Lab Management son específicos de las máquinas virtuales, los entornos y otros recursos. Se puede conceder acceso a los usuarios y grupos de Windows y a los grupos de Team Foundation Server. Estos permisos se asignan mediante el elemento funcional permission, tal y como se muestra en el siguiente ejemplo:
<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Nota
Los permisos de Lab Management se pueden establecer mediante la herramienta de la línea de comandos TFSLabConfig. Para mostrar la información de un recurso de laboratorio específico, es preciso disponer del permiso de lectura para ese recurso. Para eliminar una ubicación, debe tener el permiso Eliminar ubicaciones de laboratorio establecido en esa ubicación. Para obtener más información, vea TFSLabConfig Permissions (Comando).
En la siguiente tabla, se describen los permisos que se pueden asignar para controlar el acceso a Visual Studio Lab Management. En la tabla también se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.
Permiso |
Descripción |
Readers |
Contributors |
Grupo Project Collection Build Service Accounts |
Grupo Team Project Administrators |
Grupo Project Collection Administrators |
|---|---|---|---|---|---|---|
Read |
Ver recursos de laboratorio. Permite ver la información de los distintos recursos de Lab Management, que incluyen grupos host de colección, grupos host de proyecto y entornos. |
|
|
|
|
|
Create |
Importar máquina virtual. Permite importar una máquina virtual de un recurso compartido de biblioteca de Virtual Machine Manager (VMM). Este permiso difiere del permiso de lectura en que los usuarios pueden crear un objeto en Lab Management pero no pueden escribir en el grupo host ni en el recurso compartido de biblioteca de VMM. |
|
|
|
||
Write |
Escribir entornos y máquinas virtuales. Permite crear entornos. Los usuarios que tienen este permiso para un recurso compartido de biblioteca de proyectos pueden almacenar entornos y máquinas virtuales. |
|
|
|
|
|
Edit |
Editar entornos y máquinas virtuales. Permite editar entornos y máquinas virtuales. El permiso se comprueba para el objeto que se edita. |
|
|
|
|
|
Start |
Iniciar. Permite iniciar un entorno. |
|
|
|
|
|
Stop |
Detener. Permite detener un entorno. |
|
|
|
|
|
Pause |
Pausar. Permite pausar un entorno. |
|
|
|
||
ManageSnapshots |
Administrar instantáneas. Permite realizar todas las tareas de administración de instantáneas, es decir, tomar una instantánea, revertir a una instantánea, cambiar de nombre una instantánea, eliminar una instantánea y leer una instantánea. |
|
|
|
|
|
Delete |
Eliminar entornos y máquinas virtuales. Permite eliminar entornos y máquinas virtuales. El permiso se comprueba para el objeto que se elimina. |
|
|
|||
ManageLocation |
Administrar ubicaciones de laboratorio. Permite editar las ubicaciones de los recursos de Lab Management, que incluyen grupos host de colección, proyectos de biblioteca de colección, grupos host de proyecto y recursos compartidos de biblioteca de proyectos. Este permiso para las ubicaciones de nivel de colección (grupos host de colección y recursos compartidos de biblioteca de colección) también permite crear ubicaciones de nivel de proyecto (grupos host de proyecto y recursos compartidos de biblioteca de proyectos). |
|
|
|||
DeleteLocation |
Eliminar ubicaciones de laboratorio. Permite eliminar las ubicaciones de los recursos de Lab Management, que incluyen grupos host de colección, recursos de biblioteca de colección, grupos host de proyecto y recursos compartidos de biblioteca de proyectos. |
|
|
|||
ManageChildPermissions |
Administrar permisos secundarios. Permite cambiar los permisos de todos los objetos secundarios de Lab Management. Por ejemplo, si un usuario tiene este permiso para un grupo host de proyectos de equipo, dicho usuario podrá cambiar los permisos para todos los entornos de ese grupo. |
|
|
|||
ManagePermissions |
Administrar permisos. Permite modificar los permisos de un objeto de Lab Management. Este permiso se comprueba el objeto cuyos permisos se modifican. |
|
||||
EnvironmentOps |
Operaciones de entorno. Permite iniciar, detener, pausar y administrar las instantáneas, además de realizar otras operaciones en un entorno. |
Vea también
Tareas
Controlar el acceso al control de versiones de Team Foundation
Conceptos
Personalizar las áreas funcionales en una plantilla de proceso