Composants, termes et concepts clés
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Pour déployer et gérer efficacement Azure DevOps Server, vous devez comprendre son fonctionnement et communiquer avec d’autres composants de déploiement. En tant qu’administrateur Azure DevOps, vous devez être familiarisé avec les Authentification Windows, les protocoles réseau et le trafic, ainsi que la structure du réseau d’entreprise sur lequel Azure DevOps est installé. Vous devez également avoir une compréhension des autorisations et des groupes Azure DevOps.
Vous pouvez également trouver utile de comprendre les SQL Server, les SQL Server Reporting Services et les produits SharePoint.
Vous êtes mieux en mesure de planifier, déployer et gérer Azure DevOps Server si vous comprenez les composants et les termes décrits dans cet article.
Service d’analyse
Le service Analytics est la plateforme de création de rapports du futur pour Azure DevOps. Il est actuellement disponible sur Azure DevOps Services et peut être installé à partir de la Place de marché Azure DevOps sur Azure DevOps Server. Pour plus d’informations, consultez Qu’est-ce que le service Analytics ?
Couche Application, couche Données et niveau client
Niveaux logiques qui composent Azure DevOps Server. Ces couches peuvent être toutes déployées sur le même ordinateur physique, ou installées sur plusieurs ordinateurs. Pour plus d’informations, consultez Vue d’ensemble de l’architecture pour Azure DevOps Server.
Collection de projets
Unité d’organisation principale pour toutes les données dans Azure DevOps Server. Les collections déterminent les ressources disponibles pour les projets qui leur ont été ajoutés. Ces ressources peuvent inclure SQL Server Reporting Services, Code Recherche, les extensions de la Place de marché, etc. Pour plus d’informations, consultez Gérer les collections de projets.
Project
Point central pour que votre équipe partage les activités d’équipe nécessaires au développement d’une technologie ou d’un produit logiciel spécifique. Les projets sont organisés dans des collections de projets. Pour plus d’informations, consultez À propos des projets et de la mise à l’échelle de votre organization.
console d’administration Azure DevOps Server
Outil de gestion centralisée permettant aux administrateurs Azure DevOps Server de configurer et de gérer les ressources. Pour plus d’informations, consultez Informations de référence rapides sur les tâches d’administration.
Comptes de service
Le ou les comptes que les services web et les applications exécutent par Azure DevOps. Azure DevOps Server nécessite que les comptes de service effectuent des opérations sur les serveurs et les services Web. Ces comptes de service ont des exigences spécifiques. Pour plus d’informations, consultez Comptes de service et dépendances dans Azure DevOps Server.
Produits SharePoint
Logiciels qui prennent en charge les portails de projet et les tableaux de bord. Vous pouvez inclure une ou plusieurs applications web SharePoint dans le cadre de votre déploiement de Azure DevOps Server. Pour inclure l’une de ces applications, vous devez installer et configurer Azure DevOps Server extensions pour les produits SharePoint, et vous devez configurer les autorisations sur l’ensemble du déploiement. Pour plus d’informations, consultez Partager des informations à l’aide du portail de projet. L’intégration aux produits SharePoint a été déconseillée pour TFS 2018 et versions ultérieures.
SQL Server et SQL Server Reporting Services
Logiciel qui fournit une plateforme de base de données pour l’entreposage de données et une plateforme d’aide à la décision pour les solutions d’intégration, d’analyse et de création de rapports de données. Azure DevOps Server stocke ses données dans SQL Server bases de données. Vous pouvez également inclure éventuellement un serveur qui exécute SQL Server Reporting Services et qui génère automatiquement des rapports pour les projets. Pour plus d’informations, consultez Gérer les rapports, l’entrepôt de données et le cube Analysis Services.
Concepts de sécurité
Pour optimiser la sécurité des Azure DevOps Server, vous devez comprendre les concepts suivants :
- Topologie, qui comprend où et comment les serveurs exécutant des composants d’Azure DevOps sont déployés, le trafic réseau qui passe entre Azure DevOps Server et les clients Azure DevOps, et les services qui doivent s’exécuter sur Azure DevOps Server.
- L’authentification, qui comprend la détermination de la validité des utilisateurs, des groupes et des services dans Azure DevOps Server.
- Autorisation, qui comprend la détermination si les utilisateurs, groupes et services valides dans Azure DevOps Server disposent des autorisations appropriées pour effectuer des actions spécifiques.
Vous devez également prendre en compte les autres composants et services dont dépend Azure DevOps Server.
Lorsque vous envisagez la sécurité pour Azure DevOps Server, vous devez comprendre la différence entre l’authentification et l’autorisation. L'authentification consiste à vérifier les informations d'identification d'une tentative de connexion d'un client, d'un serveur ou d'un processus. L'autorisation consiste à vérifier que l'identité qui essaie de se connecter dispose des autorisations nécessaires pour accéder à l'objet ou à la méthode. L'autorisation intervient uniquement après que l'authentification a réussi. Si une connexion n'est pas authentifiée, elle échoue avant même la vérification de l'autorisation. Si l'authentification d'une connexion réussit, une action spécifique peut encore être rejetée parce que l'utilisateur ou le groupe n'est pas autorisé à l'effectuer.
Topologies, ports et services
Le premier élément de déploiement et de sécurité pour Azure DevOps Server est de savoir si les composants de votre déploiement peuvent se connecter les uns aux autres pour communiquer. Votre objectif est d’activer les connexions entre les clients Azure DevOps et Azure DevOps Server et de limiter ou d’empêcher d’autres tentatives de connexion.
Azure DevOps Server dépend de certains ports et services pour qu’il puisse fonctionner. Vous pouvez sécuriser et surveiller ces ports afin de répondre aux besoins de sécurité d'entreprise. Vous devez autoriser le trafic réseau pour Azure DevOps Server à passer entre les clients Azure DevOps, les serveurs qui hébergent les composants logiques de la couche Application et de la couche Données, les ordinateurs pour Team Foundation Build et les clients distants qui utilisent le serveur proxy Azure DevOps. Par défaut, Azure DevOps Server est configuré pour utiliser HTTP pour ses services Web. Pour obtenir la liste complète des ports et services que Azure DevOps Server utilise et comment ils sont utilisés dans son architecture, consultez architecture Azure DevOps Server.
Vous pouvez déployer Azure DevOps Server dans un domaine Active Directory ou dans un groupe de travail. Active Directory offre davantage de fonctionnalités de sécurité intégrées que les groupes de travail. Vous pouvez utiliser les fonctionnalités Active Directory pour sécuriser votre déploiement de Azure DevOps Server. Par exemple, vous pouvez configurer Active Directory pour empêcher les noms d’ordinateurs en double afin qu’un utilisateur malveillant ne puisse pas usurper le nom de l’ordinateur avec un serveur non autorisé qui exécute Azure DevOps Server. Pour atténuer le même genre de menace dans un groupe de travail, vous devez configurer des certificats d'ordinateur.
Que vous déployiez Azure DevOps Server dans un groupe de travail ou un domaine, vous devez respecter certaines contraintes imposées par les exigences de Azure DevOps Server elle-même. Pour plus d’informations sur les topologies pour Azure DevOps Server, consultez Topologie de Azure DevOps Server simple, Topologie Azure DevOps Server modérée, Topologie complexe Azure DevOps Server, Présentation Windows SharePoint Services et Comprendre SQL Server et SQL Server Reporting Services.
Authentification
La sécurité des Azure DevOps Server est intégrée à l’authentification intégrée Windows et aux fonctionnalités de sécurité du système d’exploitation Windows et s’appuie sur ces fonctionnalités. Vous pouvez utiliser l’authentification intégrée Windows pour authentifier les comptes pour les connexions entre les clients Azure DevOps et Azure DevOps Server, pour les services Web sur les serveurs qui hébergent les niveaux application logique et données, et pour les connexions entre les serveurs de la couche Application et de la couche Données eux-mêmes.
Notes
Vous pouvez configurer Azure DevOps Server pour prendre en charge Kerberos pour l’authentification mutuelle du client et du serveur après avoir installé Azure DevOps Server.
Vous ne devez pas configurer de SQL Server connexions aux bases de données entre Azure DevOps Server et les produits SharePoint pour utiliser l’authentification SQL Server, car elle n’est pas aussi sécurisée que Authentification Windows. Lors de la connexion à la base de données, le nom d'utilisateur et le mot de passe du compte Administrateur de la base de données sont envoyés dans un format non chiffré. L'authentification intégrée de Windows n'envoie pas le nom d'utilisateur et le mot de passe. Au lieu de cela, il utilise les protocoles de sécurité d’authentification intégrée Windows pour transférer les informations d’identité de compte de service associées au pool d’applications IIS (Internet Information Services) hôte vers SQL Server.
Autorisation
Azure DevOps Server’autorisation est basée sur les utilisateurs et les groupes dans Azure DevOps, les autorisations qui sont affectées directement à ces utilisateurs et groupes, et les autorisations que ces utilisateurs et groupes peuvent hériter en appartenant à d’autres groupes dans Azure DevOps Server. Les utilisateurs et les groupes dans Azure DevOps peuvent être des utilisateurs ou des groupes locaux, des utilisateurs ou des groupes Active Directory, ou les deux.
Azure DevOps Server est préconfiguré avec des groupes par défaut au niveau du serveur, du regroupement et du projet. Vous pouvez remplir ces groupes en ajoutant des utilisateurs. Toutefois, la gestion peut être plus facile si vous remplissez ces groupes en utilisant les groupes de sécurité Active Directory. En adoptant cette approche, vous pouvez gérer plus efficacement l’appartenance aux groupes et les autorisations sur plusieurs ordinateurs ou applications, tels que les produits SharePoint et les SQL Server.
Votre déploiement spécifique peut nécessiter que vous configuriez les utilisateurs, les groupes et les autorisations sur plusieurs ordinateurs et au sein de plusieurs applications. Par exemple, vous devez configurer des autorisations pour les utilisateurs et les groupes dans Reporting Services, les produits SharePoint et les Azure DevOps Server si vous souhaitez inclure des rapports et des portails de projet dans le cadre de votre déploiement. Dans Azure DevOps Server, vous pouvez définir des autorisations pour chaque projet, pour chaque collection et dans un déploiement (au niveau du serveur). En outre, certaines autorisations sont accordées par défaut à tout utilisateur ou groupe que vous ajoutez à Azure DevOps Server, car cet utilisateur ou groupe est automatiquement ajouté aux utilisateurs valides Azure DevOps. Pour plus d’informations, consultez Gérer les utilisateurs ou les groupes.
Dans le complément à la configuration des autorisations pour l’autorisation dans Azure DevOps Server, vous pouvez avoir besoin d’une autorisation dans le contrôle de version et les éléments de travail. Vous gérez ces autorisations séparément à l’invite de commandes, mais elles sont intégrées dans l’interface de Team Explorer.