Partager via

Contrôle de l'accès aux domaines fonctionnels

  • Article

Vous pouvez configurer les paramètres de sécurité initiaux pour les zones fonctionnelles suivantes pour un projet d'équipe : requêtes d'équipe, contrôle de version Team Foundation, Team Foundation Build et Visual Studio Lab Management. Les modèles de processus pour Microsoft Solutions Framework (MSF) assignent plusieurs autorisations aux groupes de sécurité par défaut. Vous pouvez modifier ces assignations en personnalisant le fichier de plug-in du domaine fonctionnel approprié.

Pour plus d'informations sur la configuration des groupes de sécurité de Visual Studio Team Foundation Server, consultez Configuration des groupes, des membres et des autorisations initiaux.

Dans cette rubrique

  • Assignation d'autorisations aux domaines fonctionnels à l'aide de l'élément d'autorisation fonctionnel

  • Assignation d'autorisations pour les requêtes d'éléments de travail

  • Assignation d'autorisations pour le contrôle de version

  • Assignation d'autorisations pour la build

  • Assignation d'autorisations pour Lab Management

Pour plus d'informations sur l'administration des utilisateurs et groupes et sur le contrôle d'accès à Visual Studio Application Lifecycle Management (ALM), consultez Configuration d'utilisateurs, de groupes et d'autorisations.

Assignation d'autorisations aux domaines fonctionnels à l'aide de l'élément d'autorisation fonctionnel

Vous pouvez utiliser l'élément permission fonctionnel pour accepter ou refuser des autorisations liées aux domaines fonctionnels à un groupe de sécurité dans Team Foundation Server, un groupe Windows ou une identité Windows. Vous utilisez cet élément dans les fichiers de plug-in pour le suivi des éléments de travail, contrôle de version Team Foundation, Team Foundation Build et Lab Management. Vous devez encapsuler l'élément d'autorisation dans son conteneur correspondant : l'élémentpermissions. Vous utilisez la structure de syntaxe suivante pour l'élément permission fonctionnel :

<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>

Le tableau suivant décrit les attributs de l'élément permission fonctionnel :

Attribut

Description

allow

Identifie les autorisations accordées. Vous spécifiez les autorisations sous la forme d'un texte délimité par des virgules.

Pour les noms des autorisations définies pour chaque domaine fonctionnel, consultez les sections suivantes de cette rubrique :

  • Assignation d'autorisations pour le contrôle de version

  • Assignation d'autorisations pour la build

  • Assignation d'autorisations pour Lab Management

deny

Identifie les autorisations révoquées. Vous spécifiez les autorisations sous la forme d'un texte délimité par des virgules.

RemarqueRemarque
Les autorisations refusées ont la priorité sur les autorisations permises.

identity

Spécifie le groupe de sécurité de Team Foundation Server, le groupe Windows ou l'identité Windows auquel les autorisations sont appliquées. Pour connaître le format à utiliser lorsque vous spécifiez des groupes, consultez « Groupes par défaut définis dans Team Foundation Server » dans Configuration des groupes, des membres et des autorisations initiaux.

L'exemple suivant montre comment accorder des autorisations pour permettre au groupe Contributors de consulter des builds et des définitions de build, ainsi que de mettre en file d'attente des builds et de modifier la qualité de build.

<taskXml>
   <permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>

Notes

Au moment de l'exécution, si une autorisation est introuvable pour une identité, elle est recherchée dans les éventuels autres groupes auxquels l'identité appartient. Si l'autorisation est toujours introuvable, elle est refusée par défaut.

Assignation d'autorisations pour les requêtes d'éléments de travail

Dans le fichier de plug-in workitems, vous pouvez assigner des autorisations qui contrôlent l'accès aux dossiers de requêtes d'équipe. Les autorisations des dossiers de requêtes sont spécifiques aux requêtes et aux dossiers de requêtes. Vous pouvez accorder l'accès aux utilisateurs et groupes de Windows ou aux groupes par défaut définis pour Team Foundation Server.

Vous assignez ces autorisations à l'aide de l'élément permission fonctionnel, comme le montre l'exemple suivant :

<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="$$CREATOR_OWNER$$" />

Notes

Une fois le projet d'équipe créé, vous pouvez définir ces autorisations en cliquant avec le bouton droit sur un dossier de requêtes ou une requête dans Team Explorer, puis en cliquant sur Sécurité. Pour plus d'informations, consultez Organiser les requêtes d'élément de travail et définir les autorisations associées.

Le tableau suivant décrit les autorisations qui contrôlent l'accès aux dossiers de requêtes et requêtes. Il indique également les assignations par défaut réalisées dans les modèles de processus MSF. Par défaut, les créateurs ou propriétaires de requêtes et dossiers de requêtes ont le contrôle total de la gestion des requêtes qu'ils ont créées ou possèdent.

Autorisation

Description

Lecteurs, collaborateurs, générateurs

Propriétaires créateurs, groupe Project Administrators, Project Collection Administrators

Read

Lire : permet d'afficher et d'exécuter une requête ou d'afficher un dossier de requêtes et son contenu

 coche coche

Contribute

Contribuer : permet d'afficher et de modifier une requête ou un dossier de requêtes et son contenu

coche

Delete

Supprimer : permet d'afficher, modifier et supprimer une requête ou un dossier de requêtes et son contenu

coche

ManagePermissions

Gérer les autorisations : permet de gérer les autorisations pour une requête ou un dossier de requêtes et son contenu

coche

FullControl

Contrôle total : permet d'afficher, modifier, supprimer et gérer les autorisations pour une requête ou pour un dossier de requêtes et son contenu

coche

Assignation d'autorisations pour le contrôle de version

Vous pouvez assigner des autorisations qui contrôlent l'accès aux fichiers et dossiers de code source en modifiant le fichier de plug-in du contrôle de version. Les autorisations du contrôle de version sont spécifiques aux fichiers et aux dossiers de code source. Vous pouvez accorder l'accès aux utilisateurs et groupes de Windows ou aux groupes par défaut définis pour Team Foundation Server.

Vous assignez ces autorisations à l'aide de l'élément permission fonctionnel, comme le montre l'exemple suivant :

<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Notes

Une fois le projet d'équipe créé, vous pouvez définir ces autorisations en cliquant avec le bouton droit sur le dossier ou fichier dans l'Explorateur du contrôle de code source, puis en cliquant sur Propriétés et sur l'onglet Sécurité. Sous cet onglet, vous pouvez cliquer sur l'utilisateur ou le groupe dont vous souhaitez modifier les autorisations, puis modifier les autorisations répertoriées dans Autorisations. Vous pouvez également définir ces autorisations à l'aide de l'outil en ligne de commande tf pour le contrôle de version ou de l'outil en ligne de commande TFSSecurity. Pour plus d'informations, consultez Contrôler l'accès au contrôle de version Team Foundation.

Le tableau suivant décrit les autorisations qui contrôlent l'accès aux fichiers et dossiers de code source. Il indique également les assignations par défaut réalisées dans les modèles de processus MSF.

Autorisation

Description

Lecteurs

Contributors

Builders

Groupe Project Administrators

Read

Lire : permet d'afficher le contenu d'un fichier ou dossier.

Si un utilisateur dispose des autorisations Lire pour un dossier mais pas pour les fichiers qu'il contient, il peut afficher les noms et propriétés de ces fichiers, mais il ne peut pas les ouvrir.

 coche coche coche coche

PendChange

Extraire : permet d'extraire un élément et de lui appliquer une modification en attente. Les exemples de modification en attente incluent l'ajout, la modification, le changement de nom, la suppression, la restauration, le branchement et la fusion d'un fichier.

coche coche coche

Merge

Fusionner : permet de fusionner des modifications dans le chemin d'accès disposant d'autorisations.

coche coche coche

Checkin

Archiver : permet d'archiver des éléments et de réviser les éventuels commentaires de l'ensemble de modifications validé. Les modifications en attente sont validées lorsque l'utilisateur archive l'élément.

coche coche coche

Label

Étiquette : permet d'étiqueter des éléments.

coche coche coche

Lock

Verrouiller : permet de verrouiller un élément afin que les autres utilisateurs ne puissent pas le mettre à jour.

coche coche coche

ReviseOther

Réviser les modifications des autres utilisateurs : Peut modifier le contenu des commentaires de l'ensemble de modifications et les notes d'archivage d'une autre personne.

coche

UnlockOther

Déverrouiller les modifications des autres utilisateurs : Peut supprimer le verrouillage effectué par une autre personne.

coche

UndoOther

Annuler les modifications des autres utilisateurs : Peut annuler les modifications en attente effectuées par une autre personne.

coche

LabelOther

Administrer les étiquettes : Peut modifier l'étiquette d'une autre personne.

coche

AdminProjectRights

Gérer les autorisations : Peut configurer les paramètres de sécurité du contrôle de version.

coche

CheckinOther

Archiver les modifications des autres utilisateurs : permet d'effectuer un archivage en tant qu'utilisateur différent. Cette autorisation est requise pour les utilitaires de conversion.

coche

ManageBranch

Gérer la branche : Les utilisateurs qui ont cette autorisation pour un chemin d'accès donné peuvent convertir en une branche un dossier sous ce chemin d'accès. Les utilisateurs qui possèdent cette autorisation pour une branche peuvent également modifier ses propriétés, l'apparenter et la convertir en un dossier.

Les utilisateurs qui ont cette autorisation peuvent créer cette branche uniquement si ils ont également l'autorisation Fusionner pour le chemin d'accès cible. Les utilisateurs ne peuvent pas créer de branches à partir d'une branche pour laquelle ils n'ont pas l'autorisation Gérer la branche.

coche

Assignation d'autorisations pour la build

Vous pouvez assigner des autorisations qui contrôlent l'accès aux activités de build en modifiant le fichier de plug-in Build. Vous pouvez accorder l'accès aux utilisateurs et groupes de Windows et aux groupes de Team Foundation Server. Pour plus d'informations sur le format à utiliser lorsque vous spécifiez des groupes, consultez « Groupes par défaut dans Team Foundation Server » dans Configuration des groupes, des membres et des autorisations initiaux.

Vous assignez ces autorisations à l'aide de l'élément permission fonctionnel, comme le montre l'exemple suivant :

<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Notes

Une fois le projet d'équipe créé, vous pouvez définir ces autorisations en ouvrant le projet dans Team Explorer, en cliquant avec le bouton droit sur Builds, puis en cliquant sur Sécurité. Vous pouvez appliquer des autorisations à une définition de build spécifique en cliquant avec le bouton droit sur la définition de build, puis en cliquant sur Sécurité. Si vous souhaitez appliquer des autorisations à un dossier de build, cliquez avec le bouton droit sur ce dossier, puis cliquez sur Sécurité. En outre, vous pouvez définir ces autorisations à l'aide de l'outil en ligne de commande TFSSecurity. Pour plus d'informations, consultez Gestion des autorisations.

Le tableau suivant décrit les autorisations que vous pouvez assigner qui contrôlent l'accès aux fonctions de build d'un projet d'équipe. Il indique également les assignations par défaut effectuées dans les modèles de processus MSF.

Notes

L'autorisation Remplacer la validation de l'archivage par build doit être assignée uniquement aux comptes de service pour les services de build et aux administrateurs de build chargés de la qualité du code. Pour plus d'informations, consultez Archiver des modifications en attente contrôlées par une build d'archivage contrôlé.

Autorisation

Description

Readers

Contributors

Builders

Project Administrators

Project Collection Administrators

ViewBuildDefinition

Afficher la définition de build : permet d'afficher toutes les définitions de build qui ont été créées pour le projet d'équipe.

 coche coche coche coche coche

ViewBuilds

Afficher les builds : permet d'afficher les builds mises en file d'attente et terminées pour ce projet d'équipe.

 coche coche coche coche coche

EditBuildQuality

Modifier la qualité de build : permet d'ajouter des informations sur la qualité de la build via l'interface de Team Foundation Build.

coche coche coche coche

QueueBuilds

Mettre les builds en file d'attente : permet d'ajouter une build à la file d'attente via l'interface de Team Foundation Build ou à une invite de commandes.

coche coche coche coche

DeleteBuildDefinition

Supprimer la définition de build : permet de supprimer des définitions de build.

coche coche coche

DeleteBuilds

Supprimer les builds : permet de supprimer une build terminée.

coche coche coche

DestroyBuilds

Détruire les builds : permet de supprimer définitivement une build terminée.

coche coche coche

EditBuildDefinition

Modifier la définition de build : permet de créer et modifier des définitions de build.

coche coche coche

ManageBuildQualities

Gérer les qualités de build : permet d'ajouter ou de supprimer des qualités de build, telles que Prêt pour le déploiement, Rejeté ou Examen en cours. Pour plus d'informations, consultez Ajouter ou supprimer des valeurs de qualité de build.

coche coche coche

ManageBuildQueue

Gérer la file d'attente de builds : permet d'annuler, de changer l'ordre de priorité ou de reporter des builds en file d'attente.

coche coche coche

RetainIndefinitely

Conserver indéfiniment : permet de marquer une build pour qu'elle ne soit pas supprimée automatiquement par une stratégie de rétention applicable.

coche coche coche

StopBuilds

Arrêter les builds : permet d'arrêter une build en cours.

coche coche coche

OverrideBuildCheckInValidation

Remplacer la validation de l'archivage par build : permet de valider un ensemble de modifications qui affecte une définition de build contrôlée sans que le système réserve et génère en premier les modifications les concernant. Pour plus d'informations, consultez Archiver des modifications en attente contrôlées par une build d'archivage contrôlé.

coche

UpdateBuildInformation

Mettre à jour les informations de build : permet d'ajouter des informations sur la qualité d'une build.

Cette autorisation doit être assignée uniquement aux comptes de service.

Assignation d'autorisations pour Lab Management

Vous pouvez contrôler l'accès aux activités de Lab Management en modifiant le fichier de plug-in Lab. Les autorisations de Lab Management sont spécifiques aux ordinateurs virtuels, aux environnements et à autres ressources. Vous pouvez accorder l'accès aux utilisateurs et groupes de Windows et aux groupes de Team Foundation Server. Vous assignez ces autorisations à l'aide de l'élément permission fonctionnel, comme le montre l'exemple suivant :

<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Notes

Vous pouvez définir des autorisations pour Lab Management à l'aide de l'outil en ligne de commande TFSLabConfig. Pour afficher des informations sur une ressource de laboratoire spécifique, vous devez disposer de l'autorisation Lire associée à cette ressource. Pour supprimer un emplacement, vous devez avoir l'autorisation Supprimer des emplacements de laboratoire pour cet emplacement. Pour plus d'informations, consultez TFSLabConfig Permissions, commande.

Le tableau suivant décrit les autorisations que vous pouvez assigner pour contrôler l'accès à Visual Studio Lab Management. Il indique également les assignations par défaut effectuées dans les modèles de processus MSF.

Autorisation

Description

Readers

Contributors

Groupe Project Collection Build Service Accounts

Groupe Team Project Administrators

Groupe Project Collection Administrators

Read

Consulter des ressources de laboratoire : permet d'afficher des informations pour les différentes ressources de Lab Management, qui incluent des groupes hôtes de collection, des groupes hôtes de projet et des environnements.

 coche coche coche coche coche

Create

Importer l'ordinateur virtuel : permet d'importer un ordinateur virtuel à partir d'un partage de bibliothèque Virtual Machine Manager (VMM).

Cette autorisation est différente de l'autorisation Écrire car les utilisateurs peuvent créer un objet dans Lab Management, mais ne peuvent pas écrire dans le groupe hôte VMM ou le partage de bibliothèque.

coche

coche coche

Write

Écrire dans l'environnement et les ordinateurs virtuels : permet de créer des environnements. Les utilisateurs qui ont cette autorisation pour un partage de bibliothèque de projet peuvent stocker des environnements et des ordinateurs virtuels.

coche coche coche coche

Edit

Modifier l'environnement et les ordinateurs virtuels : permet de modifier des environnements et des ordinateurs virtuels. L'autorisation est activée pour l'objet en cours de modification.

coche coche coche coche

Start

Démarrer : permet de démarrer un environnement.

coche coche coche coche

Stop

Arrêter : permet d'arrêter un environnement.

coche coche coche coche

Pause

Suspendre : permet de suspendre un environnement.

coche coche coche

ManageSnapshots

Gérer les instantanés : permet d'effectuer toutes les tâches de gestion instantanées qui incluent la prise d'un instantané, son rétablissement, le changement de son nom, sa suppression et sa lecture.

coche coche coche coche

Delete

Supprimer les environnements et les ordinateurs virtuels : permet de supprimer des environnements et des ordinateurs virtuels. L'autorisation est activée pour l'objet en cours de suppression.

coche coche

ManageLocation

Gérer des emplacements de laboratoire : permet de modifier les emplacements des ressources de Lab Management, qui incluent des groupes hôtes de collection, des projets de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet.

Cette autorisation pour les emplacements au niveau de la collection (groupes hôtes de collection et partages de bibliothèque de collection) permet également à un utilisateur de créer des emplacements au niveau du projet (groupes hôtes de projet et partages de bibliothèque de projet).

coche coche

DeleteLocation

Supprimer des emplacements de laboratoire : permet de supprimer des emplacements des ressources de Lab Management, qui incluent des groupes hôtes de collection, des partages de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet.

coche coche

ManageChildPermissions

Gérer les autorisations enfants : permet de modifier les autorisations de tous les objets enfants de Lab Management. Par exemple, si un utilisateur possède cette autorisation pour un groupe hôte de projet d'équipe, cet utilisateur peut modifier les autorisations pour tous les environnements sous ce groupe.

coche coche

ManagePermissions

Gérer les autorisations : permet de modifier les autorisations pour un objet de Lab Management. Cette autorisation est activée pour l'objet dont les autorisations sont modifiées.

coche

EnvironmentOps

Opérations d'environnement : permet de démarrer, d'arrêter, de suspendre et de gérer des instantanés, en plus d'exécuter d'autres opérations sur un environnement.

Voir aussi

Tâches

Contrôler l'accès au contrôle de version Team Foundation

Concepts

Personnalisation de domaines fonctionnels au sein d'un modèle de processus

Autres ressources

Configuration des groupes, des membres et des autorisations initiaux