Megosztás a következőn keresztül:

Tudnivalók a biztonságról, a hitelesítésről és az engedélyezésről

  • Cikk

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Az Azure DevOps különböző biztonsági fogalmakat alkalmaz annak biztosítása érdekében, hogy csak a jogosult felhasználók férhessenek hozzá a funkciókhoz, a funkciókhoz és az adatokhoz. A felhasználók a biztonsági hitelesítő adataik hitelesítésével és a fiókjogosultságuk hitelesítésével férhetnek hozzá az Azure DevOpshoz adott funkciókhoz vagy funkciókhoz.

Ez a cikk az engedélyek, a hozzáférés és a biztonsági csoportok első lépéseiben megadott információkra épül. A rendszergazdák megismerhetik az Azure DevOps védelméhez használt fióktípusokat, hitelesítési módszereket, engedélyezési módszereket és szabályzatokat.

Fióktípusok

  • Felhasználók
  • Szervezet tulajdonosa
  • Szolgáltatásfiókok
  • Szolgáltatásnevek vagy felügyelt identitások
  • Feladatügynökök

Hitelesítés

  • Felhasználói hitelesítő adatok
  • Windows-hitelesítés
  • Kéttényezős hitelesítés (2FA)
  • SSH-kulcs hitelesítése
  • Személyes hozzáférési jogkivonatok
  • Oauth-konfiguráció
  • Active Directory hitelesítési kódtár

Engedélyezés

  • Biztonsági csoporttagság
  • Szerepköralapú hozzáférés-vezérlés
  • Hozzáférési szintek
  • Funkciójelölők
  • Biztonsági névterek > engedélyek

Házirendek

  • Adatvédelmi szabályzat URL-címe
  • Alkalmazáskapcsolati és biztonsági szabályzatok
  • Felhasználói szabályzatok
  • Git-adattár és ágházirendek

Fióktípusok

  • Felhasználók
  • Szolgáltatásfiókok
  • Szolgáltatásnevek vagy felügyelt identitások
  • Feladatügynökök

Hitelesítés

  • Felhasználói hitelesítő adatok
  • Windows-hitelesítés
  • Kéttényezős hitelesítés (2FA)
  • SSH-kulcs hitelesítése
  • Személyes hozzáférési jogkivonatok
  • Oauth-konfiguráció
  • Active Directory hitelesítési kódtár

Engedélyezés

  • Biztonsági csoporttagság
  • Szerepköralapú engedélyek
  • Hozzáférési szintek
  • Funkciójelölők
  • Biztonsági névterek > engedélyek

Házirendek

  • Git-adattár és ágházirendek

Fontos

Az Azure DevOps nem támogatja az alternatív hitelesítő adatok hitelesítését. Ha továbbra is alternatív hitelesítő adatokat használ, határozottan javasoljuk, hogy váltson biztonságosabb hitelesítési módszerre.

Az Azure DevOps Services (felhő) és az Azure DevOps Server (helyszíni) egyaránt támogatja a szoftverfejlesztést a tervezéstől az üzembe helyezésig. A Microsoft Azure platformját szolgáltatásinfrastruktúraként és szolgáltatásokként használják, beleértve az Azure SQL-adatbázisokat is, hogy megbízható, globálisan elérhető szolgáltatást nyújtsanak a projektekhez.

További információ arról, hogy a Microsoft hogyan biztosítja az Azure DevOps Services-projektek biztonságos, elérhető, biztonságos és privát használatát, tekintse meg az Azure DevOps Services adatvédelmi áttekintését.

Számlák

Bár az emberi felhasználói fiókok az elsődlegesek, az Azure DevOps számos más fióktípust is támogat a különböző műveletekhez. Ezek közé tartoznak a következő fióktípusok:

  • Szervezet tulajdonosa: Egy Azure DevOps Services-szervezet létrehozója vagy hozzárendelt tulajdonosa. A szervezet tulajdonosának megkereséséhez tekintse meg a szervezet tulajdonosának megkeresését.
  • Szolgáltatásfiókok: Egy adott szolgáltatás( például ügynökkészlet szolgáltatás, PipelinesSDK) támogatására használt belső Azure DevOps-szervezet. A szolgáltatásfiókok leírását a biztonsági csoportok, a szolgáltatásfiókok és az engedélyek című témakörben talál.
  • Szolgáltatásnevek vagy felügyelt identitások: Microsoft Entra-alkalmazások vagy a szervezethez hozzáadott felügyelt identitások , amelyek külső alkalmazás nevében hajtanak végre műveleteket. Egyes szolgáltatásnevek belső Azure DevOps-szervezetre hivatkoznak a belső műveletek támogatásához.
  • Feladatügynökök: Az adott feladatok rendszeres ütemezés szerinti futtatásához használt belső fiókok.
  • Külső fiókok: A webhookok, szolgáltatáskapcsolatok vagy más külső alkalmazások támogatásához hozzáférést igénylő fiókok.

A biztonsággal kapcsolatos cikkeinkben a "felhasználók" a Felhasználói központhoz hozzáadott összes identitásra vonatkoznak, amelyek emberi felhasználókat és szolgáltatásneveket is tartalmazhatnak.

  • Szolgáltatásfiókok: Egy adott szolgáltatás( például ügynökkészlet szolgáltatás, PipelinesSDK) támogatására használt belső Azure DevOps-szervezet. A szolgáltatásfiókok leírását a biztonsági csoportok, a szolgáltatásfiókok és az engedélyek című témakörben talál.
  • Szolgáltatásnevek vagy felügyelt identitások: Microsoft Entra-alkalmazások vagy a szervezethez hozzáadott felügyelt identitások, amelyek külső alkalmazás nevében hajtanak végre műveleteket. Egyes szolgáltatásnevek belső Azure DevOps-szervezetre hivatkoznak a belső műveletek támogatásához.
  • Feladatügynökök: Az adott feladatok rendszeres ütemezés szerinti futtatásához használt belső fiókok.
  • Külső fiókok: A webhookok, szolgáltatáskapcsolatok vagy más külső alkalmazások támogatásához hozzáférést igénylő fiókok.

A fiókok kezelésének leghatékonyabb módja a biztonsági csoportokhoz való hozzáadásuk.

Feljegyzés

A szervezet tulajdonosa és a Projektgyűjteménygazdák csoport tagjai teljes hozzáférést kapnak szinte minden funkcióhoz és funkcióhoz.

Hitelesítés

A hitelesítés az Azure DevOpsba való bejelentkezés során megadott hitelesítő adatok alapján ellenőrzi a fiók identitását. Ezek a rendszerek integrálhatók az alábbi egyéb rendszerek biztonsági funkcióival, és azokra támaszkodnak:

  • Microsoft Entra ID
  • Microsoft-fiók (MSA)
  • Active Directory (AD)

A Microsoft Entra ID és az MSA támogatja a felhőalapú hitelesítést. Javasoljuk, hogy a Microsoft Entra ID-t használja a felhasználók nagy csoportjának kezeléséhez. Az Azure DevOps-szervezethez hozzáférő kis felhasználói bázis számára a Microsoft-fiókok elegendőek. További információ: Az Azure DevOps elérése a Microsoft Entra-azonosítóval.

Helyszíni üzemelő példányok esetén az AD használata ajánlott a felhasználók nagy csoportjának kezeléséhez. További információ: Csoportok beállítása helyszíni üzemelő példányokban való használatra.

Hitelesítési módszerek, integrálás más szolgáltatásokkal és alkalmazásokkal

Más alkalmazások és szolgáltatások integrálhatók az Azure DevOpsszal. Ha anélkül szeretné elérni a fiókját, hogy ismételten felhasználói hitelesítő adatokat kérne, az alkalmazások a következő hitelesítési módszereket használhatják:

  • Személyes hozzáférési jogkivonatok (PAT-k) a következő jogkivonatok létrehozásához az Ön nevében:

    • Adott erőforrások vagy tevékenységek, például buildek vagy munkaelemek elérése
    • Az olyan kliensek, mint az Xcode és a NuGet, amelyek alapvető hitelesítő adatokként felhasználóneveket és jelszavakat igényelnek, és nem támogatják a Microsoft-fiók és a Microsoft Entra olyan funkcióit, mint a többfaktoros hitelesítés
    • Azure DevOps REST API-k elérése

  • Az Azure DevOps OAuth jogkivonatokat hoz létre a felhasználók nevében a REST API-k eléréséhez. A Fiókok és a Profilok API-k csak az OAuth-hitelesítést támogatják.

  • SSH-hitelesítés , amely titkosítási kulcsokat hoz létre saját magának, ha Linuxot, macOS-t vagy Windows rendszerű Windowst használ , és nem használhatJa a Git hitelesítőadat-kezelőit vagy PAT-jait HTTPS-hitelesítéshez.

  • Szolgáltatásnevek vagy felügyelt identitások a Microsoft Entra-jogkivonatok alkalmazás vagy szolgáltatás nevében történő létrehozásához, általában az Azure DevOps-erőforrások eléréséhez szükséges munkafolyamatok automatizálásához. A szolgáltatásfiókok és patikák által hagyományosan végrehajtott műveletek többsége szolgáltatásnévvel vagy felügyelt identitással végezhető el.

A fiók vagy a gyűjtemény alapértelmezés szerint minden hitelesítési módszer esetében hozzáférést biztosít. A hozzáférést az egyes metódusok konkrét korlátozásával korlátozhatja. Ha megtagadja a hozzáférést egy hitelesítési módszerhez, egyetlen alkalmazás sem használhatja azt a módszert a fiók eléréséhez. A korábban hozzáféréssel rendelkező alkalmazások hitelesítési hibát kapnak, és nem férnek hozzá a fiókjához.

További információért tekintse át az alábbi cikkeket:

Engedélyezés

Az engedélyezés ellenőrzi, hogy a csatlakozni próbáló identitás rendelkezik-e a szolgáltatáshoz, szolgáltatáshoz, funkcióhoz, objektumhoz vagy metódushoz való hozzáféréshez szükséges engedélyekkel. Az engedélyezés mindig sikeres hitelesítés után történik. Ha egy kapcsolat nincs hitelesítve, az engedélyezési ellenőrzések végrehajtása előtt meghiúsul. Még ha a hitelesítés sikeres is, előfordulhat, hogy egy adott művelet még mindig nem engedélyezett, ha a felhasználó vagy a csoport nem rendelkezik engedélyezéssel.

Az engedélyezés a felhasználóhoz rendelt engedélyektől függ, akár közvetlenül, akár egy biztonsági csoport vagy biztonsági szerepkör tagságán keresztül. A hozzáférési szintek és a funkciójelzők az adott funkciókhoz való hozzáférést is kezelhetik. Ezekről az engedélyezési módszerekről további információt az engedélyek, a hozzáférés és a biztonsági csoportok használatának első lépései című témakörben talál.

Biztonsági névterek és engedélyek

A biztonsági névterek határozzák meg az erőforrások adott műveleteihez tartozó felhasználói hozzáférési szinteket.

  • Minden erőforráscsalád, például a munkaelemek vagy a Git-adattárak egyedi névtérrel rendelkezik.
  • Minden névtér nulla vagy több hozzáférés-vezérlési listát (ACL) tartalmaz.
    • Minden ACL tartalmaz egy jogkivonatot, egy öröklő jelzőt és egy hozzáférés-vezérlési bejegyzést (ACL).
    • Minden ACE rendelkezik identitásleíróval, engedélyezett engedélyekkel rendelkező bitmaszkokkal és megtagadott engedélyekkel rendelkező bitmaszkokkal.

További információ: Biztonsági névterek és engedélyhivatkozás.

Biztonsági házirendek

A szervezet és a kód védelme érdekében különböző szabályzatokat állíthat be. A következő szabályzatokat engedélyezheti vagy tilthatja le:

Általános

Alkalmazáskapcsolati és biztonsági szabályzatok

A Microsoft Entra bérlői szabályzatával csak a kívánt felhasználók számára korlátozhatja az új szervezetek létrehozását. Ez a szabályzat alapértelmezés szerint ki van kapcsolva, és csak akkor érvényes, ha a szervezet csatlakozik a Microsoft Entra-azonosítóhoz. További információ: Szervezetlétrehozás korlátozása.

A következő szabályzatok határozzák meg a szervezeteken belüli felhasználók és alkalmazások hozzáférését:

Felhasználói szabályzatok

  • Külső vendéghozzáférés (csak akkor érvényes, ha a szervezet csatlakozik a Microsoft Entra-azonosítóhoz.): Ha engedélyezve van, a felhasználók e-mail-fiókjába a Felhasználók lapon keresztül meghívók küldhetők azon felhasználók e-mail-fiókjába, akik nem tagjai a bérlő Microsoft Entra-azonosítójának. További információ: Külső felhasználók hozzáadása a szervezethez.
  • Új felhasználók meghívásának engedélyezése a csapat- és projektgazdák számára: Csak akkor érvényes, ha a szervezet csatlakozik a Microsoft Entra-azonosítóhoz. Ha engedélyezve van, a csapat- és projektgazdák a Felhasználók lapon adhatnak hozzá felhasználókat. További információ: A Project és a csapatgazdák új felhasználói meghívásainak korlátozása.
  • Hozzáférés kérése: Csak akkor érvényes, ha a szervezet csatlakozik a Microsoft Entra-azonosítóhoz. Ha engedélyezve van, a felhasználók hozzáférést kérhetnek egy erőforráshoz. A kérések e-mailben értesítést küldenek a rendszergazdáknak, akik szükség esetén felülvizsgálatot és hozzáférést kérnek. További információ: Külső felhasználók hozzáadása a szervezethez.
  • GitHub-felhasználók meghívása: Csak akkor érvényes, ha a szervezet nem csatlakozik a Microsoft Entra-azonosítóhoz. Ha engedélyezve van, a rendszergazdák a GitHub felhasználói fiókjaik alapján adhatnak hozzá felhasználókat a Felhasználók lapról. További információ: Csatlakozás a GitHubhoz/gyakori kérdések.

Projekt hatókörű felhasználók csoport

A szervezethez hozzáadott felhasználók alapértelmezés szerint megtekinthetik az összes szervezeti és projektinformációt és -beállítást, beleértve a felhasználói listákat, a projektlistákat, a számlázási adatokat, a használati adatokat és egyebeket.

Fontos

  • Az ebben a szakaszban ismertetett korlátozott láthatósági funkciók csak a webes portálon keresztüli interakciókra vonatkoznak. A REST API-k vagy azure devops CLI-parancsok segítségével a projekttagok hozzáférhetnek a korlátozott adatokhoz.
  • Azok a vendégfelhasználók, akik a Microsoft Entra-azonosítóban alapértelmezett hozzáféréssel rendelkező korlátozott csoport tagjai, nem kereshetnek felhasználókat a személyválasztóval. Ha az előzetes verziójú funkció ki van kapcsolva a szervezet számára, vagy ha a vendégfelhasználók nem tagjai a korlátozott csoportnak, a vendégfelhasználók a várt módon kereshetnek az összes Microsoft Entra-felhasználóban.

Bizonyos felhasználók, például az Érdekelt felek, a Microsoft Entra vendégfelhasználói vagy egy adott biztonsági csoport tagjai korlátozásához engedélyezheti a felhasználók láthatóságának és együttműködésének korlátozását a szervezet adott projektek előzetes verziójának funkciójára. Ha ez engedélyezve van, a Projekt hatókörű felhasználók csoporthoz hozzáadott felhasználók vagy csoportok a következő módokon lesznek korlátozva:

  • Csak a Szervezeti beállítások Áttekintés és Projektek lapja érhető el.
  • Csak azok a projektek csatlakozhatnak és tekinthetők meg, amelyekhez explicit módon hozzáadták őket.
  • Csak a kifejezetten a projekthez hozzáadott felhasználói és csoporti identitásokat tudja kiválasztani.

További információt a Szervezet kezelése, a projektek felhasználói láthatóságának korlátozása és az előzetes verziójú funkciók kezelése című témakörben talál.

Figyelmeztetés

Ha engedélyezi a felhasználók láthatóságának és együttműködésének korlátozása adott projektek előzetes verziójának funkcióját, azzal megakadályozza, hogy a projekt hatókörű felhasználók a Microsoft Entra-csoporttagságon keresztül keressék a szervezethez hozzáadott felhasználókat, és ne explicit felhasználói meghívón keresztül. Ez egy váratlan viselkedés, és a megoldás folyamatban van. A probléma megoldásához tiltsa le a felhasználók láthatóságának és együttműködésének korlátozását a szervezet adott projektek előzetes verziójának funkciójával.

Git-adattár és ágházirendek

A kód védelméhez különböző Git-adattár- és ágházirendeket állíthat be. További információért tekintse át a következő cikkeket.

Az Azure Repos és az Azure Pipelines biztonsága

Mivel az adattárak, valamint a buildelési és kiadási folyamatok egyedi biztonsági kihívásokat jelentenek, a cikkben tárgyalt funkciókon túl további funkciók is használhatók. További információért tekintse át a következő cikkeket.

Következő lépések

Engedélyek és csoportok referenciája