Engedélyek kezelése parancssori eszközzel
Azure DevOps Services
Az engedélyek hozzáférést biztosítanak egy adott erőforrás adott műveletének végrehajtásához az engedélyek, a hozzáférés és a biztonsági csoportok használatának első lépéseiben leírtak szerint. A legtöbb engedélyt a webes portálon kezelheti. Az engedélyeket azonban parancssori eszközökkel vagy a REST API-val is kezelheti.
Az Azure DevOps alapértelmezés szerint számos engedélyt biztosít az alapértelmezett biztonsági csoportok tagjainak. A parancsokkal az devops security permission részletesebben is hozzáadhat és kezelhet engedélyeket. A következő parancsokkal:
- A biztonsági névterekhez társított engedélyek megtekintése
- Az engedélyek részleteinek megtekintése
- Engedélyek frissítése vagy alaphelyzetbe állítása
Feljegyzés
A névterek és jogkivonatok az Azure DevOps minden verziójára érvényesek. Az itt felsoroltak az Azure DevOps 2019-ben és újabb verzióiban érvényesek. A névterek idővel változhatnak. A névterek legújabb listájának lekéréséhez használja az egyik parancssori eszközt vagy a REST API-t. Egyes névterek elavultak a biztonsági névtérben és az engedélyhivatkozásban, az elavult és írásvédett névterekben felsoroltak szerint.
Előfeltételek
- A jogkivonatok és névterek kezeléséhez a Project Collection Rendszergazda istrators biztonsági csoport tagjának kell lennie. További információ a jogkivonatokról: Biztonsági névtér és engedélyhivatkozás.
- Telepítenie kell az Azure DevOps CLI-bővítményt az Azure DevOps CLI használatának első lépéseiben leírtak szerint.
- Jelentkezzen be az Azure DevOpsba a .
az login - A cikkben szereplő példák esetében állítsa be az alapértelmezett szervezetet az alábbiak szerint:
- Az Azure DevOps Services esetében:
az devops configure --defaults organization=YourOrganizationURL. - Azure DevOps Server esetén:
az devops configure --defaults organization=https://ServerName/CollectionName
- Az Azure DevOps Services esetében:
Biztonsági engedély parancsai
Az összes elérhető parancs listázásához írja be a következő parancsot.
az devops security permission -h
A biztonsági engedélyekkel kapcsolatos fogalmakkal kapcsolatos további információkért tekintse meg a Security REST API dokumentációját
| Parancs | Leírás |
|---|---|
az devops security permission list |
A megadott felhasználó vagy csoport és névtér jogkivonatainak listázása. |
az devops security permission namespace list |
A szervezet összes elérhető névterének listázása. |
az devops security permission namespace show |
Az egyes névterekben elérhető engedélyek részleteinek megjelenítése. |
az devops security permission reset |
A megadott engedélybit(ek) engedélyének alaphelyzetbe állítása. |
az devops security permission reset-all |
Törölje a jogkivonat összes engedélyét egy felhasználó vagy csoport számára. |
az devops security permission show |
A megadott jogkivonatra, névtérre és felhasználóra vagy csoportra vonatkozó engedélyek megjelenítése. |
az devops security permission update |
Engedélyek hozzárendelése adott felhasználóhoz vagy csoporthoz. |
Az alábbi paraméterek nem kötelezőek az összes parancshoz, és nem szerepelnek a cikkben ismertetett példákban.
- észlelés: Automatikusan észleli a szervezetet. Elfogadott értékek: hamis, igaz. Alapértelmezett érték: true (igaz).
- org: Azure DevOps-szervezet URL-címe. Az alapértelmezett szervezetet az az devops configure -d organization=ORG_URL használatával konfigurálhatja. Kötelező, ha nincs alapértelmezettként konfigurálva, vagy git-konfiguráción keresztül veszi fel. Példa:
--org https://dev.azure.com/MyOrganizationName/.
Biztonsági névterek listázása
A szervezet összes elérhető névterét az az devops security permission namespace list paranccsal listázhatja. Az összes biztonsági névtér és kapcsolódó jogkivonat leírását a Biztonsági névtér és az engedélyhivatkozás című témakörben talál.
az devops security permission namespace list [--local-only]
Paraméterek
csak helyi: Nem kötelező. Ha igaz, csak a helyi biztonsági névtereket kérje le.
Előfordulhat, hogy a biztonsági névterek adatai egy mikroszolgáltatásban vannak elsajátítva, de más mikroszolgáltatásokban továbbra is láthatók. Ha egy biztonsági névtér adatai az X mikroszolgáltatásban lesznek elsajátítva, a rendszer azt mondja, hogy az adott mikroszolgáltatás helyi. Ellenkező esetben azt mondják, hogy távoli.
Adja meg az devops security permission namespace list a szervezethez vagy a helyszíni kiszolgálóhoz definiált névtereket.
Feljegyzés
A felsorolt névterek némelyike elavult, ezért nem használható. Az elavult névterek listájáért tekintse meg a névtérre vonatkozó hivatkozást, az elavult és írásvédett névtereket.
az devops security permission namespace list --org https://dev.azure.com/OrganizationName --output table
Id Name
------------------------------------ ------------------------------
c788c23e-1b46-4162-8f5e-d7585343b5de ReleaseManagement
58450c49-b02d-465a-ab12-59ae512d6531 Analytics
d34d3680-dfe5-4cc6-a949-7d9c68f73cba AnalyticsViews
62a7ad6b-8b8d-426b-ba10-76a7090e94d5 PipelineCachePrivileges
7c7d32f7-0e86-4cd6-892e-b35dbba870bd ReleaseManagement
a6cc6381-a1ca-4b36-b3c1-4e65211e82b6 AuditLog
5a27515b-ccd7-42c9-84f1-54c998f03866 Identity
445d2788-c5fb-4132-bbef-09c4045ad93f WorkItemTrackingAdministration
101eae8c-1709-47f9-b228-0e476c35b3ba DistributedTask
71356614-aad7-4757-8f2c-0fb3bff6f680 WorkItemQueryFolders
2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87 Git Repositories
3c15a8b7-af1a-45c2-aa97-2cb97078332e VersionControlItems2
2bf24a2b-70ba-43d3-ad97-3d9e1f75622f EventSubscriber
5a6cd233-6615-414d-9393-48dbb252bd23 WorkItemTrackingProvision
49b48001-ca20-4adc-8111-5b60c903a50c ServiceEndpoints
cb594ebe-87dd-4fc9-ac2c-6a10a4c92046 ServiceHooks
bc295513-b1a2-4663-8d1a-7017fd760d18 Chat
3e65f728-f8bc-4ecd-8764-7e378b19bfa7 Collection
cb4d56d2-e84b-457e-8845-81320a133fbb Proxy
bed337f8-e5f3-4fb9-80da-81e17d06e7a8 Plan
2dab47f9-bd70-49ed-9bd5-8eb051e59c02 Process
11238e09-49f2-40c7-94d0-8f0307204ce4 AccountAdminSecurity
b7e84409-6553-448a-bbb2-af228e07cbeb Library
83d4c2e6-e57d-4d6e-892b-b87222b7ad20 Environment
52d39943-cb85-4d7f-8fa8-c6baac873819 Project
58b176e7-3411-457a-89d0-c6d0ccb3c52b EventSubscription
83e28ad4-2d72-4ceb-97b0-c7726d5502c3 CSS
9e4894c3-ff9a-4eac-8a85-ce11cafdc6f1 TeamLabSecurity
fc5b7b85-5d6b-41eb-8534-e128cb10eb67 ProjectAnalysisLanguageMetrics
bb50f182-8e5e-40b8-bc21-e8752a1e7ae2 Tagging
f6a4de49-dbe2-4704-86dc-f8ec1a294436 MetaTask
bf7bfa03-b2b7-47db-8113-fa2e002cc5b1 Iteration
fa557b48-b5bf-458a-bb2b-1b680426fe8b Favorites
4ae0db5d-8437-4ee8-a18b-1f6fb38bd34c Registry
c2ee56c9-e8fa-4cdd-9d48-2c44f697a58e Graph
dc02bf3d-cd48-46c3-8a41-345094ecc94b ViewActivityPaneSecurity
2a887f97-db68-4b7c-9ae3-5cebd7add999 Job
73e71c45-d483-40d5-bdba-62fd076f7f87 WorkItemTracking
4a9e8381-289a-4dfd-8460-69028eaa93b3 StrongBox
1f4179b3-6bac-4d01-b421-71ea09171400 Server
e06e1c24-e93d-4e4a-908a-7d951187b483 TestManagement
6ec4592e-048c-434e-8e6c-8671753a8418 SettingEntries
302acaca-b667-436d-a946-87133492041c BuildAdministration
2725d2bc-7520-4af4-b0e3-8d876494731f Location
83abde3a-4593-424e-b45f-9898af99034d UtilizationPermissions
c0e7a722-1cad-4ae6-b340-a8467501e7ce WorkItemsHub
0582eb05-c896-449a-b933-aa3d99e121d6 WebPlatform
66312704-deb5-43f9-b51c-ab4ff5e351c3 VersionControlPrivileges
93bafc04-9075-403a-9367-b7164eac6b5c Workspaces
093cbb02-722b-4ad6-9f88-bc452043fa63 CrossProjectWidgetView
35e35e8e-686d-4b01-aff6-c369d6e36ce0 WorkItemTrackingConfiguration
0d140cae-8ac1-4f48-b6d1-c93ce0301a12 Discussion Threads
5ab15bc8-4ea1-d0f3-8344-cab8fe976877 BoardsExternalIntegration
7ffa7cf4-317c-4fea-8f1d-cfda50cfa956 DataProvider
81c27cc8-7a9f-48ee-b63f-df1e1d0412dd Social
9a82c708-bfbe-4f31-984c-e860c2196781 Security
a60e0d84-c2f8-48e4-9c0c-f32da48d5fd1 IdentityPicker
84cc1aa4-15bc-423d-90d9-f97c450fc729 ServicingOrchestration
33344d9c-fc72-4d6f-aba5-fa317101a7e9 Build
8adf73b7-389a-4276-b638-fe1653f7efc7 DashboardsPrivileges
a39371cf-0841-4c16-bbd3-276e341bc052 VersionControlItems
Példa: Helyi biztonsági névterek listázása
Az alábbi parancs csak a szervezet helyi biztonsági névtereit sorolja fel, és táblaformátumban jeleníti meg az eredményeket.
az devops security permission namespace list --local-only --output table
Id Name
------------------------------------ ------------------------------
71356614-aad7-4757-8f2c-0fb3bff6f680 WorkItemQueryFolders
fa557b48-b5bf-458a-bb2b-1b680426fe8b Favorites
4ae0db5d-8437-4ee8-a18b-1f6fb38bd34c Registry
c2ee56c9-e8fa-4cdd-9d48-2c44f697a58e Graph
dc02bf3d-cd48-46c3-8a41-345094ecc94b ViewActivityPaneSecurity
2a887f97-db68-4b7c-9ae3-5cebd7add999 Job
73e71c45-d483-40d5-bdba-62fd076f7f87 WorkItemTracking
4a9e8381-289a-4dfd-8460-69028eaa93b3 StrongBox
1f4179b3-6bac-4d01-b421-71ea09171400 Server
e06e1c24-e93d-4e4a-908a-7d951187b483 TestManagement
6ec4592e-048c-434e-8e6c-8671753a8418 SettingEntries
302acaca-b667-436d-a946-87133492041c BuildAdministration
2725d2bc-7520-4af4-b0e3-8d876494731f Location
83abde3a-4593-424e-b45f-9898af99034d UtilizationPermissions
c0e7a722-1cad-4ae6-b340-a8467501e7ce WorkItemsHub
0582eb05-c896-449a-b933-aa3d99e121d6 WebPlatform
66312704-deb5-43f9-b51c-ab4ff5e351c3 VersionControlPrivileges
93bafc04-9075-403a-9367-b7164eac6b5c Workspaces
093cbb02-722b-4ad6-9f88-bc452043fa63 CrossProjectWidgetView
35e35e8e-686d-4b01-aff6-c369d6e36ce0 WorkItemTrackingConfiguration
0d140cae-8ac1-4f48-b6d1-c93ce0301a12 Discussion Threads
5ab15bc8-4ea1-d0f3-8344-cab8fe976877 BoardsExternalIntegration
7ffa7cf4-317c-4fea-8f1d-cfda50cfa956 DataProvider
81c27cc8-7a9f-48ee-b63f-df1e1d0412dd Social
9a82c708-bfbe-4f31-984c-e860c2196781 Security
a60e0d84-c2f8-48e4-9c0c-f32da48d5fd1 IdentityPicker
84cc1aa4-15bc-423d-90d9-f97c450fc729 ServicingOrchestration
33344d9c-fc72-4d6f-aba5-fa317101a7e9 Build
8adf73b7-389a-4276-b638-fe1653f7efc7 DashboardsPrivileges
445d2788-c5fb-4132-bbef-09c4045ad93f WorkItemTrackingAdministration
101eae8c-1709-47f9-b228-0e476c35b3ba DistributedTask
2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87 Git Repositories
a39371cf-0841-4c16-bbd3-276e341bc052 VersionControlItems
3c15a8b7-af1a-45c2-aa97-2cb97078332e VersionControlItems2
2bf24a2b-70ba-43d3-ad97-3d9e1f75622f EventSubscriber
5a6cd233-6615-414d-9393-48dbb252bd23 WorkItemTrackingProvision
49b48001-ca20-4adc-8111-5b60c903a50c ServiceEndpoints
cb594ebe-87dd-4fc9-ac2c-6a10a4c92046 ServiceHooks
bc295513-b1a2-4663-8d1a-7017fd760d18 Chat
3e65f728-f8bc-4ecd-8764-7e378b19bfa7 Collection
cb4d56d2-e84b-457e-8845-81320a133fbb Proxy
bed337f8-e5f3-4fb9-80da-81e17d06e7a8 Plan
2dab47f9-bd70-49ed-9bd5-8eb051e59c02 Process
11238e09-49f2-40c7-94d0-8f0307204ce4 AccountAdminSecurity
b7e84409-6553-448a-bbb2-af228e07cbeb Library
83d4c2e6-e57d-4d6e-892b-b87222b7ad20 Environment
52d39943-cb85-4d7f-8fa8-c6baac873819 Project
58b176e7-3411-457a-89d0-c6d0ccb3c52b EventSubscription
83e28ad4-2d72-4ceb-97b0-c7726d5502c3 CSS
9e4894c3-ff9a-4eac-8a85-ce11cafdc6f1 TeamLabSecurity
fc5b7b85-5d6b-41eb-8534-e128cb10eb67 ProjectAnalysisLanguageMetrics
bb50f182-8e5e-40b8-bc21-e8752a1e7ae2 Tagging
f6a4de49-dbe2-4704-86dc-f8ec1a294436 MetaTask
bf7bfa03-b2b7-47db-8113-fa2e002cc5b1 Iteration
Biztonsági névtér jogkivonatainak listázása
A megadott névtér és felhasználó vagy csoport jogkivonatait az az devops biztonsági engedélylista paranccsal listázhatja.
az devops security permission list --id
--subject
[--recurse]
[--token]
Paraméterek
-
- id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója. Az azonosító beszerzéséhez használja az az devops biztonsági engedély névtérlista parancsát.
- tárgy: Kötelező. A felhasználó e-mail-címe vagy csoportleírója.
- recurse: Nem kötelező. Ha igaz, és a névtér hierarchikus, ez a paraméter a jogkivonatok gyermek ACL-jeit adja vissza.
- token: Nem kötelező. Adjon meg egy egyéni biztonsági jogkivonatot.
Példa
Az alábbi parancs a megadott névtér táblaformátumú jogkivonatait sorolja fel, amelyek az Analyticsnek felelnek meg, és a felhasználóhoz contoso@contoso.comtartoznak.
az devops security permission list --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --output table
Token Effective Allow Effective Deny
-------------------------------------- ----------------- ----------------
$/0611925a-b287-4b0b-90a1-90f1a96e9f1f 0 0
$/087572e2-5569-49ec-af80-d3caf22b446c 0 0
$/131271e0-a6ad-49ba-837e-2d475ab2b169 0 0
$/14c92f9d-9fff-48ec-8171-9d1106056ab3 0 0
$/1965830d-5fc4-4412-8c71-a1c39c939a42 0 0
$/4b80d122-a5ca-46ec-ba28-e03d37e53404 0 0
$/4fa8e9de-e86b-4986-ac75-f421881a7664 0 0
$/5417a1c3-4b04-44d1-aead-50774b9dbf5f 0 0
$/56af920d-393b-4236-9a07-24439ccaa85c 0 0
$/69265579-a1e0-4a30-a141-ac9e3bb82572 0 0
Névtér részleteinek megjelenítése
Az az devops security permission namespace show paranccsal megjelenítheti az egyes névterekben elérhető engedélyek részleteit.
az devops security permission namespace show --namespace-id <NAMESPACE_ID>
Paraméterek
- id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója.
Példa
Az alábbi parancs a megadott névtérazonosítóhoz elérhető engedélyek részleteit mutatja be, és táblaformátumban adja vissza az eredményeket.
az devops security permission namespace show --namespace-id 58450c49-b02d-465a-ab12-59ae512d6531 --output table
Name Permission Description Permission Bit
------------------------ -------------------------------------------------------- ----------------
Read View analytics 1
Administer Manage analytics permissions 2
Stage Push the data to staging area 4
ExecuteUnrestrictedQuery Execute query without any restrictions on the query form 8
ReadEuii Read EUII data 16
Engedélyek visszaállítása
Egy adott felhasználó vagy csoport engedélybitjei az az devops security permission reset paranccsal állíthatók vissza .
az devops security permission reset --id
--permission-bit
--subject
--token
Paraméterek
- id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója.
- engedély-bit: Kötelező. Engedélybitek vagy engedélybitek hozzáadása, amelyeket vissza kell állítani egy adott felhasználóhoz vagy csoporthoz és jogkivonathoz.
- tárgy: Kötelező. A felhasználó e-mail-címe vagy csoportleírója.
- token: Kötelező. Egyéni biztonsági jogkivonat.
Példa
Az alábbi parancs visszaállítja egy jogkivonat 8. engedélybitjét a megadott névtérben lévő felhasználó contoso@contoso.com számára, és táblaformátumban adja vissza az eredményeket.
az devops security permission reset --id 58450c49-b02d-465a-ab12-59ae512d6531 --permission-bit 8 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Not set
Az összes engedély alaphelyzetbe állítása
A jogkivonatok összes engedélyét törölheti egy felhasználó vagy csoport számára az az devops security permission reset-all paranccsal.
az devops security permission reset-all --id
--subject
--token
[--yes]
Paraméterek
- id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója.
- tárgy: Kötelező. A felhasználó e-mail-címe vagy csoportleírója.
- token: Kötelező. Egyéni biztonsági jogkivonat.
- Igen: Nem kötelező. Ne kérje a megerősítést.
Példa
Az alábbi parancs megerősítés nélkül törli a felhasználó contoso@contoso.com összes engedélyét a megadott névtérben. Az eredmény megjelenik a parancssori felületen.
az devops security permission reset-all --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --yes --output table
Result
--------
True
Engedélyek megjelenítése
A megadott jogkivonat, névtér és felhasználó vagy csoport engedélyeit az az devops biztonsági engedélymegjelenítési paranccsal jelenítheti meg .
az devops security permission show --id
--subject
--token
Paraméterek
- id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója.
- tárgy: Kötelező. A felhasználó e-mail-címe vagy csoportleírója.
- token: Kötelező. Egyéni biztonsági jogkivonat.
Példa
Az alábbi parancs egy jogkivonat engedélyadatait jeleníti meg a megadott névtérben lévő felhasználó contoso@contoso.com számára, és táblaformátumban adja vissza az eredményeket.
az devops security permission show --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
Read 1 View analytics Not set
Administer 2 Manage analytics permissions Allow
Stage 4 Push the data to staging area Not set
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Not set
ReadEuii 16 Read EUII data Deny
Engedélyek frissítése
Az az devops biztonsági engedélyfrissítési paranccsal engedélyezheti vagy megtagadhatja az engedélyeket egy adott felhasználóhoz vagy csoporthoz.
az devops security permission update --id
--subject
--token
[--allow-bit]
[--deny-bit]
[--merge {false, true}]
Paraméterek
- id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója.
- tárgy: Kötelező. A felhasználó e-mail-címe vagy csoportleírója.
- token: Kötelező. Egyéni biztonsági jogkivonat.
- allow-bit: Nem kötelező. Bitek vagy bitek hozzáadásának engedélyezése. Kötelező, ha hiányzik a --deny-bit .
- deny-bit: Nem kötelező. Bitek vagy bitek hozzáadása megtagadása. Kötelező, ha hiányzik az --allow-bit .
- egyesítés: Nem kötelező. Ha be van állítva, a meglévő hozzáférés-vezérlési bejegyzés (ACE) engedélyezi és megtagadja a bejövő ACE engedélyezését és elutasítását. Ha a feloldás nem történik meg, a meglévő ACE elmozdul. Az elfogadott értékek hamisak vagy igazak.
Példa
Az alábbi parancs frissíti az ExecuteUnrestrictedQuery (8. bit) engedélyeit a felhasználó contoso@contoso.com számára a megadott névtérben, és táblaformátumban jeleníti meg az eredményeket.
az devops security permission update --allow-bit 8 --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 56af920d-393b-4236-9a07-24439ccaa85c --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Allow
Biztonsági névterek és azonosítóik
Tekintse meg az Azure DevOps biztonsági névterét és engedélyreferenciáit.