Megosztás a következőn keresztül:

Engedélyek és hatékony hozzáférés megtekintése

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020

Ez a cikk bemutatja, hogyan tekintheti meg az engedélyeket, és ellenőrizheti a felhasználók és csoportok hatékony hozzáférését a szervezet, a projekt és az adattár (vagy más objektum) szintjén. Ismerteti az engedélyállapotokat (Engedélyezés, Megtagadás, Öröklődés), az öröklés és a csoporttagság hatását a hatékony engedélyekre, valamint a gyakori hozzáférési problémák elhárításának lépéseit.

Ismertetett témák:

  • Az engedély-hozzárendelések megtekintése a webes portálon.
  • Felhasználó vagy csoport érvényes engedélyeinek ellenőrzése.
  • A gyakori okok miatt az engedélyek nem érik el a várt hatást (öröklés, tagadások, érdekelt felek hozzáférése, Microsoft Entra ID-csoportleképezés).

Gyors lépések:

  1. Nyissa meg a Szervezeti beállításokat vagy a Projektbeállítások>biztonsági beállításait (vagy engedélyeit).
  2. Jelölje ki az objektumot (projekt, adattár vagy csoport), és tekintse meg a hozzárendelt engedélyeket.
  3. A felhasználók/csoportok vagy az Érvényes engedélyek felhasználói felületének használatával vizsgálja meg a hatékony hozzáférést.
  4. Szükség esetén vizsgálja meg a csoporttagságokat, és tiltsa le a felülbírálás által engedélyezett szabályokat.

Feljegyzés

Az engedélykezelési funkciók és a felhasználói felület némileg eltér az Azure DevOps Services (felhő) és a helyszíni Azure DevOps Server között. Az alábbi útmutató adott esetben a felhasználói felület eltéréseit ismerteti.

Az engedélymodell alapjai

Az Azure DevOps engedélyei három hozzárendelési állapotot használnak:

  • Engedélyezés – kifejezetten engedélyt ad.
  • Megtagadás – explicit módon megtagad egy engedélyt, és felülbírálja az Engedélyezést.
  • Öröklődés – ezen a szinten nincs explicit hozzárendelés; az engedély öröklődik a szülő hatóköröktől vagy csoporttagságtól.

Az érvényes engedélyek kiszámítása a hozzárendelések kiértékelésével történik:

  • Maga az objektum (projekt, adattár, terület elérési útja stb.)
  • Szülőhatókörök (gyűjtemény, szervezet, projekt)
  • Csoporttagságok (beépített csoportok, egyéni csoportok, Microsoft Entra-azonosító csoportok)
  • Kifejezett megtagadási szabályok (elsőbbséget élveznek)

Mit jelent a "hatályos" engedély:

Az érvényes engedélyek azok a nettó hozzáférések, amelyek egy felhasználó vagy csoport számára ténylegesen elérhetők egy objektumon, miután az Azure DevOps kiértékeli az összes releváns engedély-hozzárendelést. A rendszer egyesíti az explicit Engedélyezési és Megtagadási hozzárendeléseket az objektum, a szülő hatókörök és az összes csoporttagság között; az explicit megtagadási bejegyzések elsőbbséget élveznek. A gyakorlatban az "érvényes engedélyek" a végeredményt mutatják (amit valaki ténylegesen megtehet), nem minden olyan egyéni hozzárendelést, amely hozzájárult az eredményhez.

Az engedélyfeloldás és az öröklés részletes ismertetése: Tudnivalók az engedélyekről és az engedélyállapotokról.

Engedélyek megtekintése

Az engedélyek az objektumtól függően több helyen is megtekinthetők a webportálon:

  • Szervezeti vagy gyűjteményszint: Szervezeti beállítások>– Biztonság (vagy Organizálási beállítások>engedélyei).
  • Projektszint: Projektbeállítások>engedélyei (vagy Projektbeállítások biztonsági beállításai> a régebbi felhasználói felületeken).
  • Tárház, folyamat, tábla vagy egyéb erőforrás: Nyissa meg az erőforrást, majd a Beállítások vagy a Biztonság elemet (például a Repos> kiválasztásával a tárház> Biztonság beállítását).

A Biztonsági/engedélyek lapon a hozzárendelt csoportok és felhasználók láthatók, valamint egy felhasználó vagy csoport alapján szűrhető engedélymátrix.

Érvényes engedélyek ellenőrzése (felhasználói felület)

  1. Jelentkezzen be a(z) https://dev.azure.com/{Your_Organization}platformra.

  2. Nyissa meg a vizsgálandó objektumot (Szervezet, Projekt, Adattár stb.).

  3. Válassza a Projektbeállítások vagy a Szervezeti beállítások>engedélyeit (vagy a Biztonság) lehetőséget.

  4. Válassza a Felhasználók vagy csoportok lehetőséget, jelölje ki a vizsgálandó identitást, majd tekintse meg az engedélyrácsot.

  5. Használja a megadott "Érvényes engedélyek" hivatkozást vagy gombot (ha van ilyen), hogy kiszámítsa a kiválasztott objektum kiválasztott identitásának végleges érvényes engedélyét.

    Tekintse meg egy projekt biztonsági beállításait vagy engedélyeit.

  1. Jelentkezzen be a kiszolgálóra vagy a gyűjteményportálra.
  2. Nyissa meg a Projektbeállítások>biztonsági (vagy szervezeti/gyűjteménybeállítások biztonsági) lapját > .
  3. Jelölje ki a csoportot vagy a felhasználót, és vizsgálja meg az engedélymátrixot. A párbeszédpanelen használja a szűrő- és érvényesengedély-vezérlőket.

Érvényes engedélyek ellenőrzése (parancssor / REST)

Ha az automatizálást részesíti előnyben, a REST API-val olvassa be az ACL-eket vagy az Azure DevOps CLI/PowerShell-modulokat a szkriptengedély-ellenőrzésekhez. Keresse meg az erőforrás biztonsági névterét, és értékelje ki az ACL-biteket a hatékony hozzáférés kiszámításához.

Gyakori esetek és hibaelhárítás

  • A megtagadás felülírja az engedélyezést: Bármilyen hatókörhöz tartozó explicit megtagadás érvényesül. Ellenőrizze a megtagadásokat magasabb vagy alacsonyabb szinteken és a csoporttagságok mentén.
  • Tagság több csoportban: Az érvényes engedélyek a csoporthozzárendelések kombinációjából adódnak; a megtagadás bármely csoportban érvényes.
  • Öröklés szülőhatókörökből: Ha egy engedély az aktuális szinten öröklődik, ellenőrizze a hozzárendelések szülőhatóköreit.
  • Microsoft Entra-azonosítók csoportleképezése: Ha a felhasználók Microsoft Entra-csoportokon keresztül vannak hozzáadva, győződjön meg arról, hogy a megfelelő csoport szinkronizálva van az Azure DevOpsszal, és hogy a csoport tagsága az elvárt.
  • Az érdekelt felek hozzáférési korlátai: Az érdekelt felek hozzáférésével rendelkező felhasználók az engedély-hozzárendeléstől függetlenül korlátozott funkciókkal rendelkeznek – ellenőrizze a hozzáférési szintet, ha egy felhasználó nem tud műveletet végrehajtani.
  • Dinamikus vagy ideiglenes hozzáférés: Egyes szabályzatok (például a feltételes hozzáférés) vagy a külső kiépítés hatással lehetnek a bejelentkezésre/hozzáférésre – ha a bejelentkezés sikertelen, ellenőrizze a Microsoft Entra feltételes hozzáférési szabályzatát.

Gyors hibaelhárítási ellenőrzőlista

  1. Győződjön meg arról, hogy a bejelentkezéshez használt felhasználói fiók megegyezik az Azure DevOpsban látható identitással.
  2. Ellenőrizze a felhasználó közvetlen és közvetett csoporttagságait.
  3. Keressen bármilyen explicit megtagadási hozzárendelést az objektum- és szülőhatókörökben.
  4. Ellenőrizze a felhasználó hozzáférési szintjét (az érdekelt felek és az alapszintű szint) és a licencelési korlátokat.
  5. Ha Microsoft Entra-csoportokat használ, erősítse meg a csoportszinkronizálást és a tagságot.
  6. Szükség esetén a REST/CLI használatával listázhatja az erőforrás ACL-jeit, és programozott módon kiértékelheti azokat.

Ellenőrzés és előzmények

A naplózási naplók (Szervezeti beállítások > naplózási naplói) segítségével nyomon követheti a biztonsági csoportok, az engedély-hozzárendelések és a tagság változásait, ha a szervezet naplózása engedélyezve van. A naplózási események segíthetnek visszakövetni, amikor egy engedélyt vagy tagságot megváltoztattak.

Következő lépés

Projektszintű engedélyek vagy csoporttagság módosítása

Kapcsolódó tartalom

  • Last updated on