Felügyelt identitások és szolgáltatásnév támogatása

Ma a legtöbb alkalmazásintegrációs forgatókönyv a személyes hozzáférési jogkivonatokra (PAT-okra) támaszkodik az Azure DevOpsba való integrációhoz. A PAT-k könnyen kiszivároghatnak, ami potenciálisan lehetővé teszi a rosszindulatú szereplők számára, hogy hatékony felhasználókként hitelesítsék magukat az Azure Active Directory olyan biztonsági funkcióinak védelme nélkül, mint a feltételes hozzáférési szabályzatok. Ennek megelőzése érdekében időigényes karbantartást igényelhetnek, beleértve a rendszeres rotálást is.

Dolgozunk azon, hogy az alkalmazások ehelyett felügyelt identitások és szolgáltatásnevek használatával integrálhatók legyenek az Azure DevOpsszal REST API-k és ügyfélkódtárak használatával. Ez a magas igényű funkció biztonságosabb alternatívát kínál az Azure DevOps-ügyfeleknek a PAT-k helyett. A felügyelt identitások pedig lehetővé teszi az Azure-erőforrásokon futó alkalmazások számára, hogy Azure AD jogkivonatokat szerezzenek be anélkül, hogy egyáltalán kezelni kellene a hitelesítő adatokat.

A felügyelt identitások és szolgáltatásnevek az Azure DevOpsban is beállíthatók, és adott eszközökhöz (projektekhez, adattárakhoz, folyamatokhoz) adhatnak engedélyeket, akárcsak a normál felhasználók. Ez lehetővé teszi, hogy a felügyelt identitásokat vagy szolgáltatásneveket használó alkalmazások csatlakozzanak az Azure DevOpshoz, és saját maguk nevében hajtsanak végre műveleteket a felhasználók helyett, ahogyan a PAT-k teszik. Ez biztosítja, hogy a csapatok jobban felügyelhessék szolgáltatásaikat közösen, ahelyett, hogy bárkire támaszkodva a hitelesítéshez jogkivonatot biztosíthatnak.