Megosztás a következőn keresztül:

Tudnivalók a biztonságról, a hitelesítésről és az engedélyezésről

  • Cikk

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Az Azure DevOps számos biztonsági fogalmat alkalmaz annak biztosítása érdekében, hogy csak azoknak a felhasználóknak legyen hozzáférésük a funkciókhoz, funkciókhoz és adatokhoz, akiknek hozzáféréssel kell rendelkezniük. A fiókok a biztonsági hitelesítő adataik hitelesítésével és a fiókjogosultságuk hitelesítésével férhetnek hozzá az Azure DevOpshoz egy funkcióhoz vagy funkcióhoz való hozzáféréshez.

Ez a cikk az engedélyek, a hozzáférés és a biztonsági csoportok első lépéseiben megadott információkra épül. Rendszergazda istratorok számára előnyös az Azure DevOps védelméhez használt fióktípusok, hitelesítési módszerek, engedélyezési módszerek és szabályzatok megismerése.

Fióktípusok

  • Felhasználók
  • Szervezet tulajdonosa
  • Szolgáltatásfiókok
  • Szolgáltatásnevek vagy felügyelt identitások
  • Feladatügynökök

Hitelesítés

  • Felhasználói hitelesítő adatok
  • Windows-hitelesítés
  • Kéttényezős hitelesítés (2FA)
  • SSH-kulcs hitelesítése
  • Személyes hozzáférési jogkivonatok
  • Oauth-konfiguráció
  • Active Directory hitelesítési kódtár

Engedélyezés

  • Biztonsági csoporttagság
  • Szerepköralapú hozzáférés-vezérlés
  • Hozzáférési szintek
  • Funkciójelölők
  • Biztonsági névterek > engedélyek

Házirendek

  • Adatvédelmi szabályzat URL-címe
  • Alkalmazáskapcsolati és biztonsági szabályzatok
  • Felhasználói szabályzatok
  • Git-adattár és ágházirendek

Fióktípusok

  • Felhasználók
  • Szolgáltatásfiókok
  • Szolgáltatásnevek vagy felügyelt identitások
  • Feladatügynökök

Hitelesítés

  • Felhasználói hitelesítő adatok
  • Windows-hitelesítés
  • Kéttényezős hitelesítés (2FA)
  • SSH-kulcs hitelesítése
  • Személyes hozzáférési jogkivonatok
  • Oauth-konfiguráció
  • Active Directory hitelesítési kódtár

Engedélyezés

  • Biztonsági csoporttagság
  • Szerepköralapú engedélyek
  • Hozzáférési szintek
  • Funkciójelölők
  • Biztonsági névterek > engedélyek

Házirendek

  • Git-adattár és ágházirendek

Fontos

Az Azure DevOps 2020. március 2-tól már nem támogatja az alternatív hitelesítő adatok hitelesítését. Ha továbbra is alternatív hitelesítő adatokat használ, határozottan javasoljuk, hogy váltson biztonságosabb hitelesítési módszerre (például személyes hozzáférési jogkivonatokra). További információ.

A felhőszolgáltatásunk, az Azure DevOps Services és a helyszíni kiszolgáló, az Azure DevOps Server egyaránt támogatja a szoftverfejlesztési projekteket a tervezéstől az üzembe helyezésig. Az Azure DevOps a Microsoft Azure platformját használja szolgáltatásinfrastruktúraként, és az Azure számos szolgáltatása, beleértve az Azure SQL-adatbázisokat is, megbízható, globálisan elérhető szolgáltatást nyújt a fejlesztési projektekhez.

A Microsoft által az Azure DevOps Servicesben végzett projektek biztonságos, elérhető, biztonságos és privát módon történő megőrzésének lépéseiről az Azure DevOps Services adatvédelmi áttekintését ismertető tanulmány nyújt további információt.

Számlák

Bár a legfontosabb fióktípusok a szervezethez vagy projekthez hozzáadott emberi felhasználói fiókok, az Azure DevOps más típusú fiókokat is támogat a különböző műveletek végrehajtásához. Ezek közé tartoznak a következő fióktípusok.

  • Szervezet tulajdonosa: Egy Azure DevOps Services-szervezet létrehozója vagy hozzárendelt tulajdonosa. Ha szeretné megtudni, hogy ki a szervezet tulajdonosa, olvassa el a szervezet tulajdonosának keresésével foglalkozó témakört.
  • Szolgáltatásfiókok: Egy adott szolgáltatás támogatására használt belső Azure DevOps-fiókok, például ügynökkészlet-szolgáltatás, PipelinesSDK. A szolgáltatásfiókok leírását a biztonsági csoportok, a szolgáltatásfiókok és az engedélyek című témakörben talál.
  • Szolgáltatásnevek vagy felügyelt identitások: A szervezethez hozzáadott Microsoft Entra-alkalmazások vagy felügyelt identitások , amelyek külső alkalmazás nevében hajtanak végre műveleteket. Egyes szolgáltatásnevek belső Azure DevOps-fiókokra hivatkoznak a belső műveletek támogatásához.
  • Feladatügynökök: Az adott feladatok rendszeres ütemezés szerinti futtatásához használt belső fiókok.
  • Külső fiókok: A webhookok, szolgáltatáskapcsolatok vagy más külső alkalmazások támogatásához hozzáférést igénylő fiókok.

A dokumentumokban a felhasználók a Felhasználói központhoz hozzáadott összes identitásra hivatkozhatnak, amelyek emberi felhasználókat és szolgáltatásneveket is tartalmazhatnak.

  • Szolgáltatásfiókok: Egy adott szolgáltatás támogatására használt belső Azure DevOps-fiókok, például ügynökkészlet-szolgáltatás, PipelinesSDK. A szolgáltatásfiókok leírását a biztonsági csoportok, a szolgáltatásfiókok és az engedélyek című témakörben talál.
  • Szolgáltatásnevek vagy felügyelt identitások: A szervezethez hozzáadott Microsoft Entra-alkalmazások vagy felügyelt identitások, amelyek külső alkalmazás nevében hajtanak végre műveleteket. Egyes szolgáltatásnevek belső Azure DevOps-fiókokra hivatkoznak a belső műveletek támogatásához.
  • Feladatügynökök: Az adott feladatok rendszeres ütemezés szerinti futtatásához használt belső fiókok.
  • Külső fiókok: A webhookok, szolgáltatáskapcsolatok vagy más külső alkalmazások támogatásához hozzáférést igénylő fiókok.

A fiókok kezelésének leghatékonyabb módja a biztonsági csoportokhoz való hozzáadásuk.

Feljegyzés

A szervezet tulajdonosa és a Project Collection Rendszergazda istrators csoport tagjai teljes hozzáférést kapnak a legtöbb funkcióhoz és funkcióhoz.

Hitelesítés

A hitelesítés ellenőrzi a fiók identitását az Azure DevOpsba való bejelentkezéskor megadott hitelesítő adatok alapján. Ezek a rendszerek integrálhatók a többi rendszer által biztosított biztonsági funkciókkal, és ezekre támaszkodnak:

  • Microsoft Entra ID
  • Microsoft-fiók (MSA)
  • Active Directory (AD)

A Microsoft Entra ID és az MSA támogatja a felhőalapú hitelesítést. Akkor javasoljuk a Microsoft Entra-azonosítót, ha nagy számú felhasználót kell kezelnie. Ellenkező esetben, ha egy kis felhasználói bázis hozzáfér a szervezetéhez az Azure DevOpsban, használhat Microsoft-fiókokat. További információ: Az Azure DevOps elérése a Microsoft Entra-azonosítóval.

A helyszíni üzemelő példányok esetében az AD használata ajánlott a felhasználók nagy csoportjának kezelésekor. További információ: Csoportok beállítása helyszíni üzemelő példányokban való használatra.

Hitelesítési módszerek, integrálás más szolgáltatásokkal és alkalmazásokkal

Más alkalmazások és szolgáltatások is integrálhatók az Azure DevOps szolgáltatásaival és erőforrásaival. Ha anélkül szeretné elérni a fiókját, hogy a rendszer többször is felhasználói hitelesítő adatokat kérne, az alkalmazások a következő hitelesítési módszereket használhatják.

  • Személyes hozzáférési tokenek tokenek létrehozásához saját maga számára a következőkhöz:

    • Adott erőforrások vagy tevékenységek, például buildek vagy munkaelemek elérése
    • Olyan ügyfelek, mint az Xcode és a NuGet, amelyek alapszintű hitelesítő adatokként felhasználóneveket és jelszavakat igényelnek, és nem támogatják a Microsoft-fiók és a Microsoft Entra olyan funkcióit, mint a többtényezős hitelesítés
    • Azure DevOps REST API-k elérése

  • Az Azure DevOps OAuth jogkivonatok létrehozásához a felhasználók nevében a REST API-k eléréséhez. A Fiókok és a Profilok API-k csak az OAuth-hitelesítést támogatják.

  • SSH-hitelesítés titkosítási kulcsok létrehozásához saját maga számára, ha Linux, macOS vagy Windows rendszeren futtatja a Git for Windowst, és nem használhatja a Git hitelesítőadat-kezelőit vagy a személyes hozzáférési tokeneket a HTTPS-hitelesítéshez.

  • Szolgáltatásnevek vagy felügyelt identitások Microsoft Entra-jogkivonatok létrehozásához egy alkalmazás vagy szolgáltatás nevében, amelyek általában automatizálják az Azure DevOps-erőforrások eléréséhez szükséges munkafolyamatokat. A szolgáltatásfiókok és egy PAT által hagyományosan végrehajtott műveletek többsége szolgáltatásnévvel vagy felügyelt identitással is elvégezhető.

A fiók vagy a gyűjtemény alapértelmezés szerint minden hitelesítési módszer esetében hozzáférést biztosít. Korlátozhatja a hozzáférést, de külön kell korlátoznia a hozzáférést az egyes módszerekhez. Ha megtagadja a hozzáférést egy hitelesítési módszerhez, egyetlen alkalmazás sem használhatja azt a módszert a fiók eléréséhez. A korábban hozzáféréssel rendelkező alkalmazások hitelesítési hibát kapnak, és nem tudnak hozzáférni a fiókjához.

A hitelesítő adatok tárolásáról további információt az Azure DevOps hitelesítőadat-tárolójában talál.

A megfelelő hitelesítési mechanizmus kiválasztásáról további információt a hitelesítési útmutatóban talál.

Engedélyezés

Az engedélyezés ellenőrzi, hogy a csatlakozni próbáló identitás rendelkezik-e a szolgáltatáshoz, funkcióhoz, funkcióhoz, objektumhoz vagy metódushoz való hozzáféréshez szükséges engedélyekkel. Az engedélyezés mindig sikeres hitelesítés után történik. Ha a kapcsolat nincs hitelesítve, az engedélyezési ellenőrzés végrehajtása előtt meghiúsul. Ha egy kapcsolat hitelesítése sikeres, előfordulhat, hogy egy adott művelet még mindig nem engedélyezett, mert a felhasználó vagy csoport nem rendelkezik a művelet végrehajtásához szükséges engedéllyel.

Az engedélyezés a fiókhoz rendelt engedélyektől függ. Az engedélyeket közvetlenül egy fiókhoz, vagy egy biztonsági csoporthoz vagy biztonsági szerepkörhöz való tagsággal lehet megadni. A hozzáférési szintek és a funkciójelzők a szolgáltatáshoz való hozzáférést is engedélyezhetik vagy korlátozhatják. Ezekről az engedélyezési módszerekről további információt az engedélyek, a hozzáférés és a biztonsági csoportok használatának első lépései című témakörben talál.

Biztonsági névterek és engedélyek

A biztonsági névterek olyan adatokat tárolnak, amelyek meghatározzák, hogy az Azure DevOps-fiókoknak milyen szintű hozzáféréssel kell rendelkezniük egy adott erőforráson. Minden erőforráscsaládot, például a munkaelemeket vagy a Git-adattárakat egy egyedi névtér védi. Minden biztonsági névtér nulla vagy több hozzáférés-vezérlési listát (ACL) tartalmaz. Minden ACL tartalmaz egy jogkivonatot, egy öröklő jelzőt és egy nulla vagy több hozzáférés-vezérlési bejegyzést (ACL- t). Minden ACE tartalmaz egy identitásleírót, egy engedélyezett jogosultsági bitmaszkot és egy megtagadott engedély bitmaszkot.

További információ: Biztonsági névterek és engedélyhivatkozás.

Biztonsági házirendek

A szervezet és a kód védelme érdekében számos szabályzatot állíthat be. A következő szabályzatokat engedélyezheti vagy tilthatja le:

Általános

Alkalmazáskapcsolati és biztonsági szabályzatok

A Microsoft Entra bérlői szabályzatával csak a kívánt felhasználók számára korlátozhatja az új szervezetek létrehozását. Ez a szabályzat alapértelmezés szerint ki van kapcsolva, és csak akkor érvényes, ha a szervezet csatlakozik a Microsoft Entra-azonosítóhoz. További részletekért tekintse meg a szervezet létrehozásának korlátozását.

Az alábbi szabályzatok határozzák meg, hogy milyen hozzáférést szeretne biztosítani a felhasználóknak és alkalmazásoknak a szervezeteknek:

Felhasználói szabályzatok

  • Külső vendéghozzáférés (Csak akkor érvényes, ha a szervezet csatlakozik a Microsoft Entra-azonosítóhoz.): Ha engedélyezve van, a felhasználók e-mail-fiókjaiba meghívókat lehet küldeni, akik nem tagjai a bérlői Microsoft Entra-azonosítónak a Felhasználók lapon keresztül. További információ: Külső felhasználók hozzáadása a szervezethez.
  • Új felhasználók meghívásának engedélyezése a csapat- és projektgazdák számára: Csak akkor érvényes, ha a szervezet csatlakozik a Microsoft Entra-azonosítóhoz. Ha engedélyezve van, a csapat- és projektgazdák a Felhasználók lapon adhatnak hozzá felhasználókat. További információ: A Project és a Team Rendszergazda istrators új felhasználói meghívásainak korlátozása.
  • Hozzáférés kérése: Csak akkor érvényes, ha a szervezet csatlakozik a Microsoft Entra-azonosítóhoz. Ha engedélyezve van, a felhasználók hozzáférést kérhetnek egy erőforráshoz. A kérések e-mailben értesítést küldenek a rendszergazdáknak, akik szükség esetén felülvizsgálatot és hozzáférést kérnek. További információ: Külső felhasználók hozzáadása a szervezethez.
  • GitHub-felhasználók meghívása: Csak akkor érvényes, ha a szervezet nem csatlakozik a Microsoft Entra-azonosítóhoz. Ha engedélyezve van, a rendszergazdák a GitHub felhasználói fiókjaik alapján adhatnak hozzá felhasználókat a Felhasználók lapról. További információ: Csatlakozás a GitHubra/GYIK-hez.

Projekt hatókörű felhasználók csoportja

A szervezethez hozzáadott felhasználók alapértelmezés szerint megtekinthetik az összes szervezeti és projektinformációt és -beállítást. Ez magában foglalja a felhasználók listáját, a projektek listáját, a számlázási adatokat, a használati adatokat és egyebeket, amelyek a Szervezet Gépház keresztül érhetők el.

Fontos

  • Az ebben a szakaszban ismertetett korlátozott láthatósági funkciók csak a webes portálon keresztüli interakciókra vonatkoznak. A REST API-k vagy azure devops CLI-parancsok segítségével a projekttagok hozzáférhetnek a korlátozott adatokhoz.
  • Azok a vendégfelhasználók, akik a Microsoft Entra-azonosítóban alapértelmezett hozzáféréssel rendelkező korlátozott csoport tagjai, nem kereshetnek felhasználókat a személyválasztóval. Ha az előzetes verziójú funkció ki van kapcsolva a szervezet számára, vagy ha a vendégfelhasználók nem tagjai a korlátozott csoportnak, a vendégfelhasználók a várt módon kereshetnek az összes Microsoft Entra-felhasználóban.

Ha korlátozni szeretné a felhasználók, például az Érdekelt felek, a Microsoft Entra vendégfelhasználóinak vagy egy adott biztonsági csoport tagjainak körét, engedélyezheti a felhasználók láthatóságának és együttműködésének korlátozását a szervezet adott projektek előzetes verziójának funkciójára. Ha ez engedélyezve van, a Projekt hatókörű felhasználók csoporthoz hozzáadott felhasználók vagy csoportok a következő módokon lesznek korlátozva:

  • Csak a Szervezeti Gépház Áttekintés és Projektek lapja érhető el.
  • Csak azok a projektek csatlakozhatnak és tekinthetők meg, amelyekhez explicit módon hozzáadták őket (lásd: Felhasználók hozzáadása projekthez vagy csapathoz.
  • Csak olyan felhasználói és csoporti identitásokat jelölhet ki, amelyek explicit módon lettek hozzáadva ahhoz a projekthez, amelyhez csatlakoznak.

További információt a Szervezet kezelése, a projektek felhasználói láthatóságának korlátozása és az előzetes verziójú funkciók kezelése című témakörben talál.

Figyelmeztetés

Ha engedélyezve van a felhasználók láthatóságának és együttműködésének korlátozása adott projektekhez – előzetes verziójú funkció a szervezet számára, a projekt hatókörű felhasználók nem kereshetnek olyan felhasználókat, akiket a Microsoft Entra csoporttagságán keresztül adtak hozzá a szervezethez, nem pedig explicit felhasználói meghívással. Ez egy váratlan viselkedés, és a megoldás folyamatban van. A probléma önálló megoldásához tiltsa le a felhasználók láthatóságának és együttműködésének korlátozását a szervezet adott projektek előzetes verziójának funkciójával.

Git-adattár és ágházirendek

A kód védelméhez számos Git-adattár- és ágházirendet állíthat be. További információért tekintse át a következő cikkeket.

Az Azure Repos és az Azure Pipelines biztonsága

Mivel az adattárak, valamint a buildelési és kiadási folyamatok egyedi biztonsági kihívásokat jelentenek, a cikkben tárgyalt funkciókon kívül más funkciók is használhatók. További információért tekintse át a következő cikkeket.

Következő lépések

Engedélyek és csoportok referenciája