Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Layanan Azure DevOps | Azure DevOps Server | Azure DevOps Server 2022
Dalam artikel ini, Anda mempelajari tentang tingkat akses dan izin melalui pewarisan, grup keamanan, peran, dan lainnya di Azure DevOps.
Untuk gambaran umum izin default, lihat Panduan Cepat Izin Default.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan Keamanan.
Petunjuk / Saran
Anda dapat menggunakan AI untuk membantu tugas Azure DevOps. Lihat Mengaktifkan bantuan AI dengan Azure DevOps MCP Server untuk memulai.
Tingkat akses
Semua pengguna Azure DevOps memiliki tingkat akses, yang memberikan atau membatasi akses ke fitur portal web tertentu. Ada tiga tingkat akses utama: Stakeholder, Basic, dan Basic + Test Plans. Untuk memberi pengguna akses ke manajemen portofolio Agile atau fitur manajemen kasus pengujian, ubah tingkat akses, bukan izin. Untuk informasi selengkapnya, lihat Tentang tingkat akses.
Perizinan
Semua pengguna di Azure DevOps termasuk dalam satu atau beberapa grup keamanan default. Tetapkan izin ke grup keamanan yang Mengizinkan atau Menolak akses ke fitur atau tugas.
- Anggota mewarisi hak akses yang ditetapkan ke grup keamanan masing-masing.
- Tentukan izin pada tingkat yang berbeda: organisasi/koleksi, proyek, atau objek.
- Mengelola beberapa izin melalui penetapan berbasis peran (misalnya, administrator tim, pengelolaan ekstensi, atau peran sumber daya pipeline).
- Administrator dapat menentukan grup keamanan kustom untuk mengelola izin untuk area fungsional yang berbeda.
Mengelola izin di Azure DevOps melibatkan dua grup utama: Administrator Koleksi Proyek dan Administrator Proyek.
Pengelola Koleksi Proyek:
- Pegang otoritas tertinggi dalam organisasi atau koleksi proyek.
- Silakan lakukan semua operasi untuk seluruh koleksi.
- Mengelola pengaturan, kebijakan, dan proses untuk organisasi.
- Membuat dan mengelola semua proyek dan ekstensi.
Administrator Proyek:
- Beroperasi di tingkat proyek.
- Kelola grup keamanan dan izin dari pengaturan Proyek di portal web.
- Tangani izin untuk objek tertentu yang dibuat oleh kontributor dalam proyek.
Status kondisi izin
Tetapkan izin untuk memberikan atau membatasi akses:
Pengguna atau grup memiliki izin:
- Izinkan
- Izinkan (diwariskan)
- Izinkan (sistem)
Pengguna atau grup tidak memiliki izin:
- Tolak
- Tolak (diwariskan)
- Tolak (sistem)
- Belum diatur
| Status izin | Deskripsi |
|---|---|
| Izinkan | Secara eksplisit memberi pengguna kemampuan untuk melakukan tugas tertentu, dan tidak diwarisi dari keanggotaan grup. |
| Izinkan (diwariskan) | Memberi anggota grup kemampuan untuk melakukan tugas tertentu. |
| Izinkan (sistem) | Memberikan izin yang lebih diutamakan daripada izin pengguna. Tidak dapat diedarkan dan disimpan dalam database konfigurasi, tidak terlihat oleh pengguna. |
| Tolak | Secara eksplisit membatasi pengguna untuk melakukan tugas tertentu, dan tidak diwarisi dari keanggotaan grup. Untuk sebagian besar grup dan hampir semua izin, Tolak ambil alih Izinkan. Jika pengguna termasuk dalam dua grup, dan salah satunya memiliki izin tertentu yang diatur ke Tolak, pengguna tersebut tidak dapat melakukan tugas yang memerlukan izin tersebut meskipun mereka termasuk dalam grup yang memiliki izin yang diatur ke Izinkan. |
| Tolak (diwariskan) | Membatasi anggota grup untuk melakukan tugas tertentu. Menimpa Izinkan yang eksplisit. |
| Tolak (sistem) | Membatasi izin yang lebih diutamakan daripada izin pengguna. Tidak dapat diedarkan dan disimpan dalam database konfigurasi, tidak terlihat oleh pengguna. |
| Tidak diatur | Secara implisit menolak pengguna kemampuan untuk melakukan tugas yang memerlukan izin tersebut, tetapi memungkinkan keanggotaan dalam grup yang memiliki izin tersebut untuk diutamakan, juga dikenal sebagai Izinkan (diwariskan) atau Tolak (diwariskan). |
Anggota Project Collection Administrators atau Team Foundation Administrators mungkin tetap menerima izin bahkan jika ditolak di grup lain. Contoh berikut menjelaskan skenario ini lebih lanjut:
- Pengguna mungkin masih mengakses pengaturan proyek atau mengelola pengguna. Namun, untuk tugas seperti penghapusan item kerja atau manajemen alur, menjadi anggota grup Administrator Koleksi Proyek tidak mengambil alih izin Tolak yang ditetapkan di tempat lain.
- Jika pengguna ditolak izin untuk menghapus item kerja dalam proyek tertentu, mereka tidak dapat menghapus item kerja meskipun mereka adalah bagian dari grup Administrator Koleksi Proyek. Demikian pula, jika izin alur ditolak, mereka tidak dapat mengelola atau menjalankan alur meskipun peran administratifnya.
Peringatan
Saat Anda mengubah izin untuk grup, izin tersebut memengaruhi semua pengguna dalam grup tersebut. Bahkan perubahan izin tunggal dapat berdampak pada ratusan pengguna, jadi pertimbangkan efek potensial sebelum melakukan penyesuaian apa pun.
Pewarisan izin
Izin mengikuti hierarki, sehingga Anda bisa mewarisi izin dari simpul induk atau mengambil alihnya.
Pewarisan grup:
- Pengguna mewarisi izin dari grup yang mereka ikuti.
- Jika pengguna memiliki izin Izinkan secara langsung atau melalui keanggotaan grup tetapi juga memiliki izin Tolak melalui grup lain, izin Tolak diutamakan.
- Anggota Administrator Koleksi Proyek atau Administrator Team Foundation mempertahankan izin yang paling diizinkan, bahkan jika mereka termasuk dalam grup lain yang menolak izin tersebut (kecuali untuk operasi item kerja).
Pewarisan tingkat objek:
Anda menetapkan izin tingkat objek ke simpul seperti area, iterasi, folder kontrol versi, dan folder kueri item kerja. Izin ini diwariskan ke bawah hierarki.
Pewarisan izin dan aturan kekhususan:
- Izin eksplisit selalu diutamakan daripada yang diwariskan.
- Izin yang ditetapkan pada node tingkat yang lebih tinggi diwarisi oleh semua subnode kecuali jika digantikan secara eksplisit.
- Jika izin tidak diizinkan atau ditolak secara eksplisit untuk subnode, izin tersebut akan mewarisi izin dari induknya.
- Jika izin secara eksplisit diatur untuk subnode, izin induk tidak diwariskan, terlepas dari apakah izin tersebut diizinkan atau ditolak.
Kekhususan:
Dalam hierarki objek, kekhususan mengalahkan pewarisan. Izin yang paling spesifik diutamakan jika ada izin yang bertentangan.
Contoh:
-
Tolak secara eksplisit pada
area-1(node induk). -
Izinkan secara eksplisit untuk
area-1/sub-area-1(simpul anak). - Dalam hal ini, pengguna menerima Izinkan pada
area-1/sub-area-1, menggantikan Tolak yang diwarisi dari simpul induk.
Untuk memahami mengapa izin diwariskan, jeda pengaturan izin, lalu pilih Mengapa? Untuk membuka halaman Keamanan , lihat Menampilkan izin.
Catatan
Untuk mengaktifkan halaman pratinjau Pengaturan Izin Proyek, lihat mengaktifkan fitur pratinjau.
Dialog baru terbuka yang memperlihatkan informasi pewarisan untuk izin tersebut.
Antarmuka pengguna pratinjau untuk halaman pengaturan Izin Proyek tidak tersedia untuk Azure DevOps Server 2020 dan versi yang lebih lama.
Grup keamanan dan keanggotaan
Grup keamanan menetapkan izin tertentu kepada anggota mereka.
Saat Anda membuat organisasi, koleksi, atau proyek, Azure DevOps membuat sekumpulan grup keamanan default dan secara otomatis menetapkan izin default ke grup ini. Anda menentukan lebih banyak grup keamanan dengan menggunakan tindakan berikut:
- Membuat grup keamanan kustom pada tingkat berikut:
- Tingkat proyek
- Tingkat organisasi atau koleksi
- Tingkat server (hanya di lokasi fisik)
- Menambahkan tim yang membuat grup keamanan untuk tim
Anda tidak dapat membuat grup keamanan tingkat objek, tetapi Anda bisa menetapkan grup kustom ke tingkat objek dan menetapkan izin ke tingkat tersebut. Untuk informasi selengkapnya, lihat Mengatur izin tingkat objek.
Grup keamanan default
Sebagian besar pengguna Azure DevOps ditambahkan ke grup keamanan Kontributor dan diberikan tingkat akses Dasar . Grup Kontributor menyediakan akses baca dan tulis ke repositori, pelacakan kerja, alur, dan lainnya. Akses dasar menyediakan akses ke semua fitur dan tugas untuk menggunakan Azure Boards, Azure Repos, Azure Pipelines, dan Azure Artifacts. Pengguna yang memerlukan akses untuk mengelola Paket Pengujian Azure memerlukan Paket Dasar + Uji atau Akses tingkat lanjut .
Grup keamanan berikut didefinisikan secara default untuk setiap proyek dan organisasi. Anda biasanya menambahkan pengguna atau grup ke grup Pembaca, Kontributor, atau Administrator Proyek.
| Proyek | Organisasi atau Koleksi |
|---|---|
| - Administrator Pembangunan -Kontributor - Administrator Proyek - Pengguna Yang Valid Proyek - Pembaca - Administrator Rilis - TeamName Tim |
- Pengelola Koleksi Proyek - Administrator Pembangunan Koleksi Proyek - Akun Layanan Pembangunan Koleksi Proyek - Layanan Akun Proksi untuk Koleksi Proyek - Akun Layanan Pengumpulan Proyek - Akun Layanan Uji Koleksi Proyek - Koleksi Pengguna Valid untuk Proyek Pengguna yang dicakup oleh proyek - Grup Layanan Keamanan |
Untuk deskripsi masing-masing grup ini, lihat Grup keamanan, akun layanan, dan izin. Untuk penetapan izin default yang dibuat ke grup keamanan default yang paling sering digunakan, lihat Izin dan akses default.
Grup keamanan berikut didefinisikan secara default untuk setiap proyek dan koleksi proyek. Anda biasanya menambahkan pengguna atau grup ke grup Pembaca, Kontributor, atau Administrator Proyek.
Hanya tambahkan akun layanan ke grup akun layanan Azure DevOps. Untuk memahami grup pengguna yang valid, lihat Grup pengguna yang valid nanti di artikel ini.
| Tingkat proyek | Tingkat Koleksi |
|---|---|
| - Administrator Pembangunan -Kontributor - Administrator Proyek - Pengguna Yang Valid Proyek - Pembaca - Administrator Rilis - TeamName Tim |
- Pengelola Koleksi Proyek - Administrator Pembangunan Koleksi Proyek - Akun Layanan Pembangunan Koleksi Proyek - Layanan Akun Proksi untuk Koleksi Proyek - Akun Layanan Pengumpulan Proyek - Akun Layanan Uji Koleksi Proyek - Koleksi Pengguna Valid untuk Proyek - Grup Layanan Keamanan |
Tambahkan pengguna yang mengelola fitur tingkat proyek ke grup Administrator Proyek . Fitur-fitur ini termasuk tim, jalur area dan iterasi, repositori, kait layanan, dan titik akhir layanan.
Tambahkan pengguna yang mengelola fitur tingkat organisasi atau koleksi ke grup Administrator Koleksi Proyek . Fitur-fitur ini termasuk proyek, kebijakan, proses, kebijakan retensi, agen dan kumpulan penyebaran, dan ekstensi. Untuk informasi selengkapnya, lihat Tentang pengaturan tingkat pengguna, tim, proyek, dan organisasi.
Keanggotaan, izin, dan manajemen tingkat akses
Azure DevOps mengontrol akses melalui tiga area fungsional yang saling terhubung ini:
- Manajemen keanggotaan mendukung penambahan akun pengguna dan grup individual ke kelompok keamanan default. Setiap grup default dikaitkan dengan sekumpulan izin default. Semua pengguna yang ditambahkan ke grup keamanan apa pun ditambahkan ke grup Pengguna Yang Valid. Pengguna yang valid adalah seseorang yang dapat tersambung ke proyek, koleksi, atau organisasi.
- Manajemen izin mengontrol akses ke tugas fungsional tertentu pada tingkat sistem yang berbeda. Izin tingkat objek menetapkan hak akses pada file, folder, pipeline build, atau kueri bersama. Pengaturan izin sesuai dengan Izinkan, Tolak, Izinkan yang diwariskan, Tolak yang diwariskan, Izinkan sistem, Tolak sistem, dan Tidak diatur.
- Manajemen tingkat akses mengontrol akses ke fitur portal web. Berdasarkan apa yang dibeli untuk pengguna, administrator mengatur tingkat akses pengguna ke Stakeholder, Basic, Basic + Test, atau Visual Studio Enterprise (sebelumnya Advanced).
Setiap area fungsional menggunakan grup keamanan untuk menyederhanakan manajemen di seluruh penyebaran. Anda menambahkan pengguna dan grup melalui konteks administrasi web. Izin secara otomatis diatur berdasarkan grup keamanan tempat Anda menambahkan pengguna. Atau izin didasarkan pada tingkat objek, proyek, koleksi, atau server tempat Anda menambahkan grup.
Anggota grup keamanan dapat berupa kombinasi pengguna, grup lainnya, dan grup Microsoft Entra.
Anggota grup keamanan dapat berupa kombinasi pengguna, grup lain, dan grup Direktori Aktif atau Grup Kerja.
Anda dapat membuat grup lokal atau grup Direktori Aktif (AD) untuk mengelola pengguna Anda.
Direktori Aktif dan grup keamanan Microsoft Entra
Anda dapat mengisi grup keamanan dengan menambahkan pengguna individual. Namun, untuk kemudahan manajemen, lebih efisien untuk mengisi grup ini menggunakan ID Microsoft Entra untuk Azure DevOps Services dan grup pengguna Active Directory (AD) atau Windows untuk Azure DevOps Server. Pendekatan ini memungkinkan Anda mengelola keanggotaan grup dan izin secara lebih efektif di beberapa komputer.
Jika Anda hanya perlu mengelola sekumpulan kecil pengguna, Anda dapat melewati langkah ini. Namun, jika Anda mengantisipasi bahwa organisasi Anda mungkin tumbuh, pertimbangkan untuk menyiapkan Direktori Aktif atau ID Microsoft Entra. Selain itu, jika Anda berencana menggunakan layanan tambahan, penting untuk mengonfigurasi ID Microsoft Entra untuk digunakan dengan Azure DevOps untuk mendukung penagihan.
Catatan
Tanpa ID Microsoft Entra, semua pengguna Azure DevOps harus masuk menggunakan akun Microsoft, dan Anda harus mengelola akses akun oleh akun pengguna individual. Bahkan jika Anda mengelola akses akun menggunakan akun Microsoft, siapkan langganan Azure untuk mengelola tagihan.
Untuk menyiapkan ID Microsoft Entra untuk digunakan dengan Layanan Azure DevOps, lihat Menyambungkan organisasi Anda ke ID Microsoft Entra.
Saat organisasi Anda terhubung ke ID Microsoft Entra, Anda dapat menentukan dan mengelola berbagai kebijakan organisasi untuk meningkatkan keamanan dan menyederhanakan akses ke aplikasi. Untuk informasi selengkapnya, lihat Tentang keamanan, Kebijakan keamanan.
Untuk mengelola akses organisasi dengan ID Microsoft Entra, lihat artikel berikut ini:
- Menambahkan atau menghapus pengguna menggunakan Microsoft Entra ID
- Mengatasi masalah akses dengan Microsoft Entra ID
Azure DevOps mendaftarkan perubahan yang dilakukan pada grup Microsoft Entra dalam waktu satu jam setelah perubahan tersebut di ID Microsoft Entra. Setiap izin yang diwariskan melalui keanggotaan grup diperbarui. Untuk menyegarkan keanggotaan Microsoft Entra dan izin yang diwariskan di Azure DevOps, keluar lalu masuk kembali, atau lakukan penyegaran untuk mengevaluasi kembali izin Anda.
Untuk menyiapkan Direktori Aktif untuk digunakan dengan Azure DevOps Server, lihat artikel berikut ini:
Instal Active Directory sebelum Anda menginstal Azure DevOps Server.
Grup pengguna yang valid
Saat Anda menambahkan akun pengguna langsung ke grup keamanan, pengguna secara otomatis menjadi bagian dari salah satu grup pengguna yang valid berikut ini.
- Pengguna Valid pada Koleksi Proyek: Semua anggota yang ditambahkan ke dalam grup tingkat organisasi.
- Pengguna Valid Proyek: Semua anggota yang ditambahkan ke kelompok pada tingkat proyek.
- Server\Pengguna Valid Azure DevOps: Semua anggota yang ditambahkan ke grup di tingkat server.
- ProjectCollectionName\Project Collection Valid Users: Semua anggota ditambahkan ke grup tingkat koleksi.
- ProjectName\Pengguna Valid Proyek: Semua anggota yang telah ditambahkan ke grup pada tingkat proyek.
Izin default yang ditetapkan ke grup ini terutama menyediakan akses baca, seperti Lihat sumber daya build, Lihat informasi tingkat proyek, dan Lihat informasi tingkat koleksi.
Semua pengguna yang Anda tambahkan ke satu proyek dapat melihat objek di proyek lain dalam koleksi. Untuk membatasi akses tampilan, Anda dapat mengatur pembatasan melalui simpul jalur area. Jika Anda menghapus atau menolak izin Tampilkan informasi tingkat instans untuk salah satu grup Pengguna Yang Valid, tidak ada anggota grup yang dapat mengakses proyek, koleksi, atau penyebaran, tergantung pada grup yang Anda tetapkan.
Grup pengguna yang dilingkup proyek
Secara default, pengguna yang Anda tambahkan ke organisasi dapat melihat semua informasi dan pengaturan organisasi dan proyek. Pengaturan ini mencakup daftar pengguna, daftar proyek, detail penagihan, data penggunaan, dan lainnya, yang dapat Anda akses melalui pengaturan Organisasi.
Untuk membatasi pengguna tertentu, seperti Pemangku Kepentingan, pengguna tamu Microsoft Entra, atau anggota grup keamanan tertentu, Anda dapat mengaktifkan fitur Batasi visibilitas dan kolaborasi pengguna ke pratinjau proyek tertentu untuk organisasi. Setelah diaktifkan, pengguna atau grup apa pun yang Anda tambahkan ke grup Pengguna lingkup Proyek tidak dapat mengakses halaman pengaturan Organisasi , kecuali untuk Gambaran Umum dan Proyek. Mereka hanya memiliki akses ke proyek yang Anda tambahkan.
Peringatan
Pertimbangkan batasan berikut saat menggunakan fitur pratinjau ini:
- Fitur visibilitas terbatas yang dijelaskan di bagian ini hanya berlaku untuk interaksi melalui portal web. Dengan perintah REST API atau
azure devopsCLI, anggota proyek dapat mengakses data yang dibatasi. - Pengguna dalam grup terbatas hanya dapat memilih pengguna yang secara eksplisit ditambahkan ke Azure DevOps dan bukan pengguna yang memiliki akses melalui keanggotaan grup Microsoft Entra.
- Pengguna tamu yang merupakan anggota grup terbatas yang memiliki akses default di Microsoft Entra ID, tidak dapat mencari pengguna dengan alat pemilih pengguna.
Untuk informasi selengkapnya, lihat Mengelola fitur pratinjau.
Catatan
Grup keamanan dikelola di tingkat organisasi, meskipun digunakan untuk proyek tertentu. Bergantung pada izin pengguna, beberapa grup mungkin disembunyikan di portal web. Untuk melihat semua nama grup dalam organisasi, Anda dapat menggunakan alat Azure DevOps CLI atau REST API. Untuk informasi selengkapnya, lihat Menambahkan dan mengelola grup keamanan.
Catatan
Grup keamanan dikelola pada tingkat koleksi, meskipun digunakan untuk proyek tertentu. Bergantung pada izin pengguna, beberapa grup mungkin disembunyikan di portal web. Untuk melihat semua nama grup dalam koleksi, Anda dapat menggunakan alat Azure DevOps CLI atau REST API. Untuk informasi selengkapnya, lihat Menambahkan dan mengelola grup keamanan.
Hak akses berbasis peran
Dengan izin berbasis peran, Anda menetapkan akun pengguna atau grup keamanan ke peran, dan setiap peran memiliki satu atau beberapa izin. Sumber daya berikut mendukung izin berbasis peran:
- Peran keamanan artefak atau sumber paket
- Peran Manajer Ekstensi Marketplace
- Peran keamanan alur
- Peran administrator tim
Untuk informasi selengkapnya, lihat Tentang peran keamanan pipeline.
Gambar berikut menggambarkan bagaimana grup keamanan yang ditentukan di tingkat proyek dan koleksi dapat menetapkan izin ke objek, proyek, dan organisasi.
Gambar berikut menggambarkan bagaimana grup keamanan yang ditentukan di tingkat proyek dan koleksi dapat ditetapkan ke izin yang ditetapkan pada tingkat objek, proyek, dan koleksi. Anda hanya dapat menentukan grup keamanan tingkat server ke izin tingkat server.
Anggota grup Administrator Proyek atau Administrator Koleksi Proyek mengelola semua alat tim untuk semua tim.
Fitur pratinjau
Bendera fitur mengontrol akses ke fitur baru. Azure DevOps secara berkala memperkenalkan fitur baru di balik bendera fitur. Anggota proyek dan pemilik organisasi dapat mengaktifkan atau menonaktifkan fitur pratinjau. Untuk informasi selengkapnya, lihat Mengelola atau mengaktifkan fitur.