Tentang izin dan grup keamanan

Layanan Azure DevOps | Azure DevOps Server | Azure DevOps Server 2022

Dalam artikel ini, pelajari tentang tingkat akses dan izin melalui pewarisan, grup keamanan, peran, dan lainnya di Azure DevOps.

Untuk gambaran umum izin default, lihat Panduan Cepat Izin Default.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan Keamanan.

Tingkat akses

Semua pengguna Azure DevOps memiliki tingkat akses, yang memberikan atau membatasi akses ke fitur portal web tertentu.

Ada tiga tingkat akses utama: Stakeholder, Basic, dan Basic + Test Plans.

Akses pemangku kepentingan menyediakan akses gratis ke sejumlah pengguna yang tidak terbatas dengan serangkaian fitur terbatas. Gunakan tingkat akses ini untuk pengguna yang tidak memerlukan akses berbayar. Sebaiknya jangan menggunakan akses pemilik kepentingan sebagai pengganti izin yang lebih terbatas. Pengguna dengan langganan Visual Studio atau lisensi GitHub Enterprise secara otomatis ditingkatkan dari Pemangku Kepentingan ke akses Dasar saat mereka masuk. Untuk informasi selengkapnya, lihat referensi akses cepat pemangku kepentingan.

Untuk memberi pengguna akses ke manajemen portofolio Agile atau fitur manajemen kasus pengujian, ubah tingkat akses, bukan izin. Untuk informasi selengkapnya, lihat Tentang tingkat akses.

Perizinan

Semua pengguna di Azure DevOps termasuk dalam satu atau beberapa grup keamanan default. Izin diberikan ke grup keamanan untuk mengizinkan atau menolak akses ke fitur atau tugas.

• Anggota mewarisi hak akses yang ditetapkan ke grup keamanan masing-masing.
• Izin ditentukan pada tingkat yang berbeda: organisasi/koleksi, proyek, atau objek.
• Beberapa izin dikelola melalui penetapan berbasis peran (misalnya, administrator tim, manajemen ekstensi, atau peran sumber daya alur).
• Administrator dapat menentukan grup keamanan kustom untuk mengelola izin untuk area fungsional yang berbeda.

Mengelola izin di Azure DevOps melibatkan dua grup utama: Administrator Koleksi Proyek dan Administrator Proyek.

Pengelola Koleksi Proyek:

• Pegang otoritas tertinggi dalam organisasi atau koleksi proyek.
• Silakan lakukan semua operasi untuk seluruh koleksi.
• Mengelola pengaturan, kebijakan, dan proses untuk organisasi.
• Membuat dan mengelola semua proyek dan ekstensi.

Administrator Proyek:

• Beroperasi di tingkat proyek.
• Kelola grup keamanan dan izin dari pengaturan Proyek di portal web.
• Tangani izin untuk objek tertentu yang dibuat oleh kontributor dalam proyek.

Status kondisi izin

Tetapkan izin untuk memberikan atau membatasi akses:

Pengguna atau grup memiliki izin:

• Izinkan
• Izinkan (diwariskan)
• Izinkan (sistem)

Pengguna atau grup tidak memiliki izin:

• Tolak
• Tolak (diwariskan)
• Tolak (sistem)
• Belum diatur

Status izin	Deskripsi
Izinkan	Secara eksplisit memberi pengguna untuk melakukan tugas tertentu, dan tidak diwariskan dari keanggotaan grup.
Izinkan (diwariskan)	Memberikan anggota grup untuk melakukan tugas tertentu.
Izinkan (sistem)	Memberikan izin yang mendahului izin pengguna. Tidak dapat diedarkan dan disimpan dalam database konfigurasi, tidak terlihat oleh pengguna.
Tolak	Secara eksplisit membatasi pengguna untuk melakukan tugas tertentu, dan tidak diwarisi dari keanggotaan grup. Untuk sebagian besar grup dan hampir semua izin, Tolak ambil alih Izinkan. Jika pengguna termasuk dalam dua grup, dan salah satunya memiliki izin tertentu yang diatur ke Tolak, pengguna tersebut tidak dapat melakukan tugas yang memerlukan izin tersebut meskipun mereka termasuk dalam grup yang memiliki izin yang diatur ke Izinkan.
Tolak (diwariskan)	Membatasi anggota grup untuk melakukan tugas tertentu. Menimpa Izinkan yang eksplisit.
Tolak (sistem)	Membatasi izin yang mengambil prioritas sebelum izin pengguna. Tidak dapat diedarkan dan disimpan dalam database konfigurasi, tidak terlihat oleh pengguna.
Tidak diatur	Secara implisit menolak pengguna kemampuan untuk melakukan tugas yang memerlukan izin tersebut, tetapi memungkinkan keanggotaan dalam grup yang memiliki izin tersebut untuk diutamakan, juga dikenal sebagai Izinkan (diwariskan) atau Tolak (diwariskan).

Anggota Project Collection Administrators atau Team Foundation Administrators mungkin tetap menerima izin bahkan jika ditolak di grup lain. Contoh berikut menjelaskan skenario ini lebih lanjut:

• Pengguna mungkin masih mengakses pengaturan proyek atau mengelola pengguna. Namun, untuk tugas seperti penghapusan item kerja atau manajemen alur, menjadi anggota grup Administrator Koleksi Proyek tidak mengambil alih izin Tolak yang ditetapkan di tempat lain.
• Jika pengguna ditolak izin untuk menghapus item kerja dalam proyek tertentu, mereka tidak dapat menghapus item kerja meskipun mereka adalah bagian dari grup Administrator Koleksi Proyek. Demikian pula, jika izin alur ditolak, mereka tidak dapat mengelola atau menjalankan alur meskipun peran administratifnya.

Peringatan

Saat Anda mengubah izin untuk grup, izin tersebut memengaruhi semua pengguna dalam grup tersebut. Bahkan perubahan izin tunggal dapat berdampak pada ratusan pengguna, jadi sangat penting untuk mempertimbangkan potensi efek sebelum melakukan penyesuaian apa pun.

Pewarisan izin

Izin mengikuti hierarki, memungkinkan pewarisan dari simpul induk atau menggantinya.

Pewarisan grup:

• Pengguna mewarisi izin dari grup yang mereka ikuti.
• Jika pengguna memiliki izin Izinkan secara langsung atau melalui keanggotaan grup tetapi juga memiliki izin Tolak melalui grup lain, izin Tolak diutamakan.
• Anggota Administrator Koleksi Proyek atau Administrator Team Foundation mempertahankan izin yang paling diizinkan, bahkan jika mereka termasuk dalam grup lain yang menolak izin tersebut (kecuali untuk operasi item kerja).

Pewarisan tingkat objek:

Izin pada tingkat objek, yang ditetapkan ke simpul seperti area, perulangan, folder kontrol versi, dan folder kueri item kerja, diwariskan ke seluruh hierarki.

Pewarisan izin dan aturan kekhususan:

• Izin eksplisit selalu diutamakan daripada yang diwariskan.
• Izin yang ditetapkan pada node tingkat yang lebih tinggi diwarisi oleh semua subnode kecuali jika digantikan secara eksplisit.
• Jika izin tidak diizinkan atau ditolak secara eksplisit untuk subnode, izin tersebut akan mewarisi izin dari induknya.
• Jika izin secara eksplisit diatur untuk subnode, izin induk tidak diwariskan, terlepas dari apakah diizinkan atau ditolak.

Kekhususan:

Dalam hierarki objek, kekhususan mengalahkan pewarisan. Izin yang paling spesifik diutamakan jika ada izin yang bertentangan.

Contoh:

• Secara eksplisit Menolak pada 'area-1' (node induk).
• Izinkan secara eksplisit untuk 'area-1/sub-area-1' (simpul anak).
• Dalam hal ini, pengguna menerima Izinkan pada 'area-1/sub-area-1', mengambil alih Tolak yang diwariskan dari simpul induk.

Untuk memahami mengapa izin diwariskan, Anda dapat menjeda pengaturan izin, lalu pilih Mengapa? Untuk membuka halaman Keamanan , lihat Menampilkan izin.

Catatan

Untuk mengaktifkan halaman pratinjau Pengaturan Izin Proyek, lihat mengaktifkan fitur pratinjau.

Halaman pratinjau

Dialog baru terbuka yang memperlihatkan informasi pewarisan untuk izin tersebut.

Halaman saat ini

Jendela baru memperlihatkan informasi pewarisan untuk izin tersebut.

Grup keamanan dan keanggotaan

Grup keamanan menetapkan izin tertentu kepada anggota mereka.

Dengan pembuatan organisasi, koleksi, atau proyek—Azure DevOps membuat sekumpulan grup keamanan default, yang secara otomatis diberi izin default. Lebih banyak grup keamanan didefinisikan dengan tindakan berikut:

• Saat Anda membuat grup keamanan kustom di tingkat berikut:
  • Tingkat proyek
  • Tingkat organisasi atau koleksi
  • Tingkat server (hanya di lokasi fisik)
• Saat Anda menambahkan tim, grup keamanan tim akan dibuat

Anda tidak dapat membuat grup keamanan tingkat objek, tetapi Anda bisa menetapkan grup kustom ke tingkat objek dan menetapkan izin ke tingkat tersebut. Untuk informasi selengkapnya, lihat Mengatur izin tingkat objek.

Grup keamanan default

Sebagian besar pengguna Azure DevOps ditambahkan ke grup keamanan Kontributor dan memberikan tingkat akses Dasar . Grup Kontributor menyediakan akses baca dan tulis ke repositori, pelacakan kerja, alur, dan lainnya. Akses dasar menyediakan akses ke semua fitur dan tugas untuk menggunakan Azure Boards, Azure Repos, Azure Pipelines, dan Azure Artifacts. Pengguna yang memerlukan akses untuk mengelola Paket Pengujian Azure perlu diberikan Paket Dasar + Pengujian atau Akses tingkat lanjut .

Grup keamanan berikut didefinisikan secara default untuk setiap proyek dan organisasi. Anda biasanya menambahkan pengguna atau grup ke grup Pembaca, Kontributor, atau Administrator Proyek.

Proyek	Organisasi atau Koleksi
- Administrator Pembangunan -Kontributor - Administrator Proyek - Pengguna Yang Valid Proyek - Pembaca - Administrator Rilis - TeamName Tim	- Pengelola Koleksi Proyek - Administrator Pembangunan Koleksi Proyek - Akun Layanan Pembangunan Koleksi Proyek - Layanan Akun Proksi untuk Koleksi Proyek - Akun Layanan Pengumpulan Proyek - Akun Layanan Uji Koleksi Proyek - Koleksi Pengguna Valid untuk Proyek Pengguna yang dicakup oleh proyek - Grup Layanan Keamanan

Untuk deskripsi masing-masing grup ini, lihat Grup keamanan, akun layanan, dan izin. Untuk penetapan izin default yang dibuat ke grup keamanan default yang paling sering digunakan, lihat Izin dan akses default.

Untuk pengguna yang bertugas mengelola fitur tingkat proyek seperti tim, jalur area dan iterasi, repositori, pengait layanan, dan titik akhir layanan, tambahkan mereka ke grup Administrator Proyek.

Untuk pengguna yang bertugas mengelola fitur tingkat organisasi atau koleksi—seperti, proyek, kebijakan, proses, kebijakan retensi, kumpulan agen dan penyebaran, dan ekstensi—tambahkan ke grup Administrator Koleksi Proyek. Untuk informasi selengkapnya, lihat Tentang pengaturan tingkat pengguna, tim, proyek, dan organisasi.

Keanggotaan, izin, dan manajemen tingkat akses

Azure DevOps mengontrol akses melalui tiga area fungsional yang saling terhubung ini:

• Manajemen keanggotaan mendukung penambahan akun pengguna dan grup individual ke kelompok keamanan default. Setiap grup default dikaitkan dengan sekumpulan izin default. Semua pengguna yang ditambahkan ke grup keamanan apa pun ditambahkan ke grup Pengguna Yang Valid. Pengguna yang valid adalah seseorang yang dapat tersambung ke proyek, koleksi, atau organisasi.
• Manajemen izin mengontrol akses ke tugas fungsional tertentu pada tingkat sistem yang berbeda. Izin tingkat objek menetapkan hak akses pada file, folder, pipeline build, atau kueri bersama. Pengaturan izin sesuai dengan Izinkan, Tolak, Izinkan yang diwariskan, Tolak yang diwariskan, Izinkan sistem, Tolak sistem, dan Tidak diatur.
• Manajemen tingkat akses mengontrol akses ke fitur portal web. Berdasarkan pembelian untuk pengguna, administrator menetapkan tingkat akses pengguna ke Stakeholder, Basic, Basic + Test, atau Visual Studio Enterprise (sebelumnya Advanced).

Setiap area fungsional menggunakan grup keamanan untuk menyederhanakan manajemen di seluruh penyebaran. Anda menambahkan pengguna dan grup melalui konteks administrasi web. Izin secara otomatis diatur berdasarkan grup keamanan tempat Anda menambahkan pengguna. Atau izin didasarkan pada objek, proyek, koleksi, atau tingkat server tempat Anda menambahkan grup.

Anggota grup keamanan dapat berupa kombinasi pengguna, grup lainnya, dan grup Microsoft Entra.

Direktori Aktif dan grup keamanan Microsoft Entra

Anda dapat mengisi grup keamanan dengan menambahkan pengguna individual. Namun, untuk kemudahan manajemen, lebih efisien untuk mengisi grup ini menggunakan ID Microsoft Entra untuk Azure DevOps Services dan grup pengguna Active Directory (AD) atau Windows untuk Azure DevOps Server. Pendekatan ini memungkinkan Anda mengelola keanggotaan grup dan izin secara lebih efektif di beberapa komputer.

Jika Anda hanya perlu mengelola sekumpulan kecil pengguna, Anda dapat melewati langkah ini. Namun, jika Anda mengantisipasi bahwa organisasi Anda mungkin tumbuh, pertimbangkan untuk menyiapkan Direktori Aktif atau ID Microsoft Entra. Selain itu, jika Anda berencana menggunakan layanan tambahan, penting untuk mengonfigurasi ID Microsoft Entra untuk digunakan dengan Azure DevOps untuk mendukung penagihan.

Catatan

Tanpa ID Microsoft Entra, semua pengguna Azure DevOps harus masuk menggunakan akun Microsoft, dan Anda harus mengelola akses akun oleh akun pengguna individual. Bahkan jika Anda mengelola akses akun menggunakan akun Microsoft, siapkan langganan Azure untuk mengelola tagihan.

Untuk menyiapkan ID Microsoft Entra untuk digunakan dengan Layanan Azure DevOps, lihat Menyambungkan organisasi Anda ke ID Microsoft Entra.

Saat organisasi Anda terhubung ke ID Microsoft Entra, Anda dapat menentukan dan mengelola berbagai kebijakan organisasi untuk meningkatkan keamanan dan menyederhanakan akses ke aplikasi. Untuk informasi selengkapnya, lihat Tentang keamanan, Kebijakan keamanan.

Untuk mengelola akses organisasi dengan ID Microsoft Entra, lihat artikel berikut ini:

• Menambahkan atau menghapus pengguna menggunakan Microsoft Entra ID
• Mengatasi masalah akses dengan Microsoft Entra ID

Azure DevOps mendaftarkan perubahan yang dibuat ke grup Microsoft Entra dalam waktu satu jam setelah perubahan tersebut di ID Microsoft Entra. Setiap izin yang diwariskan melalui keanggotaan grup akan diperbarui. Untuk menyegarkan keanggotaan Microsoft Entra dan izin yang diwariskan di Azure DevOps, keluar lalu masuk kembali, atau lakukan penyegaran untuk mengevaluasi kembali izin Anda.

Grup pengguna yang valid

Saat Anda menambahkan akun pengguna langsung ke grup keamanan, mereka secara otomatis ditambahkan ke salah satu grup pengguna yang valid berikut ini.

• Pengguna Valid pada Koleksi Proyek: Semua anggota yang ditambahkan ke dalam grup tingkat organisasi.
• Pengguna Valid Proyek: Semua anggota yang ditambahkan ke kelompok pada tingkat proyek.

Izin default yang ditetapkan ke grup ini terutama menyediakan akses baca, seperti Lihat sumber daya build, Lihat informasi tingkat proyek, dan Lihat informasi tingkat koleksi.

Semua pengguna yang Anda tambahkan ke satu proyek dapat melihat objek di proyek lain dalam koleksi. Untuk membatasi akses tampilan, Anda dapat mengatur pembatasan melalui simpul jalur area.

Jika Anda menghapus atau menolak izin Tampilkan informasi tingkat instans untuk salah satu grup Pengguna Valid, tidak ada anggota grup yang dapat mengakses proyek, koleksi, atau penyebaran, tergantung pada grup yang Anda tetapkan.

Grup pengguna yang dilingkup proyek

Secara default, pengguna yang ditambahkan ke organisasi dapat melihat semua informasi dan pengaturan organisasi dan proyek. Pengaturan ini mencakup daftar pengguna, daftar proyek, detail penagihan, data penggunaan, dan lainnya, yang dapat Anda akses melalui pengaturan Organisasi.

Untuk membatasi pengguna tertentu, seperti Pemangku Kepentingan, pengguna tamu Microsoft Entra, atau anggota grup keamanan tertentu, Anda dapat mengaktifkan fitur Batasi visibilitas dan kolaborasi pengguna ke pratinjau proyek tertentu untuk organisasi. Setelah diaktifkan, setiap pengguna atau grup yang ditambahkan ke grup Pengguna lingkup Proyek dibatasi untuk mengakses halaman pengaturan Organisasi, kecuali untuk Gambaran Umum dan Proyek. Selain itu, mereka hanya memiliki akses ke proyek yang ditambahkan.

Peringatan

Pertimbangkan batasan berikut saat menggunakan fitur pratinjau ini:

• Fitur visibilitas terbatas yang dijelaskan di bagian ini hanya berlaku untuk interaksi melalui portal web. Dengan perintah REST API atau azure devops CLI, anggota proyek dapat mengakses data yang dibatasi.
• Pengguna dalam grup terbatas hanya dapat memilih pengguna yang secara eksplisit ditambahkan ke Azure DevOps dan bukan pengguna yang memiliki akses melalui keanggotaan grup Microsoft Entra.
• Pengguna tamu yang merupakan anggota grup terbatas yang memiliki akses default di Microsoft Entra ID, tidak dapat mencari pengguna dengan alat pemilih pengguna.

Untuk informasi selengkapnya, lihat Mengelola fitur pratinjau.

Catatan

Grup keamanan dikelola di tingkat organisasi, meskipun digunakan untuk proyek tertentu. Bergantung pada izin pengguna, beberapa grup mungkin disembunyikan di portal web. Untuk melihat semua nama grup dalam organisasi, Anda dapat menggunakan alat Azure DevOps CLI atau REST API. Untuk informasi selengkapnya, lihat Menambahkan dan mengelola grup keamanan.

Hak akses berbasis peran

Dengan izin berbasis Peran, Anda menetapkan akun pengguna atau grup keamanan ke peran, dengan setiap peran diberi satu atau beberapa izin. Berikut adalah peran utama dan tautan ke informasi selengkapnya.

• Peran keamanan untuk umpan artefak atau paket: Peran-peran ini mendukung berbagai tingkat izin untuk mengedit dan mengelola umpan paket.
• Peran Manajer ekstensi Marketplace: Anggota peran Manajer dapat menginstal ekstensi dan menanggapi permintaan ekstensi yang akan diinstal.
• Peran keamanan jalur proses: Beberapa peran digunakan untuk mengelola sumber daya pustaka, sumber daya tingkat proyek, dan sumber daya tingkat koleksi.
• Peran administrator tim Administrator tim dapat mengelola semua alat tim.

Untuk informasi selengkapnya, lihat Tentang peran keamanan.

Gambar berikut menggambarkan bagaimana grup keamanan yang ditentukan di tingkat proyek dan koleksi dapat menetapkan izin ke objek, proyek, dan organisasi.

Anggota grup Administrator Proyek atau Administrator Koleksi Proyek dapat mengelola semua alat tim untuk semua tim.

Fitur pratinjau

Bendera fitur mengontrol akses ke fitur baru. Azure DevOps secara berkala memperkenalkan fitur baru di balik bendera fitur. Anggota proyek dan pemilik organisasi dapat mengaktifkan atau menonaktifkan fitur pratinjau. Untuk informasi selengkapnya, lihat Mengelola atau mengaktifkan fitur.

Langkah berikutnya

Izin dan akses default

Konten terkait

• Memecahkan masalah akses dan izin
• Pelajari tentang keamanan, autentikasi, dan otorisasi
• Izin referensi dan grup
• Menambahkan dan mengelola grup keamanan