Tentang izin dan grup keamanan

Layanan Azure DevOps | Azure DevOps Server 2022 - Azure DevOps Server 2019

Dalam artikel ini, pelajari tentang tingkat akses dan izin melalui pewarisan, grup keamanan, peran, dan lainnya di Azure DevOps.

Untuk gambaran umum izin default, lihat Referensi cepat izin default.

Untuk informasi selengkapnya, lihat Praktik terbaik keamanan.

Tingkat akses

Semua pengguna Azure DevOps memiliki tingkat akses, yang memberikan atau membatasi akses ke fitur portal web tertentu.

Ada tiga tingkat akses utama: Stakeholder, Basic, dan Basic + Test Plans. Akses pemangku kepentingan menyediakan akses gratis ke sejumlah pengguna yang tidak terbatas ke serangkaian fitur terbatas. Untuk informasi selengkapnya, lihat referensi akses cepat pemangku kepentingan.

Untuk memberi pengguna akses ke manajemen portofolio Agile atau fitur manajemen kasus pengujian, ubah tingkat akses, bukan izin. Untuk informasi selengkapnya, lihat Tentang tingkat akses.

Izin

Semua pengguna di Azure DevOps termasuk dalam satu atau beberapa grup keamanan default. Grup keamanan mendapatkan izin yang ditetapkan yang Mengizinkan atau Menolak akses ke fitur atau tugas.

• Anggota mewarisi izin yang ditetapkan ke grup keamanan mereka.
• Izin ditentukan pada tingkat yang berbeda: organisasi/koleksi, proyek, atau objek.
• Beberapa izin dikelola melalui penetapan berbasis peran (misalnya, administrator tim, manajemen ekstensi, atau peran sumber daya alur).
• Administrator dapat menentukan grup keamanan kustom untuk mengelola izin untuk area fungsional yang berbeda.

Untuk informasi selengkapnya, lihat Praktik terbaik keamanan, Keamanan, dan grup pengguna.

Mengelola izin di Azure DevOps melibatkan dua grup utama: Administrator Koleksi Proyek dan Administrator Proyek.

Administrator Koleksi Proyek:

• Pegang otoritas tertinggi dalam organisasi atau koleksi proyek.
• Lakukan semua operasi untuk seluruh koleksi.
• Mengelola pengaturan, kebijakan, dan proses untuk organisasi.
• Membuat dan mengelola semua proyek dan ekstensi.

Administrator Proyek:

• Beroperasi di tingkat proyek.
• Kelola grup keamanan dan izin dari pengaturan Proyek di portal web.
• Kontributor menangani izin untuk objek tertentu yang mereka buat dalam proyek.

Status izin

Tetapkan izin untuk memberikan atau membatasi akses:

Pengguna atau grup memiliki izin:

• Izinkan
• Izinkan (diwariskan)
• Izinkan (sistem)

Pengguna atau grup tidak memiliki izin:

• Tolak
• Tolak (diwariskan)
• Tolak (sistem)
• Belum diatur

Status izin	Deskripsi
Izinkan	Secara eksplisit memberi pengguna untuk melakukan tugas tertentu, dan tidak diwariskan dari keanggotaan grup.
Izinkan (diwariskan)	Memberikan anggota grup untuk melakukan tugas tertentu.
Izinkan (sistem)	Memberikan izin yang lebih diutamakan sebelum izin pengguna. Tidak dapat diedarkan dan disimpan dalam database konfigurasi, tidak terlihat oleh pengguna.
Tolak	Secara eksplisit membatasi pengguna untuk melakukan tugas tertentu, dan tidak diwarisi dari keanggotaan grup. Untuk sebagian besar grup dan hampir semua izin, Tolak ambil alih Izinkan. Jika pengguna termasuk dalam dua grup, dan salah satunya memiliki izin tertentu yang diatur ke Tolak, pengguna tersebut tidak dapat melakukan tugas yang memerlukan izin tersebut meskipun mereka termasuk dalam grup yang memiliki izin yang diatur ke Izinkan.
Tolak (diwariskan)	Membatasi anggota grup untuk melakukan tugas tertentu. Mengambil alih Izinkan eksplisit.
Tolak (sistem)	Membatasi izin yang diutamakan sebelum izin pengguna. Tidak dapat diedarkan dan disimpan dalam database konfigurasi, tidak terlihat oleh pengguna.
Tidak diatur	Secara implisit menolak pengguna kemampuan untuk melakukan tugas yang memerlukan izin tersebut, tetapi memungkinkan keanggotaan dalam grup yang memiliki izin tersebut untuk diutamakan, juga dikenal sebagai Izinkan (diwariskan) atau Tolak (diwariskan).

Anggota grup Administrator Koleksi Proyek atau Administrator Team Foundation mungkin selalu menerima izin meskipun ditolak di grup lain. Contoh berikut menjelaskan skenario ini lebih lanjut:

• Pengguna mungkin masih mengakses pengaturan proyek atau mengelola pengguna. Namun, untuk tugas seperti penghapusan item kerja atau manajemen alur, menjadi anggota grup Administrator Koleksi Proyek tidak mengambil alih izin Tolak yang ditetapkan di tempat lain.
• Jika pengguna ditolak izin untuk menghapus item kerja dalam proyek tertentu, mereka tidak dapat menghapus item kerja meskipun mereka adalah bagian dari grup Administrator Koleksi Proyek. Demikian pula, jika izin alur ditolak, mereka tidak dapat mengelola atau menjalankan alur meskipun peran administratifnya.

Peringatan

Saat Anda mengubah izin untuk grup, izin tersebut memengaruhi semua pengguna dalam grup tersebut. Bahkan perubahan izin tunggal dapat berdampak pada ratusan pengguna, jadi sangat penting untuk mempertimbangkan potensi efek sebelum melakukan penyesuaian apa pun.

Pewarisan izin

Izin mengikuti hierarki, memungkinkan pewarisan dari simpul induk atau mengambil alihnya.

Pewarisan grup:

• Pengguna mewarisi izin dari grup tempat mereka berada.
• Jika pengguna memiliki izin Izinkan secara langsung atau melalui keanggotaan grup tetapi juga memiliki izin Tolak melalui grup lain, izin Tolak diutamakan.
• Anggota Administrator Koleksi Proyek atau Administrator Team Foundation mempertahankan izin yang paling diizinkan, bahkan jika mereka termasuk dalam grup lain yang menolak izin tersebut (kecuali untuk operasi item kerja).

Pewarisan tingkat objek:

Izin tingkat objek, yang ditetapkan ke simpul seperti area, iterasi, folder kontrol versi, dan folder kueri item kerja, diwariskan ke hierarki.

Pewarisan izin dan aturan kekhususan:

• Izin eksplisit selalu diutamakan daripada yang diwariskan.
• Izin yang ditetapkan pada node tingkat yang lebih tinggi diwariskan oleh semua subnode kecuali ditimpa secara eksplisit.
• Jika izin tidak diizinkan atau ditolak secara eksplisit untuk subnode, izin tersebut akan mewarisi izin dari induknya.
• Jika izin secara eksplisit diatur untuk subnode, izin induk tidak diwariskan, terlepas dari apakah diizinkan atau ditolak.

Kekhususan:

Dalam hierarki objek, kekhususan mewarisi warisan. Izin yang paling spesifik diutamakan jika ada izin yang bertentangan.

Contoh:

• Tolak secara eksplisit pada 'area-1' (node induk).
• Izinkan secara eksplisit untuk 'area-1/sub-area-1' (simpul anak).
• Dalam hal ini, pengguna menerima Izinkan pada 'area-1/sub-area-1', mengambil alih Tolak yang diwariskan dari simpul induk.

Untuk memahami mengapa izin diwariskan, Anda dapat menjeda pengaturan izin, lalu pilih Mengapa? Untuk membuka halaman Keamanan , lihat Menampilkan izin.

Catatan

Untuk mengaktifkan halaman pratinjau halaman Pengaturan Izin Proyek, lihat Mengaktifkan fitur pratinjau.

Halaman pratinjau

Dialog baru terbuka yang memperlihatkan informasi pewarisan untuk izin tersebut.

Halaman saat ini

Jendela baru memperlihatkan informasi pewarisan untuk izin tersebut.

Grup keamanan dan keanggotaan

Grup keamanan menetapkan izin tertentu kepada anggota mereka.

Dengan pembuatan organisasi, koleksi, atau proyek—Azure DevOps membuat sekumpulan grup keamanan default, yang secara otomatis diberi izin default. Lebih banyak grup keamanan didefinisikan dengan tindakan berikut:

• Saat Anda membuat grup keamanan kustom di tingkat berikut:
  • Tingkat proyek
  • Tingkat organisasi atau koleksi
  • Tingkat server (hanya lokal)
• Saat Anda menambahkan tim, grup keamanan tim akan dibuat

Anda tidak dapat membuat grup keamanan tingkat objek, tetapi Anda bisa menetapkan grup kustom ke tingkat objek dan menetapkan izin ke tingkat tersebut. Untuk informasi selengkapnya, lihat Mengatur izin tingkat objek.

Grup keamanan default

Sebagian besar pengguna Azure DevOps ditambahkan ke grup keamanan Kontributor dan memberikan tingkat akses Dasar . Grup Kontributor menyediakan akses baca dan tulis ke repositori, pelacakan kerja, alur, dan lainnya. Akses dasar menyediakan akses ke semua fitur dan tugas untuk menggunakan Azure Boards, Azure Repos, Azure Pipelines, dan Azure Artifacts. Pengguna yang memerlukan akses untuk mengelola Paket Pengujian Azure perlu diberikan Paket Dasar + Pengujian atau Akses tingkat lanjut .

Grup keamanan berikut didefinisikan secara default untuk setiap proyek dan organisasi. Anda biasanya menambahkan pengguna atau grup ke grup Pembaca, Kontributor, atau Administrator Proyek.

Project	Organisasi atau Koleksi
- Administrator Build -Kontributor - Administrator Proyek - Pengguna Yang Valid Proyek -Pembaca - Administrator Rilis - TeamName Team	- Administrator Koleksi Proyek - Administrator Build Koleksi Proyek - Akun Layanan Build Koleksi Proyek - Akun Layanan Proksi Koleksi Proyek - Akun Layanan Koleksi Proyek - Akun Layanan Uji Koleksi Proyek - Pengumpulan Proyek Pengguna yang Valid - Pengguna cakupan proyek - Grup Layanan Keamanan

Untuk deskripsi masing-masing grup ini, lihat Grup keamanan, akun layanan, dan izin. Untuk penetapan izin default yang dibuat ke grup keamanan default yang paling umum, lihat Izin dan akses default.

Untuk pengguna yang bertugas mengelola fitur tingkat proyek—seperti, tim, jalur area dan iterasi, repositori, hook layanan, dan titik akhir layanan—tambahkan ke grup Administrator Proyek.

Untuk pengguna yang bertugas mengelola fitur tingkat organisasi atau koleksi—seperti, proyek, kebijakan, proses, kebijakan retensi, kumpulan agen dan penyebaran, dan ekstensi—tambahkan ke grup Administrator Koleksi Proyek. Untuk informasi selengkapnya, lihat Tentang pengaturan tingkat pengguna, tim, proyek, dan organisasi.

Keanggotaan, izin, dan manajemen tingkat akses

Azure DevOps mengontrol akses melalui tiga area fungsional yang saling terhubung ini:

• Manajemen keanggotaan mendukung penambahan akun pengguna dan grup individual ke kelompok keamanan default. Setiap grup default dikaitkan dengan sekumpulan izin default. Semua pengguna yang ditambahkan ke grup keamanan apa pun ditambahkan ke grup Pengguna Yang Valid. Pengguna yang valid adalah seseorang yang dapat tersambung ke proyek, koleksi, atau organisasi.
• Manajemen izin mengontrol akses ke tugas fungsional tertentu pada tingkat sistem yang berbeda. Izin tingkat objek mengatur izin pada file, folder, alur build, atau kueri bersama. Pengaturan izin sesuai dengan Izinkan, Tolak, Izinkan diwariskan, Penolakan yang diwariskan, Izin sistem, Penolakan sistem, dan Tidak diatur.
• Manajemen tingkat akses mengontrol akses ke fitur portal web. Berdasarkan dibeli untuk pengguna, administrator mengatur tingkat akses pengguna ke Stakeholder, Basic, Basic + Test, atau Visual Studio Enterprise (sebelumnya Advanced).

Setiap area fungsional menggunakan grup keamanan untuk menyederhanakan manajemen di seluruh penyebaran. Anda menambahkan pengguna dan grup melalui konteks administrasi web. Izin secara otomatis diatur berdasarkan grup keamanan tempat Anda menambahkan pengguna. Atau izin didasarkan pada objek, proyek, koleksi, atau tingkat server tempat Anda menambahkan grup.

Anggota grup keamanan dapat berupa kombinasi pengguna, grup lainnya, dan grup Microsoft Entra.

Direktori Aktif dan grup keamanan Microsoft Entra

Anda dapat mengisi grup keamanan dengan menambahkan pengguna individual. Namun, untuk kemudahan manajemen, lebih efisien untuk mengisi grup ini menggunakan ID Microsoft Entra untuk Azure DevOps Services dan grup pengguna Active Directory (AD) atau Windows untuk Azure DevOps Server. Pendekatan ini memungkinkan Anda mengelola keanggotaan grup dan izin secara lebih efektif di beberapa komputer.

Jika Anda hanya perlu mengelola sekumpulan kecil pengguna, Anda dapat melewati langkah ini. Namun, jika Anda mengantisipasi bahwa organisasi Anda mungkin tumbuh, pertimbangkan untuk menyiapkan Direktori Aktif atau ID Microsoft Entra. Selain itu, jika Anda berencana menggunakan layanan tambahan, penting untuk mengonfigurasi ID Microsoft Entra untuk digunakan dengan Azure DevOps untuk mendukung penagihan.

Catatan

Tanpa ID Microsoft Entra, semua pengguna Azure DevOps harus masuk menggunakan akun Microsoft, dan Anda harus mengelola akses akun oleh akun pengguna individual. Bahkan jika Anda mengelola akses akun menggunakan akun Microsoft, siapkan langganan Azure untuk mengelola tagihan.

Untuk menyiapkan ID Microsoft Entra untuk digunakan dengan Layanan Azure DevOps, lihat Menyambungkan organisasi Anda ke ID Microsoft Entra.

Saat organisasi Anda terhubung ke ID Microsoft Entra, Anda dapat menentukan dan mengelola berbagai kebijakan organisasi untuk meningkatkan keamanan dan menyederhanakan akses ke aplikasi. Untuk informasi selengkapnya, lihat Tentang keamanan, Kebijakan keamanan.

Untuk mengelola akses organisasi dengan ID Microsoft Entra, lihat artikel berikut ini:

• Menambahkan atau menghapus pengguna menggunakan Microsoft Entra ID
• Memecahkan masalah akses dengan ID Microsoft Entra

Azure DevOps mendaftarkan perubahan yang dibuat ke grup Microsoft Entra dalam waktu satu jam setelah perubahan tersebut di ID Microsoft Entra. Setiap izin yang diwariskan melalui keanggotaan grup akan disegarkan. Untuk me-refresh keanggotaan Microsoft Entra dan izin yang diwariskan di Azure DevOps, keluar lalu masuk kembali, atau picu refresh untuk mengevaluasi kembali izin Anda.

Grup pengguna yang valid

Saat Anda menambahkan akun pengguna langsung ke grup keamanan, mereka secara otomatis ditambahkan ke salah satu grup pengguna yang valid berikut ini.

• Pengguna Valid Koleksi Proyek: Semua anggota ditambahkan ke grup tingkat organisasi.
• Pengguna Valid Proyek: Semua anggota ditambahkan ke grup tingkat proyek.

Izin default yang ditetapkan ke grup ini terutama menyediakan akses baca, seperti Lihat sumber daya build, Lihat informasi tingkat proyek, dan Lihat informasi tingkat koleksi.

Semua pengguna yang Anda tambahkan ke satu proyek dapat melihat objek di proyek lain dalam koleksi. Untuk membatasi akses tampilan, Anda dapat mengatur pembatasan melalui simpul jalur area.

Jika Anda menghapus atau menolak izin Tampilkan informasi tingkat instans untuk salah satu grup Pengguna Valid, tidak ada anggota grup yang dapat mengakses proyek, koleksi, atau penyebaran, tergantung pada grup yang Anda tetapkan.

Grup pengguna yang dilingkup proyek

Secara default, pengguna yang ditambahkan ke organisasi dapat melihat semua informasi dan pengaturan organisasi dan proyek. Pengaturan ini mencakup daftar pengguna, daftar proyek, detail penagihan, data penggunaan, dan lainnya, yang dapat Anda akses melalui pengaturan Organisasi.

Penting

• Fitur visibilitas terbatas yang dijelaskan di bagian ini hanya berlaku untuk interaksi melalui portal web. Dengan perintah REST API atau azure devops CLI, anggota proyek dapat mengakses data yang dibatasi.
• Pengguna tamu yang merupakan anggota dalam grup terbatas dengan akses default di ID Microsoft Entra, tidak dapat mencari pengguna dengan pemilih orang. Saat fitur pratinjau dinonaktifkan untuk organisasi, atau saat pengguna tamu bukan anggota grup terbatas, pengguna tamu dapat mencari semua pengguna Microsoft Entra, seperti yang diharapkan.

Untuk membatasi pengguna tertentu, seperti Pemangku Kepentingan, pengguna tamu Microsoft Entra, atau anggota grup keamanan tertentu, Anda dapat mengaktifkan fitur Batasi visibilitas dan kolaborasi pengguna ke pratinjau proyek tertentu untuk organisasi. Setelah diaktifkan, setiap pengguna atau grup yang ditambahkan ke grup Pengguna lingkup Proyek dibatasi untuk mengakses halaman pengaturan Organisasi, kecuali untuk Gambaran Umum dan Proyek. Selain itu, mereka hanya memiliki akses ke proyek yang ditambahkan.

Peringatan

Mengaktifkan fitur Batasi visibilitas dan kolaborasi pengguna ke pratinjau proyek tertentu mencegah pengguna cakupan proyek mencari pengguna yang ditambahkan ke organisasi melalui keanggotaan grup Microsoft Entra, bukan melalui undangan pengguna eksplisit. Ini adalah perilaku tak terduga, dan resolusi sedang berlangsung. Untuk mengatasi masalah ini, nonaktifkan fitur Batasi visibilitas dan kolaborasi pengguna ke pratinjau proyek tertentu untuk organisasi.

Untuk informasi selengkapnya, lihat Mengelola fitur pratinjau.

Catatan

Grup keamanan dikelola di tingkat organisasi, bahkan jika mereka digunakan untuk proyek tertentu. Bergantung pada izin pengguna, beberapa grup mungkin disembunyikan di portal web. Untuk melihat semua nama grup dalam organisasi, Anda dapat menggunakan alat Azure DevOps CLI atau REST API kami. Untuk informasi selengkapnya, lihat Menambahkan dan mengelola grup keamanan.

Izin berbasis peran

Dengan izin berbasis Peran, Anda menetapkan akun pengguna atau grup keamanan ke peran, dengan setiap peran diberi satu atau beberapa izin. Berikut adalah peran utama dan tautan ke informasi selengkapnya.

• Peran keamanan umpan artefak atau paket: Peran mendukung berbagai tingkat izin untuk mengedit dan mengelola umpan paket.
• Peran Manajer ekstensi Marketplace: Anggota peran Manajer dapat menginstal ekstensi dan menanggapi permintaan ekstensi yang akan diinstal.
• Peran keamanan alur: Beberapa peran digunakan untuk mengelola sumber daya pustaka, sumber daya alur tingkat proyek, dan tingkat koleksi.
• Peran administrator tim Administrator tim dapat mengelola semua alat tim.

Untuk informasi selengkapnya, lihat Tentang peran keamanan.

Gambar berikut menggambarkan bagaimana grup keamanan yang ditentukan di tingkat proyek dan koleksi dapat menetapkan izin ke objek, proyek, dan organisasi.

Anggota grup Administrator Proyek atau Administrator Koleksi Proyek dapat mengelola semua alat tim untuk semua tim.

Fitur pratinjau

Bendera fitur mengontrol akses ke fitur baru. Azure DevOps secara berkala memperkenalkan fitur baru di balik bendera fitur. Anggota proyek dan pemilik organisasi dapat mengaktifkan atau menonaktifkan fitur pratinjau. Untuk informasi selengkapnya, lihat Mengelola atau mengaktifkan fitur.

Langkah berikutnya

Izin dan akses default

Artikel terkait

• Memecahkan masalah akses dan izin
• Pelajari tentang keamanan, autentikasi, dan otorisasi
• Izin referensi dan grup
• Menambahkan dan mengelola grup keamanan