Azure DevOps Servicesの資格情報を格納する方法

Azure DevOps Services

重要

Azure DevOps では、2020 年 3 月 2 日以降、代替資格情報認証はサポートされなくなりました。 まだ代替資格情報を使用している場合は、より安全な認証方法 (個人用アクセス トークンなど) に切り替えることを強くお勧めします。 詳細については、こちらを参照してください。

資格情報のセキュリティ

Microsoft は、例外なく、プロジェクトを安全かつ安全に保つよう取り組んでいます。 Azure DevOps では、セキュリティとガバナンスのテクノロジ、運用プラクティス、コンプライアンス ポリシーの複数のレイヤーからプロジェクトのメリットが得られます。 保存時と転送中の両方で、データのプライバシーと整合性を適用します。 さらに、Azure DevOps が格納する資格情報またはシークレットに関しては、次のプラクティスに従います。 適切な認証メカニズムを選択する方法の詳細については、「 認証のガイダンス」を参照してください。

個人用アクセス トークン (PAT)

• PAT のハッシュを格納します
• 生 PAT は、RNGCryptoServiceProvider を介してランダムに生成された 32 バイトとしてサーバー側でメモリ内に生成され、base-32 でエンコードされた文字列として呼び出し元と共有されます。 この値は格納されません
• PAT ハッシュは、キー コンテナーに格納されている 64 バイトの対称署名キーを使用して、生の PAT の HMACSHA256Hash としてサーバー側でメモリ内で生成されます
• ハッシュはデータベースに格納されます

Secure Shell (SSH) キー

• 外側のorganization ID と SSH 公開キーのハッシュを格納します
• 生の公開キーは、SSL 経由で呼び出し元によって直接提供されます
• SSH ハッシュは、キー コンテナーに格納されている 64 バイトの対称署名キーを使用して、organization ID と生公開キーの HMACSHA256Hash としてサーバー側でメモリ内に生成されます
• ハッシュはデータベースに格納されます

OAuth 資格情報 (JWT)

• これらは完全に自己記述型の JSON Web トークン (JWT) として発行され、サービスに格納されません
• サービスに発行および提示される JWT の要求は、キー コンテナーに格納されている証明書を使用して検証されます