Azure DevOps Services の資格情報を格納する方法

Azure DevOps Services

重要

Azure DevOps では、代替資格情報認証はサポートされていません。 代替資格情報をまだ使用している場合は、より安全な認証方法に切り替えるよう強くお勧めします。

資格情報のセキュリティ

Microsoft は、プロジェクトを安全かつ安全な状態に保つよう、例外なく取り組んでいます。 Azure DevOps では、複数レイヤーのセキュリティとガバナンス テクノロジ、運用プラクティス、コンプライアンス ポリシーを利用できます。 保存時と転送中の両方で、データのプライバシーと整合性を適用します。 さらに、Azure DevOps が格納する資格情報またはシークレットに関して、次のプラクティスに従います。 適切な認証メカニズムを選択する方法の詳細については、「認証の ガイドを参照してください。

個人用アクセス トークン (AT)

• PAT のハッシュを格納します。
• Raw PAT は、RNGCryptoServiceProvider によってランダムに生成された 32 バイトとしてサーバー側でメモリ内に生成され、base-32 でエンコードされた文字列として呼び出し元と共有されます。 この値は格納されません
• PAT ハッシュは、キー コンテナーに格納されている 64 バイトの対称署名キーを使用して、生 PAT の HMACSHA256Hash としてサーバー側でメモリ内に生成されます
• ハッシュはデータベースに格納されます

Secure Shell (SSH) キー

• 外側の組織 ID と SSH 公開キーのハッシュを格納します
• 生の公開キーは、SSL 経由で呼び出し元によって直接提供されます
• SSH ハッシュは、キー コンテナーに格納されている 64 バイトの対称署名キーを使用して、組織 ID と未加工の公開キーの HMACSHA256Hash としてサーバー側でメモリ内に生成されます
• ハッシュはデータベースに格納されます

OAuth 資格情報 (JWT)

• これらは完全に自己記述型の JSON Web トークン (JWT) として発行され、サービスに格納されません
• サービスに発行および提示される JWT の要求は、キー コンテナーに格納されている証明書を使用して検証されます