Бөлісу құралы:

Обзор проверки подлинности

  • Мақала

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Выбор правильного метода проверки подлинности имеет решающее значение для безопасного доступа к репозиториям Azure Repos и Azure DevOps Server Git. Независимо от того, работаете ли вы из командной строки или используете клиент Git, поддерживающий протокол HTTPS или SSH, важно выбрать учетные данные, которые не только предоставляют необходимый доступ, но и ограничивают область действия, необходимую для выполнения задач.

Всегда отменяйте учетные данные, если они больше не требуются для обеспечения безопасности репозиториев. Этот подход обеспечивает гибкость работы с кодом безопасно и эффективно, а также защищает его от несанкционированного доступа.

Внимание

Azure DevOps не поддерживает проверку подлинности альтернативных учетных данных. Если вы по-прежнему используете альтернативные учетные данные, мы настоятельно рекомендуем переключиться на более безопасный метод проверки подлинности.

Сравнение проверки подлинности

Тип проверки подлинности Когда использовать Безопасный? простота настройки; Дополнительные средства
Личные маркеры доступа Вам нужно легко настроить учетные данные или настроить настраиваемые элементы управления доступом Очень безопасный (при использовании HTTPS) Легко Необязательный (диспетчеры учетных данных Git)
SSH Ключи SSH уже настроены или находятся в macOS или Linux Очень безопасная Средний уровень Пользователям Windows потребуются средства SSH, включенные в Git для Windows

Примечание.

Visual Studio 2019 версии 16.8 и более поздних версий предоставляют новое меню Git для управления рабочим процессом Git с меньшим переключением контекста, чем Team Explorer. Процедуры, предоставляемые в этой статье на вкладке Visual Studio, предоставляют сведения об использовании интерфейса Git, а также Team Explorer. Дополнительные сведения см . в параллельном сравнении Git и Team Explorer.

Личные маркеры доступа

Личные маркеры доступа (PATs) предоставляют доступ к Azure DevOps без использования имени пользователя и пароля напрямую. Срок действия этих маркеров позволяет ограничить область доступа к данным. Используйте PATS для проверки подлинности, если у вас нет ключей SSH, настроенных в системе, или необходимо ограничить разрешения, предоставленные учетными данными.

Дополнительные сведения см. в разделе "Использование личных маркеров доступа"

Создание маркеров с помощью диспетчера учетных данных Git

Диспетчер учетных данных Git — это необязательное средство, которое упрощает создание PATS при работе с Azure Repos. Войдите на веб-портал, создайте маркер и используйте маркер в качестве пароля при подключении к Azure Repos.

При установке диспетчера учетных данных создаются по запросу. Диспетчер учетных данных создает маркер в Azure DevOps и сохраняет его локально для использования с командной строкой Git или другим клиентом.

Примечание.

Текущие версии Git для Windows включают диспетчер учетных данных Git в качестве необязательной функции во время установки.

Выберите включить диспетчер учетных данных Git во время установки Git для Windows

Проверка подлинности ключа SSH

Проверка подлинности ключей с помощью SSH работает с помощью пары открытых и закрытых ключей, создаваемых на компьютере. Вы связываете открытый ключ с именем пользователя из Интернета. Azure DevOps шифрует данные, отправленные вам с помощью этого ключа при работе с Git. Вы расшифровываете данные на компьютере с закрытым ключом, который никогда не предоставляет общий доступ или отправляется по сети.

Анимированный GIF-файл с добавлением открытого ключа SSH в Azure DevOps

SSH — отличный вариант, если вы уже настроили его в системе, просто добавьте открытый ключ в Azure DevOps и клонируйте репозитории с помощью SSH. Если на компьютере нет SSH, вместо этого следует использовать PATS и HTTPS- это безопасно и проще настроить.

Дополнительные сведения см. в статье "Настройка SSH с помощью Azure DevOps".

OAuth

Используйте OAuth для создания маркеров для доступа к REST API. API учетных записей и профилей поддерживают только OAuth.