서비스 후크에서 그룹에 대한 보기 권한 설정

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

이 문서에서는 Azure DevOps에서 서비스 후크에 대한 보기 또는 편집 권한을 부여하는 방법을 설명합니다. 기본적으로 프로젝트 관리자만 이러한 권한을 갖습니다. 다른 사용자 또는 그룹에 할당하려면 명령줄 도구 또는 보안 REST API를 사용합니다.

ServiceHooks 보안 네임스페이스 ID는 목록 보안 네임스페이스 아래에 정의됩니다.

필수 조건

범주	요구 사항
프로젝트 액세스	프로젝트 멤버.
사용 권한	- 프로젝트 컬렉션 관리자 그룹멤버입니다. 조직 소유자는 자동으로 이 그룹의 구성원입니다. - Azure DevOps 프로필에 대한 Microsoft Entra 토큰 또는 PAT(개인용 액세스 토큰)입니다. >[! 중요] > 위험 수준이 높은 개인용 액세스 토큰보다 더 안전한 Microsoft Entra 토큰을 사용하는 것이 좋습니다. PAT 사용량을 줄이기 위한 노력에 대해 자세히 알아보세요. > 인증 지침을 검토하여 요구 사항에 적합한 인증 메커니즘을 선택합니다.
도구	Azure CLI 1. az devops login사용하여 로그인합니다. 2. 조직을 기본 조직으로 정의할 수 있습니다. 그렇지 않으면 각 명령에 대해 정의 --org "https://dev.azure.com/{organization}" 합니다. az devops configure --defaults organization="https://dev.azure.com/{organization}" 3. 조직의 사용 권한 목록을 볼 수 있는지 확인합니다. az devops security permission namespace list --org "https://dev.azure.com/{organization}".

그룹 ID 및 권한 토큰 읽기

1. 그룹 ID 설명자를 찾습니다.

   > az devops security group list --project 00000000-0000-0000-0000-000000000000 --output table
   
   Name                                             Descriptor
   -----------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
   [TEAM FOUNDATION]\EntraServiceHooksRead          Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2
   

   그룹 이름으로 필터링하려는 경우 명령 프롬프트에 따라 명령을 사용하거나 findstr 명령을 사용할 grep 수 있습니다.

2. 권한 토큰을 가져옵니다.

   > az devops security permission list --id 00000000-0000-0000-0000-000000000000 --subject <Group or user descriptor> --output table
   
   Token                                                   Effective Allow    Effective Deny
   ------------------------------------------------------  -----------------  ----------------
   PublisherSecurity                                       0                  0
   PublisherSecurity/00000000-0000-0000-0000-000000000000  0                  0
   

서비스 후크에 대한 읽기 권한 업데이트

1. 에 대해 정의할 수 있는 사용 권한 목록입니다 --allow-bit.

   • 구독 보기
   • 구독 편집
   • 구독 삭제
   • 이벤트 게시

   > az devops security permission namespace show --id 00000000-0000-0000-0000-000000000000
     {
       "actions": [
         {
           "bit": 1,
           "displayName": "View Subscriptions",
           "name": "ViewSubscriptions",
           "namespaceId": "00000000-0000-0000-0000-000000000000"
         },
         {
           "bit": 2,
           "displayName": "Edit Subscription",
           "name": "EditSubscriptions",
           "namespaceId": "00000000-0000-0000-0000-000000000000"
         },
         {
           "bit": 4,
           "displayName": "Delete Subscriptions",
           "name": "DeleteSubscriptions",
           "namespaceId": "00000000-0000-0000-0000-000000000000"
         },
         {
           "bit": 8,
           "displayName": "Publish Events",
           "name": "PublishEvents",
           "namespaceId": "00000000-0000-0000-0000-000000000000"
         }
       ],
       "dataspaceCategory": "Default",
       "displayName": "ServiceHooks",
       "elementLength": -1,
       "extensionType": null,
       "isRemotable": true,
       "name": "ServiceHooks",
       "namespaceId": "00000000-0000-0000-0000-000000000000",
       "readPermission": 1,
       "separatorValue": "/",
       "structureValue": 1,
       "systemBitMask": 0,
       "useTokenTranslator": true,
       "writePermission": 7
     }
   

2. 그룹에 대한 보기 액세스를 설정합니다. View ServiceHooks Subscriptions equals equals 1 for --allow-bit.

   > az devops security permission update --namespace-id 00000000-0000-0000-0000-000000000000 --subject <Group or user descriptor> --token PublisherSecurity/00000000-0000-0000-0000-000000000000 --allow-bit 1
   
   [
     {
       "acesDictionary": {
         "Microsoft.TeamFoundation.Identity;00000000-0000-0000-0000-000000000000": {
           "allow": 1,
           "deny": 0,
           "descriptor": "Microsoft.TeamFoundation.Identity;00000000-0000-0000-0000-000000000000",
           "extendedInfo": {
             "effectiveAllow": 1
           },
           "resolvedPermissions": [
             {
               "bit": 1,
               "displayName": "View Subscriptions",
               "effectivePermission": "Allow",
               "name": "ViewSubscriptions"
             }
           ]
         }
       },
       "includeExtendedInfo": true,
       "inheritPermissions": true,
       "token": "PublisherSecurity/00000000-0000-0000-0000-000000000000"
     }
   ]
   

3. 변경 내용을 볼 수 있는 권한 토큰을 가져옵니다.

   > az devops security permission list --id 00000000-0000-0000-0000-000000000000 --subject <Group or user descriptor> --output table
   
   Token                                                   Effective Allow    Effective Deny
   ------------------------------------------------------  -----------------  ----------------
   PublisherSecurity                                       0                  0
   PublisherSecurity/00000000-0000-0000-0000-000000000000  1                  0
   

다음 예제에서는 사용자가 서비스 후크 구독을 볼 수 있음을 보여 줍니다.

그룹의 모든 서비스 후크 사용 권한 다시 설정

• 그룹 또는 사용자의 모든 서비스 후크 권한을 다시 설정해야 하는 경우 호출 reset-all할 수 있습니다.

  > az devops security permission reset-all --id 00000000-0000-0000-0000-000000000000 --subject <Group or user descriptor> --token PublisherSecurity/00000000-0000-0000-0000-000000000000
  
  Are you sure you want to reset all explicit permissions for this user/group and token? (y/n): Y
  true
  
  > az devops security permission list --id 00000000-0000-0000-0000-000000000000 --subject <Group or user descriptor> --output table
  Token                                                   Effective Allow    Effective Deny
  ------------------------------------------------------  -----------------  ----------------
  PublisherSecurity                                       0                  0
  PublisherSecurity/00000000-0000-0000-0000-000000000000  0                  0
  

• 다음 예제에서는 사용 권한이 다시 설정되면 사용자가 서비스 후크 구독을 볼 수 없다는 것을 보여 줍니다.