Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure DevOps Server |Azure DevOps Server |Azure DevOps Server 2022 | Azure DevOps Server 2020
Als u Azure DevOps Server effectief wilt implementeren en beheren, moet u begrijpen hoe het werkt en communiceert met andere implementatieonderdelen. Als Azure DevOps-beheerder moet u bekend zijn met Windows-verificatie, netwerkprotocollen en -verkeer en de structuur van het bedrijfsnetwerk waarop Azure DevOps is geïnstalleerd. U moet ook inzicht hebben in Azure DevOps-groepen en -machtigingen.
Wellicht vindt u het ook nuttig als u begrip van SQL Server, SQL Server Reporting Services en SharePoint-producten heeft.
U kunt Azure DevOps Server beter plannen, implementeren en beheren als u de onderdelen en termen begrijpt die in dit artikel worden beschreven.
Analyseservice
De Analytics-service is het rapportageplatform van de toekomst voor Azure DevOps. Het is momenteel beschikbaar in Azure DevOps Services en kan worden geïnstalleerd vanuit Azure DevOps Marketplace op Azure DevOps Server. Raadpleeg Wat is de Analyticsservice? voor meer informatie.
Toepassingslaag, gegevenslaag en clientlaag
De logische lagen die Azure DevOps Server vormen. Deze lagen kunnen allemaal op dezelfde fysieke computer worden geïmplementeerd of op meerdere computers worden geïnstalleerd. Zie architectuuroverzicht voor Azure DevOps Server voor meer informatie.
Projectverzameling
De primaire organisatie-eenheid voor alle gegevens in Azure DevOps Server. Verzamelingen bepalen welke resources beschikbaar zijn voor de projecten die eraan zijn toegevoegd. Deze resources omvatten mogelijk SQL Server Reporting Services, Code Search, Marketplace-extensies en meer. Zie Projectverzamelingen beheren voor meer informatie.
Project
Een centraal punt voor uw team om teamactiviteiten te delen die nodig zijn om een specifieke softwaretechnologie of product te ontwikkelen. Projecten worden ingedeeld in projectverzamelingen. Zie Over projecten en het schalen van uw organisatie voor meer informatie.
Azure DevOps Server Administration Console
Het gecentraliseerde beheerprogramma voor Azure DevOps Server-beheerders voor het configureren en beheren van resources. Zie Snelzoekgids voor beheertaken voor meer informatie.
Serviceaccounts
Het account of de accounts waarmee de webservices en toepassingen worden beheerd door Azure DevOps. Azure DevOps Server vereist dat serviceaccounts bewerkingen uitvoeren op servers en webservices. Deze serviceaccounts hebben specifieke vereisten. Zie Serviceaccounts en afhankelijkheden in Azure DevOps Server voor meer informatie.
SharePoint-producten
Software die ondersteuning biedt voor projectportals en dashboards. U kunt een of meer SharePoint-webtoepassingen opnemen als onderdeel van uw implementatie van Azure DevOps Server. Als u een van deze toepassingen wilt opnemen, moet u Azure DevOps Server-extensies voor SharePoint-producten installeren en configureren en moet u machtigingen configureren voor de implementatie. Zie Informatie delen met behulp van de projectportal voor meer informatie. Integratie met SharePoint-producten is afgeschaft voor TFS 2018 en latere versies.
SQL Server en SQL Server Reporting Services
Software die een databaseplatform biedt voor datawarehousing en een business intelligence-platform voor gegevensintegratie, analyse en rapportageoplossingen. Azure DevOps Server slaat de gegevens op in SQL Server-databases. U kunt eventueel ook een server opnemen waarop SQL Server Reporting Services wordt uitgevoerd en waarmee automatisch rapporten voor projecten worden gegenereerd. Voor meer informatie, zie Rapporten beheren, Data Warehouse en Analysis Services-kubus.
Beveiligingsconcepten
Als u de beveiliging van Azure DevOps Server wilt optimaliseren, moet u de volgende concepten begrijpen:
- Topologie, waaronder waar en hoe servers waarop onderdelen van Azure DevOps worden uitgevoerd, het netwerkverkeer dat wordt doorgegeven tussen Azure DevOps Server en Azure DevOps-clients, en de services die moeten worden uitgevoerd op Azure DevOps Server.
- Verificatie, waaronder de bepaling van de geldigheid van gebruikers, groepen en services in Azure DevOps Server.
- Autorisatie, waaronder de bepaling of geldige gebruikers, groepen en services in Azure DevOps Server over de juiste machtigingen beschikken om specifieke acties uit te voeren.
U moet ook rekening houden met de andere onderdelen en services waarvan Azure DevOps Server afhankelijk is.
Wanneer u de beveiliging voor Azure DevOps Server overweegt, moet u het verschil tussen verificatie en autorisatie begrijpen. Authenticatie is de verificatie van de referenties van een verbindingspoging vanaf een client, server of proces. Autorisatie is de verificatie dat de identiteit die verbinding probeert te maken, machtigingen heeft voor toegang tot het object of de methode. Autorisatie vindt alleen plaats na geslaagde verificatie. Als een verbinding niet is geverifieerd, mislukt deze voordat autorisatiecontrole wordt uitgevoerd. Als de verificatie van een verbinding slaagt, is een specifieke actie mogelijk nog steeds niet toegestaan omdat de gebruiker of groep niet is gemachtigd om die actie uit te voeren.
Topologieën, poorten en diensten
Het eerste element van implementatie en beveiliging voor Azure DevOps Server is of de onderdelen van uw implementatie verbinding met elkaar kunnen maken om te communiceren. Het doel is om verbindingen tussen Azure DevOps-clients en Azure DevOps Server in te schakelen en andere verbindingspogingen te beperken of te voorkomen.
Azure DevOps Server is afhankelijk van bepaalde poorten en services, zodat deze kan functioneren. U kunt deze poorten beveiligen en bewaken om te voldoen aan de bedrijfsbeveiligingsbehoeften. U moet toestaan dat netwerkverkeer voor Azure DevOps Server plaatsvindt tussen Azure DevOps-clients, de servers die de logische componenten van de toepassingslaag en de gegevenslaag hosten, de computers die Team Foundation Build ondersteunen, en externe clients die Azure DevOps Proxy Server gebruiken. Azure DevOps Server is standaard geconfigureerd voor het gebruik van HTTP voor de webservices. Zie de Azure DevOps Server-architectuur voor een volledige lijst met poorten en services die door Azure DevOps Server worden gebruikt en hoe ze worden gebruikt in de architectuur.
U kunt Azure DevOps Server implementeren in een Active Directory-domein of in een werkgroep. Active Directory biedt meer ingebouwde beveiligingsfuncties dan werkgroepen bieden. U kunt Active Directory-functies gebruiken om uw implementatie van Azure DevOps Server te beveiligen. U kunt bijvoorbeeld Active Directory configureren om dubbele computernamen te voorkomen, zodat een kwaadwillende gebruiker de computernaam niet kan spoofen met een rogue server waarop Azure DevOps Server wordt uitgevoerd. Als u hetzelfde soort bedreiging in een werkgroep wilt beperken, moet u computercertificaten configureren.
Ongeacht of u Azure DevOps Server implementeert in een werkgroep of een domein, moet u voldoen aan bepaalde beperkingen die zijn opgelegd door de vereisten van Azure DevOps Server zelf. Voor meer informatie over topologieën voor Azure DevOps Server, zie A Simple Azure DevOps Server Topology, A Moderate Azure DevOps Server Topology, A Complex Azure DevOps Server Topology, Understanding Windows SharePoint Services en Understanding SQL Server and SQL Server Reporting Services.
Authenticatie
Beveiliging voor Azure DevOps Server is geïntegreerd met en is afhankelijk van geïntegreerde Windows-verificatie en de beveiligingsfuncties van het Windows-besturingssysteem. U kunt geïntegreerde Windows-verificatie gebruiken om accounts te verifiëren voor verbindingen tussen Azure DevOps-clients en Azure DevOps Server, voor webservices op de servers waarop de logische toepassing en gegevenslagen worden gehost, en voor verbindingen tussen servers in de toepassingslaag en de gegevenslaag zelf.
Opmerking
U kunt Azure DevOps Server zo configureren dat Kerberos wordt ondersteund voor wederzijdse verificatie van zowel de client als de server nadat u Azure DevOps Server hebt geïnstalleerd.
U moet geen SQL Server-databaseverbindingen tussen Azure DevOps Server en SharePoint-producten configureren voor het gebruik van SQL Server-verificatie, omdat deze niet zo veilig is als Windows-verificatie. Wanneer u de database verbindt, worden de gebruikersnaam en het wachtwoord van het databasebeheerdersaccount in een niet-versleuteld formaat verzonden. Geïntegreerde Windows-verificatie verzendt de gebruikersnaam en het wachtwoord niet. In plaats daarvan worden geïntegreerde verificatiebeveiligingsprotocollen van Windows gebruikt om identiteitsgegevens van het serviceaccount over te dragen die zijn gekoppeld aan de iis-toepassingsgroep (Internet Information Services) van de host naar SQL Server.
Machtiging
Azure DevOps Server-autorisatie is gebaseerd op gebruikers en groepen in Azure DevOps, de machtigingen die rechtstreeks zijn toegewezen aan zowel die gebruikers als groepen, en machtigingen die deze gebruikers en groepen kunnen overnemen door deel te nemen aan andere groepen in Azure DevOps Server. Gebruikers en groepen in Azure DevOps kunnen lokale gebruikers of groepen, Active Directory-gebruikers of -groepen of beide zijn.
Azure DevOps Server is vooraf geconfigureerd met standaardgroepen op server-, verzameling- en projectniveau. U kunt deze groepen vullen door afzonderlijke gebruikers toe te voegen. U kunt het beheer echter gemakkelijker vinden als u deze groepen vult met behulp van Active Directory-beveiligingsgroepen. Door deze aanpak te volgen, kunt u groepslidmaatschap en machtigingen efficiënter beheren op meerdere computers of toepassingen, zoals SharePoint-producten en SQL Server.
Voor uw specifieke implementatie moet u mogelijk gebruikers, groepen en machtigingen configureren op meerdere computers en binnen verschillende toepassingen. U moet bijvoorbeeld machtigingen configureren voor gebruikers en groepen in Reporting Services, SharePoint-producten en Azure DevOps Server als u rapporten en projectportals wilt opnemen als onderdeel van uw implementatie. In Azure DevOps Server kunt u machtigingen instellen voor elk project, voor elke verzameling en voor elke implementatie (op serverniveau). Daarnaast worden bepaalde machtigingen standaard verleend aan elke gebruiker of groep die u toevoegt aan Azure DevOps Server, omdat die gebruiker of groep automatisch wordt toegevoegd aan Geldige Azure DevOps-gebruikers. Zie Gebruikers of groepen beheren voor meer informatie.
Als u machtigingen wilt configureren voor autorisatie in Azure DevOps Server, hebt u mogelijk autorisatie nodig binnen versiebeheer en werkitems. U beheert deze machtigingen afzonderlijk bij een opdrachtprompt, maar ze zijn geïntegreerd als onderdeel van de interface voor Team Explorer.