Przestrzeń nazw zabezpieczeń i dokumentacja uprawnień dla usługi Azure DevOps

  • Artykuł

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Przestrzenie nazw zabezpieczeń są używane do przechowywania list kontroli dostępu (ACL) na tokenach. Dane przechowywane w przestrzeniach nazw zabezpieczeń określają poziom dostępu do następujących jednostek, które muszą wykonać określoną akcję dla określonego zasobu.

  • Użytkownik usługi Azure DevOps
  • Właściciel organizacji usługi Azure DevOps
  • Członek grupy zabezpieczeń usługi Azure DevOps
  • Konto usługi Azure DevOps
  • Jednostka usługi Azure DevOps

Każda rodzina zasobów, takich jak elementy robocze lub repozytoria Git, jest zabezpieczona za pośrednictwem unikatowej przestrzeni nazw. Każda przestrzeń nazw zabezpieczeń zawiera zero lub więcej list ACL. Każda lista ACL zawiera token, flagę dziedziczą i zestaw zera lub większej liczby wpisów kontroli dostępu (ACL). Każda aCE zawiera deskryptor tożsamości, dozwoloną maskę bitów uprawnień i maskę bitów odmowy uprawnień. Tokeny są dowolnymi ciągami reprezentującymi zasoby w usłudze Azure DevOps.

Uwaga

Przestrzenie nazw i tokeny są prawidłowe dla wszystkich wersji usługi Azure DevOps. Wymienione tutaj są prawidłowe dla usługi Azure DevOps 2019 i nowszych wersji. Przestrzenie nazw mogą ulec zmianie w czasie. Aby uzyskać najnowszą listę przestrzeni nazw, wykonaj jedną z narzędzi wiersza polecenia lub interfejsu API REST. Niektóre przestrzenie nazw zostały uznane za przestarzałe zgodnie z opisem w sekcji Przestarzałe i przestrzenie nazw tylko do odczytu w dalszej części tego artykułu.

Narzędzia do zarządzania uprawnieniami

Zalecaną metodą zarządzania uprawnieniami jest portal internetowy. Jeśli jednak musisz ustawić uprawnienie, które nie jest udostępniane za pośrednictwem portalu internetowego lub ustawić bardziej szczegółowe uprawnienia, możesz użyć jednego z narzędzi wiersza polecenia lub interfejsu API REST.

W przypadku wszystkich wystąpień usługi Azure DevOps można użyć interfejsu API REST zabezpieczeń.

Przestrzenie nazw zabezpieczeń i ich identyfikatory

W tym artykule opisano prawidłowe przestrzenie nazw, wymieniono skojarzone uprawnienia i podano linki do dodatkowych informacji. Wiele przestrzeni nazw zabezpieczeń odpowiada uprawnieniam ustawionym za pośrednictwem strony portalu internetowego Zabezpieczenia lub Uprawnienia . Inne przestrzenie nazw lub wybrane uprawnienia nie są dostępne w portalu internetowym. Domyślnie przyznają one dostęp członkom grup zabezpieczeń lub jednostkom usługi Azure DevOps. Przestrzenie nazw zostały pogrupowane w następujące kategorie na podstawie sposobu zarządzania nimi za pośrednictwem portalu internetowego.

  • Poziom obiektu
  • Poziom projektu
  • Poziom organizacji lub kolekcji
  • Poziom serwera (tylko lokalnie)
  • Oparte na rolach
  • Tylko do użytku wewnętrznego

Hierarchia i tokeny

Przestrzeń nazw zabezpieczeń może być hierarchiczna lub płaska. Tokeny w hierarchicznej przestrzeni nazw istnieją w hierarchii z obowiązującymi uprawnieniami dziedziczone z tokenów nadrzędnych do tokenów podrzędnych. Tokeny w płaskiej przestrzeni nazw nie mają pojęcia relacji nadrzędny-podrzędny między dwoma tokenami.

Tokeny w hierarchicznej przestrzeni nazw mają stałą długość dla każdej części ścieżki lub zmienną długość. Jeśli tokeny mają części ścieżki o zmiennej długości, znak separatora jest używany do odróżnienia, gdzie kończy się jedna część ścieżki, a druga rozpoczyna się.

Tokeny zabezpieczające nie są uwzględniane wielkości liter. Przykłady tokenów dla różnych przestrzeni nazw znajdują się w poniższych sekcjach.

Przestrzenie nazw i uprawnienia na poziomie obiektu

W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie obiektu. Większość wymienionych uprawnień jest zarządzana za pośrednictwem strony portalu internetowego dla każdego obiektu. Uprawnienia są ustawiane na poziomie projektu i dziedziczone na poziomie obiektu, chyba że zostaną zmienione.

Przestrzeń nazw

Uprawnienia

Opis

AnalizaWyglądy

Read
Edit
Delete
Execute
ManagePermissions

Zarządza uprawnieniami widoków analizy na poziomie projektu i na poziomie obiektu, aby odczytywać, edytować, usuwać i generować raporty. Możesz zarządzać tymi uprawnieniami dla każdego widoku analizy z poziomu interfejsu użytkownika.

Format tokenu dla uprawnień na poziomie projektu: $/Shared/PROJECT_ID
Przykład:$/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

IDENTYFIKATOR:d34d3680-dfe5-4cc6-a949-7d9c68f73cba

Tworzenie

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Zarządza uprawnieniami kompilacji na poziomie projektu i obiektu.

Format tokenu dla uprawnień kompilacji na poziomie projektu: PROJECT_ID
Jeśli musisz zaktualizować uprawnienia dla określonego identyfikatora definicji kompilacji, na przykład 12, token zabezpieczający dla tej definicji kompilacji wygląda następująco:
Format tokenu dla poziomu projektu, określone uprawnienia kompilacji: PROJECT_ID/12
Przykład:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

IDENTYFIKATOR:33344d9c-fc72-4d6f-aba5-fa317101a7e9

CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Zarządza uprawnieniami na poziomie obiektu ścieżki obszaru, aby tworzyć, edytować i usuwać węzły podrzędne oraz ustawiać uprawnienia do wyświetlania lub edytowania elementów roboczych w węźle. Możesz zarządzać tymi uprawnieniami za pomocą pozycji Ustaw uprawnienia i dostęp do śledzenia pracy, Tworzenie węzłów podrzędnych, modyfikowanie elementów roboczych w ścieżce obszaru.

IDENTYFIKATOR:83e28ad4-2d72-4ceb-97b0-c7726d5502c3

Pulpity nawigacyjnePrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Zarządza uprawnieniami na poziomie obiektu pulpitu nawigacyjnego do edytowania i usuwania pulpitów nawigacyjnych oraz zarządzania uprawnieniami do pulpitu nawigacyjnego projektu. Te uprawnienia można zarządzać za pomocą interfejsu użytkownika Pulpity nawigacyjne.

IDENTYFIKATOR:8adf73b7-389a-4276-b638-fe1653f7efc7

Repozytoria Git

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Zarządza uprawnieniami repozytorium Git na poziomie projektu i na poziomie obiektu. Te uprawnienia można zarządzać za pomocą ustawień projektu, interfejsu administracyjnego Repozytoria.

Uprawnienie Administer zostało podzielone na kilka bardziej szczegółowych uprawnień w 2017 r. i nie powinno być używane.
Format tokenu dla uprawnień na poziomie projektu: repoV2/PROJECT_ID
Musisz dołączyć RepositoryID polecenie , aby zaktualizować uprawnienia na poziomie repozytorium.

Format tokenu dla uprawnień specyficznych dla repozytorium: repoV2/PROJECT_ID/REPO_ID

IDENTYFIKATOR:2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87

Iteracja

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Zarządza uprawnieniami na poziomie obiektu ścieżki iteracji w celu tworzenia, edytowania i usuwania węzłów podrzędnych oraz wyświetlania uprawnień węzła podrzędnego. Aby zarządzać za pośrednictwem portalu internetowego, zobacz Ustawianie uprawnień i dostępu do śledzenia pracy, Tworzenie węzłów podrzędnych.
Format tokenu: 'vstfs:///Classification/Node/Iteration_Identifier/'
Załóżmy, że masz następujące iteracji skonfigurowane dla zespołu.
— ProjectIteration1
  TeamIteration1
     — TeamIteration1ChildIteration1
     — TeamIteration1ChildIteration2
     — TeamIteration1ChildIteration3
  TeamIteration2
     — TeamIteration2ChildIteration1
     — TeamIteration2ChildIteration2

Aby zaktualizować uprawnienia dla ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1programu , token zabezpieczający wygląda następująco:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

IDENTYFIKATOR:bf7bfa03-b2b7-47db-8113-fa2e002cc5b1

MetaTask

Administer
Edit
Delete

Zarządza uprawnieniami grupy zadań do edytowania i usuwania grup zadań oraz administrowania uprawnieniami grupy zadań. Aby zarządzać za pośrednictwem portalu internetowego, zobacz Uprawnienia potoku i role zabezpieczeń, Uprawnienia grupy zadań.

Format tokenu dla uprawnień na poziomie projektu: PROJECT_ID
Format tokenu dla uprawnień na poziomie metaTask: PROJECT_ID/METATASK_ID

Jeśli metaTask ma element parentTaskId, token zabezpieczający wygląda następująco:
Format tokenu: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

IDENTYFIKATOR:f6a4de49-dbe2-4704-86dc-f8ec1a294436

Planowanie

View
Edit
Delete
Manage

Zarządza uprawnieniami planów dostarczania , aby wyświetlać, edytować, usuwać i zarządzać planami dostarczania. Te uprawnienia można zarządzać za pośrednictwem portalu internetowego dla każdego planu.

IDENTYFIKATOR:bed337f8-e5f3-4fb9-80da-81e17d06e7a8

ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Zarządza uprawnieniami definicji wydania na poziomie projektu i obiektu.

Format tokenu dla uprawnień na poziomie projektu: PROJECT_ID
Przykład:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Jeśli musisz zaktualizować uprawnienia dla określonego identyfikatora definicji wydania, na przykład 12, token zabezpieczający dla tej definicji wydania wygląda następująco:

Format tokenu dla określonych uprawnień definicji wydania: PROJECT_ID/12
Przykład:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Jeśli identyfikator definicji wydania znajduje się w folderze, tokeny zabezpieczające wyglądają następująco:
Format tokenu: PROJECT_ID/{folderName}/12
W przypadku etapów tokeny wyglądają następująco: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}.

IDENTYFIKATOR:c788c23e-1b46-4162-8f5e-d7585343b5de

WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Zarządza uprawnieniami dla zapytań elementów roboczych i folderów zapytań. Aby zarządzać nimi za pośrednictwem portalu internetowego, zobacz Ustawianie uprawnień i dostępu do śledzenia pracy, Ustawianie uprawnień dla zapytań lub folderów zapytań.

IDENTYFIKATOR:71356614-aad7-4757-8f2c-0fb3bff6f680

Przestrzenie nazw i uprawnienia na poziomie projektu

W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie projektu. Większość wymienionych uprawnień jest zarządzana za pośrednictwem kontekstu administracyjnego portalu internetowego. Administracja istratory projektu otrzymują wszystkie uprawnienia na poziomie projektu. Inne grupy na poziomie projektu mają wybrane przypisania uprawnień.

Przestrzeń nazw

Uprawnienia

Opis

Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Zarządza uprawnieniami na poziomie projektu.
Uprawnienie AGILETOOLS_BACKLOG zarządza dostępem do list prac usługi Azure Boards. Jest to ustawienie uprawnień wewnętrznych i nie powinno być zmieniane.

Format tokenu głównego: $PROJECT
Token do zabezpieczania uprawnień dla każdego projektu w organizacji.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Załóżmy, że masz projekt o nazwie Test Project 1.
Identyfikator projektu dla tego projektu można uzyskać przy użyciu az devops project show polecenia .
az devops project show --project "Test Project 1"
Polecenie zwraca identyfikator projektu, na przykład xxxxxxxx-a1de-4bc8-b751-188eea17c3ba.
W związku z tym token do zabezpieczania uprawnień związanych z projektem dla Test Project 1 programu to:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'

IDENTYFIKATOR:52d39943-cb85-4d7f-8fa8-c6baac873819

Oznaczanie

Enumerate
Create
Update
Delete

Zarządza uprawnieniami do tworzenia, usuwania, wyliczania i używania tagów elementów roboczych. Uprawnienia do tworzenia definicji tagu można zarządzać za pomocą ustawień projektu, interfejsu administracyjnego Uprawnienia.

Format tokenu dla uprawnień na poziomie projektu: /PROJECT_ID
Przykład:/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

IDENTYFIKATOR:bb50f182-8e5e-40b8-bc21-e8752a1e7ae2

VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Zarządza uprawnieniami do repozytorium Kontrola wersji serwera Team Foundation (TFVC). Istnieje tylko jedno repozytorium TFVC dla projektu. Te uprawnienia można zarządzać za pomocą ustawień projektu, interfejsu administracyjnego Repozytoria.

IDENTYFIKATOR:a39371cf-0841-4c16-bbd3-276e341bc052

Przestrzenie nazw i uprawnienia na poziomie organizacji

W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie organizacji. Większość wymienionych uprawnień jest zarządzana za pośrednictwem kontekstu ustawień organizacji portalu internetowego. Właściciel organizacji i członkowie grupy project collection Administracja istrators otrzymują większość tych uprawnień. Aby dowiedzieć się więcej, zobacz Zmienianie uprawnień na poziomie kolekcji projektów.

Przestrzenie nazw i uprawnienia na poziomie kolekcji

W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie organizacji. Większość wymienionych uprawnień jest zarządzana za pośrednictwem kontekstu ustawień kolekcji portalu internetowego. Członkowie grupy Administracja istratorów kolekcji projektów otrzymują większość tych uprawnień. Aby dowiedzieć się więcej, zobacz Zmienianie uprawnień na poziomie kolekcji projektów.

Przestrzeń nazw

Uprawnienia

Opis

Dziennik inspekcji

Read
Write
Manage_Streams
Delete_Streams

Zarządza uprawnieniami inspekcji w celu odczytu lub zapisu w dzienniku inspekcji oraz zarządzania lub usuwania strumieni inspekcji.

Format tokenu: /AllPermissions
IDENTYFIKATOR:a6cc6381-a1ca-4b36-b3c1-4e65211e82b6

Kompilacja Administracja istration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies

Zarządza dostępem do wyświetlania, zarządzania, używania lub administrowania uprawnieniami do zasobów kompilacji.

IDENTYFIKATOR:302acaca-b667-436d-a946-87133492041c

Kolekcja

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Zarządza uprawnieniami na poziomie organizacji lub kolekcji.

IDENTYFIKATOR:3e65f728-f8bc-4ecd-8764-7e378b19bfa7

Przetwarzaj

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions

Zarządza uprawnieniami do tworzenia, usuwania i administrowania procesami.
IDENTYFIKATOR:2dab47f9-bd70-49ed-9bd5-8eb051e59c02

Obszary robocze

Read
Use
Checkin
Administer

Zarządza uprawnieniami do administrowania zmianami, obszarami roboczymi i możliwością tworzenia obszaru roboczego na poziomie organizacji lub kolekcji. Przestrzeń nazw Obszarów roboczych ma zastosowanie do repozytorium TFVC.

Format tokenu głównego: /
Format tokenu dla określonego obszaru roboczego: /{workspace_name};{owner_id}

IDENTYFIKATOR:93bafc04-9075-403a-9367-b7164eac6b5c

VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Zarządza uprawnieniami do repozytorium Kontrola wersji serwera Team Foundation (TFVC).

Uprawnienie AdminConfiguration umożliwia użytkownikom edytowanie uprawnień na poziomie serwera dla użytkowników i grup. Uprawnienie AdminConnections umożliwia użytkownikom odczytywanie zawartości pliku lub folderu lokalnego repozytorium na poziomie serwera.

IDENTYFIKATOR:66312704-deb5-43f9-b51c-ab4ff5e351c3

Przestrzenie nazw i uprawnienia na poziomie serwera

W poniższej tabeli opisano te przestrzenie nazw zabezpieczeń i uprawnienia zdefiniowane dla lokalnych wystąpień usługi Azure DevOps Server. Możesz zarządzać tymi uprawnieniami, które są przyznawane członkom grupy team foundation Administracja istrators za pośrednictwem konsoli administracyjnej usługi Azure DevOps Server. Opisy tych uprawnień można znaleźć w temacie Uprawnienia i grupy, Uprawnienia na poziomie serwera.

Przestrzeń nazw

Uprawnienia

Opis

Zarządzanie kolekcją

CreateCollection
DeleteCollection

Zarządza uprawnieniami ustawionymi na poziomie serwera w celu tworzenia i usuwania kolekcji projektów.

IDENTYFIKATOR:52d39943-cb85-4d7f-8fa8-c6baac873819

Serwer

GenericRead
GenericWrite
Impersonate
TriggerEvent

Zarządza uprawnieniami ustawionymi na poziomie serwera. Obejmuje to uprawnienia do edytowania informacji na poziomie wystąpienia, tworzenia żądań w imieniu innych osób i wyzwalania zdarzeń.

IDENTYFIKATOR:1f4179b3-6bac-4d01-b421-71ea09171400

Magazyn

Administer

Przyznaje uprawnienia do przetwarzania lub zmieniania ustawień magazynu danych lub modułu SQL Server Analysis przy użyciu usługi sieci Web Kontrola magazynu.

IDENTYFIKATOR:b8fbab8b-69c8-4cd9-98b5-873656788efb

Przestrzenie nazw i uprawnienia oparte na rolach

W poniższej tabeli opisano przestrzenie nazw zabezpieczeń i uprawnienia używane do zarządzania zabezpieczeniami opartymi na rolach. Przypisania ról można zarządzać za pośrednictwem portalu internetowego dla zasobów potoku zgodnie z opisem Uprawnienia potoku i role zabezpieczeń.

Przestrzeń nazw

Uprawnienia

Opis

DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Zarządza uprawnieniami dostępu do zasobów puli agentów. Domyślnie następujące role i uprawnienia są przypisywane na poziomie projektu i dziedziczone dla każdej utworzonej puli agentów:

  • Rola czytelnika (View tylko uprawnienia) do wszystkich członków grupy Project Valid Users
  • rola Administracja istratora (wszystkie uprawnienia) do członków grup Administracja istratorów kompilacji, Administracja istratorów projektu i Administracja istratorów wydania.
  • Rola użytkownika (View, Usei Create uprawnienia) do wszystkich członków grupy Współautor
  • Rola twórcy (View, Usei Create uprawnienia) do wszystkich członków grupy Współautor

    IDENTYFIKATOR:101eae8c-1709-47f9-b228-0e476c35b3ba

Środowisko

View
Manage
ManageHistory
Administer
Use
Create

Zarządza uprawnieniami do tworzenia środowisk i zarządzania nimi. Domyślnie przypisywane są następujące uprawnienia:

  • Rola czytelnika (View tylko uprawnienia) do wszystkich członków grupy Project Valid Users
  • Rola twórcy (View, Usei Create uprawnienia) do wszystkich członków grupy Współautor
  • Rola twórcy (View, Usei Create uprawnienia) do wszystkich członków grupy Administracja istratorów projektu
  • Administracja istrator roli (wszystkie uprawnienia) do użytkownika, który utworzył określone środowisko.

    IDENTYFIKATOR:83d4c2e6-e57d-4d6e-892b-b87222b7ad20

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Rola Menedżer jest jedyną rolą używaną do zarządzania zabezpieczeniami rozszerzeń witryny Marketplace. Członkowie roli Menedżer mogą instalować rozszerzenia i odpowiadać na żądania dotyczące instalowania rozszerzeń. Pozostałe uprawnienia są przypisywane automatycznie do członków domyślnych grup zabezpieczeń i jednostek usługi. Aby dodać użytkowników do roli Menedżer, zobacz Zarządzanie uprawnieniami rozszerzenia.

IDENTYFIKATOR:5d6d7b80-3c63-4ab0-b699-b6a5910f8029

Biblioteka

View
Administer
Create
ViewSecrets
Use
Owner

Zarządza uprawnieniami do tworzenia elementów biblioteki i zarządzania nimi, które obejmują bezpieczne pliki i grupy zmiennych. Członkostwo w rolach dla poszczególnych elementów jest automatycznie dziedziczone z tych z węzła Biblioteka. Domyślnie przypisywane są następujące uprawnienia:

  • Rola czytelnika (View tylko uprawnienia) do wszystkich członków grupy Project Valid Users i konta usługi Project Collection Build Service
  • Rola twórcy (View, Usei Create uprawnienia) do wszystkich członków grupy Współautorzy
  • Rola twórcy (View, Use, Createi) Owner do członka, który utworzył element biblioteki
  • rola Administracja istratora (wszystkie uprawnienia) do członków grup Administracja istratorów kompilacji, Administracja istratorów projektu i Administracja istratorów wydania.
    Aby dowiedzieć się więcej, zobacz Role zabezpieczeń zasobów biblioteki.

    IDENTYFIKATOR:b7e84409-6553-448a-bbb2-af228e07cbeb

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Zarządza uprawnieniami do tworzenia połączeń usług i zarządzania nimi. Członkostwa w rolach dla poszczególnych elementów są automatycznie dziedziczone z tych zdefiniowanych na poziomie projektu. Domyślnie są przypisywane następujące role:

  • Rola czytelnika (View tylko uprawnienia) do wszystkich członków grupy Project Valid Users i konta usługi Project Collection Build Service
  • Rola twórcy (View, Usei Create uprawnienia) do członków grupy zabezpieczeń usługi Endpoint Creators.
  • rola Administracja istratora (wszystkie uprawnienia) do członków grupy zabezpieczeń usługi Endpoint Administracja istrators.
    Role są przypisywane za pośrednictwem ról zabezpieczeń połączenia usługi.

    IDENTYFIKATOR:49b48001-ca20-4adc-8111-5b60c903a50c

Wewnętrzne przestrzenie nazw i uprawnienia

W poniższej tabeli opisano przestrzenie nazw zabezpieczeń i uprawnienia, które nie są udostępniane za pośrednictwem portalu internetowego. Są one używane głównie do udzielania dostępu członkom domyślnych grup zabezpieczeń lub do zasobów wewnętrznych. Zdecydowanie zalecamy, aby nie zmieniać tych ustawień uprawnień w żaden sposób.

Przestrzeń nazw

Uprawnienia

Opis

Konto Administracja Zabezpieczenia

Read
Create
Modify

Zarządza uprawnieniami do odczytu lub modyfikowania właściciela konta organizacji. Te uprawnienia są przypisywane do właściciela organizacji i członków grupy Administracja istrator kolekcji projektów.

IDENTYFIKATOR:11238e09-49f2-40c7-94d0-8f0307204ce4

Analiza

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Zarządza uprawnieniami do odczytu, administrowania uprawnieniami i wykonywania zapytań względem usługi Analytics.

Format tokenu dla uprawnień na poziomie projektu: $/PROJECT_ID
Przykład:$/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

IDENTYFIKATOR:58450c49-b02d-465a-ab12-59ae512d6531

BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Ustawia uprawnienia do odczytu, usuwania, tworzenia i zarządzania zabezpieczeniami magazynu danych. Te uprawnienia są przypisywane do kilku jednostek usługi Azure DevOps.

IDENTYFIKATOR:19F9F97D-7CB7-45F7-8160-DD308A6BD48E

Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Zarządza uprawnieniami i dostępem do tablic Kanban.

IDENTYFIKATOR:251e12d9-bea3-43a8-bfdb-901b98c0125e

BoardsExternalIntegration

Read
Write

Zarządza uprawnieniami do odczytu/zapisu integracji zewnętrznych z usługą Azure Boards.

IDENTYFIKATOR:5ab15bc8-4ea1-d0f3-8344-cab8fe976877

Czat

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Zarządza uprawnieniami dla usług czatów zintegrowanych z usługą Azure DevOps, takimi jak Slack i Microsoft Teams. Aby uzyskać więcej informacji, zobacz Azure Boards with Slack, Azure Boards with Microsoft Teams, Azure Pipelines with Slack, Azure Pipelines with Microsoft Teams, Azure Repos with Slack and Azure Repos with Microsoft Teams (Usługa Azure Boards with Slack, Azure Boards with Microsoft Teams, Azure Pipelines with Microsoft Teams), Azure Repos with Microsoft Teams (Azure Pipelines with Microsoft Teams), Azure Repos with Slack and Azure Repos with Microsoft Teams (Usługa Azure Boards with Microsoft Teams).

IDENTYFIKATOR:bc295513-b1a2-4663-8d1a-7017fd760d18

Wątki dyskusji

Administer
GenericRead
GenericContribute
Moderate

Zarządza uprawnieniami do wyświetlania, moderowania i współtworzenia dyskusji dotyczących usługi Azure Pipelines oraz zarządzania nimi.

IDENTYFIKATOR:0d140cae-8ac1-4f48-b6d1-c93ce0301a12

EventPublish

Read
Write

Przyznaje dostęp do odczytu i zapisu dla programu obsługi powiadomień.

IDENTYFIKATOR:7cd317f2-adc6-4b6c-8d99-6074faeaf173

EventSubscriber

GENERIC_READ
GENERIC_WRITE

Przyznaje dostęp do odczytu i zapisu dla subskrybentów powiadomień.

IDENTYFIKATOR:2bf24a2b-70ba-43d3-ad97-3d9e1f75622f

EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Zarządza uprawnieniami członków do wyświetlania, edytowania i anulowania subskrypcji powiadomień lub tworzenia subskrypcji protokołu SOAP.

IDENTYFIKATOR:58b176e7-3411-457a-89d0-c6d0ccb3c52b

Tożsamość

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Zarządza uprawnieniami do odczytu, zapisu i usuwania informacji o tożsamości konta użytkownika; zarządzanie członkostwem w grupie i tworzenie i przywracanie zakresów tożsamości. Uprawnienie ManageMembership jest automatycznie przyznawane członkom grup Administracja istratorów projektu i kolekcji projektów Administracja istratorów.

Format tokenu dla uprawnień na poziomie projektu: PROJECT_ID
Przykład:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Aby zmodyfikować uprawnienia na poziomie grupy dla identyfikatora źródła grupy [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Token: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

IDENTYFIKATOR:5a27515b-ccd7-42c9-84f1-54c998f03866

Licencjonowanie

Read
Create
Modify
Delete
Assign
Revoke

Zarządza możliwością wyświetlania, dodawania, modyfikowania i usuwania poziomów licencji. Te uprawnienia są automatycznie przyznawane członkom grup Administracja istratorów kolekcji projektów.

IDENTYFIKATOR:453e2db3-2e81-474f-874d-3bf51027f2ee

PermissionLevel

Read
Create
Update
Delete

Zarządza możliwością tworzenia i pobierania raportów uprawnień.

IDENTYFIKATOR:25fb0ed7-eb8f-42b8-9a5e-836a25f67e37

OrganizationLevelData

Project-Scoped Users

Stosuje uprawnienie odmowy na poziomie systemu w przestrzeni nazw, która obsługuje grupę użytkowników o zakresie projektu. Członkowie grupy mają ograniczony wgląd w dane na poziomie organizacji. Aby dowiedzieć się więcej, zobacz Zarządzanie organizacją, Ograniczanie widoczności użytkowników dla projektów i nie tylko.
IDENTYFIKATOR:F0003BCE-5F45-4F93-A25D-90FC33FE3AA9

PipelineCachePrivileges

Read
Write

Zarządza uprawnieniami do odczytu i zapisu wpisów pamięci podręcznej potoku. Te uprawnienia są przypisywane tylko do wewnętrznych zasad usługi Azure DevOps.
IDENTYFIKATOR:62a7ad6b-8b8d-426b-ba10-76a7090e94d5

ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Zarządza dostępem do elementów interfejsu użytkownika usługi Release Management.

IDENTYFIKATOR:7c7d32f7-0e86-4cd6-892e-b35dbba870bd

Zabezpieczenia wyszukiwania

ReadMembers ReadAnonymous

Ta przestrzeń nazw zabezpieczeń służy do sprawdzania, czy użytkownik jest prawidłowy lub anonimowy/publiczny.

IDENTYFIKATOR:ca535e7e-67ce-457f-93fe-6e53aa4e4160

Elementy servicehook

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Zarządza uprawnieniami do wyświetlania, edytowania i usuwania subskrypcji punktów zaczepienia usługi oraz publikowania zdarzeń punktu zaczepienia usługi. Te uprawnienia są automatycznie przypisywane do członków grupy Administracja istratorów kolekcji projektów. DeleteSubscriptions nie jest już używany; EditSubscriptions program może usuwać punkty zaczepienia usługi.

IDENTYFIKATOR:cb594ebe-87dd-4fc9-ac2c-6a10a4c92046

UżyciePermisje

QueryUsageSummary

Zarządza uprawnieniami do wykonywania zapytań dotyczących użycia. Domyślnie wszyscy członkowie grupy Administracja istratorów kolekcji projektów i użytkownicy, którym udzielono dostępu uczestnikom projektu, otrzymują uprawnienia do podsumowania użycia zapytań dla wszystkich użytkowników. Aby dowiedzieć się więcej, zobacz Limity szybkości.

Format tokenu: /
IDENTYFIKATOR:83abde3a-4593-424e-b45f-9898af99034d

WorkItemTracking Administracja istration

ManagePermissions
DestroyAttachments

Zarządza uprawnieniami do śledzenia i niszczenia załączników przez administratora.
IDENTYFIKATOR:445d2788-c5fb-4132-bbef-09c4045ad93f

WorkItemTrackingProvision

Administer
ManageLinkTypes

Zarządza uprawnieniami do zmieniania procesów śledzenia pracy i zarządzania typami linków. Przestrzeń nazw WorkItemTrackingProvision jest starszą przestrzenią nazw zabezpieczeń, która jest używana głównie dla serwera TFS-2018 i starszych wersji. Przestrzeń nazw Proces zastępuje tę przestrzeń nazw do zarządzania procesami w usłudze Azure DevOps Server 2019 i nowszych wersjach.

Format tokenu głównego: /$
Format tokenu dla określonego projektu: $/PROJECT_ID

IDENTYFIKATOR:5a6cd233-6615-414d-9393-48dbb252bd23

Przestarzałe i tylko do odczytu przestrzenie nazw

Następujące przestrzenie nazw są przestarzałe lub tylko do odczytu. Nie należy ich używać.

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration