Szczegółowe zakresy dla uwierzytelniania OAuth w usłudze Azure Active Directory

Udostępniamy obsługę szczegółowych zakresów usługi Azure DevOps, których można użyć do ograniczenia zachowania aplikacji OAuth usługi Azure Active Directory, które integrują się z usługą Azure DevOps.

Ustawiając zakresy w aplikacji, można ograniczyć operacje (np. zapisywanie w elementach roboczych, wyświetlanie kodu źródłowego, konfigurowanie potoków itp.) aplikacja może wykonywać podczas nawiązywania połączenia z usługą Azure DevOps w imieniu użytkownika. Aplikacje korzystające z jednego szerokiego zakresu personifikacji użytkownika, które umożliwiają aplikacji wykonywanie dowolnych operacji, które użytkownik bazowy może wykonać, może teraz ograniczyć jego zachowanie za pomocą szczegółowych zakresów. Na przykład aplikacja, która odczytuje tylko elementy robocze, może mieć tylko zakres workitem_read, dzięki czemu nie może wykonywać żadnych czynności poza tym zachowaniem celowo lub w inny sposób.

Dodanie zakresów do aplikacji będzie wymagało, aby wszystkie aplikacje zintegrowane z programem musiały najpierw zadeklarować, co próbujesz zrobić, definiując te zakresy przed upływem czasu. Te zakresy będą dostępne do przejrzenia przed wyrażeniem zgody na autoryzowanie tej aplikacji w celu wykonywania akcji w Twoim imieniu. Zapewnia to większą widoczność działania aplikacji z zasobami, do których masz dostęp.

Jako deweloper aplikacji pomoże to ograniczyć wektor ryzyka, jeśli token wystawiony przez aplikację wpadnie w błędne ręce.