Escopos granulares para o OAuth do Azure Active Directory

Estamos trazendo suporte para escopos granulares do Azure DevOps que podem ser usados para limitar o comportamento dos aplicativos OAuth do Azure Active Directory que se integram ao Azure DevOps.

Ao definir escopos em um aplicativo, você pode limitar as operações (por exemplo, gravar em itens de trabalho, exibir o código-fonte, configurar pipelines etc.) que um aplicativo pode fazer ao se conectar ao Azure DevOps em nome do usuário. Os aplicativos que usam um único escopo de representação de usuário amplo que permite que o aplicativo execute todas as operações que o usuário subjacente tem permissão para fazer agora podem usar os escopos granulares para limitar seu comportamento. Por exemplo, um aplicativo que só está lendo itens de trabalho pode receber apenas um escopo de workitem_read para que ele não possa fazer nada fora desse comportamento intencionalmente ou de outra forma.

Adicionar escopos a um aplicativo exigirá que todos os aplicativos integrados devem primeiro declarar o que estão tentando fazer por você definindo esses escopos antecipadamente. Esses escopos estarão disponíveis para revisão antes de consentir em autorizar esse aplicativo a executar ações em seu nome. Isso garante que você tenha mais visibilidade sobre o que um aplicativo está fazendo com os recursos aos quais você tem acesso.

Como desenvolvedor de aplicativos, isso ajudará a limitar o vetor de risco se um token emitido pelo aplicativo estiver em mãos erradas.