Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Para implantar e gerenciar o Servidor do Azure DevOps com eficiência, você deve entender como ele funciona e se comunica com outros componentes de implantação. Como administrador do Azure DevOps, você deve estar familiarizado com a autenticação do Windows, os protocolos de rede e o tráfego e a estrutura da rede de negócios na qual o Azure DevOps está instalado. Você também deve ter uma compreensão dos grupos e permissões do Azure DevOps.
Você também pode achar útil uma compreensão do SQL Server, do SQL Server Reporting Services e dos produtos do SharePoint.
Você poderá planejar, implantar e gerenciar o Servidor do Azure DevOps se entender os componentes e os termos descritos neste artigo.
Serviço de análise
O serviço de Análise é a plataforma de relatórios do futuro para o Azure DevOps. No momento, ele está disponível no Azure DevOps Services e pode ser instalado no Azure DevOps Marketplace no Azure DevOps Server. Para obter mais informações, consulte O que é o serviço de Análise?
Camada de aplicativo, camada de dados e camada de cliente
As camadas lógicas que compõem o Servidor do Azure DevOps. Todas essas camadas podem ser implantadas no mesmo computador físico ou podem ser instaladas em vários computadores. Para obter mais informações, consulte a visão geral da arquitetura para o Servidor do Azure DevOps.
Coleção de projetos
A unidade organizacional primária para todos os dados no Servidor do Azure DevOps. As coleções determinam os recursos disponíveis para os projetos adicionados a eles. Esses recursos podem incluir SQL Server Reporting Services, Pesquisa de Código, extensões do Marketplace e muito mais. Para obter mais informações, consulte Gerenciar coleções de projetos.
Projeto
Um ponto central para sua equipe compartilhar atividades de equipe necessárias para desenvolver uma tecnologia de software ou produto específico. Os projetos são organizados em coleções de projetos. Para obter mais informações, consulte Sobre projetos e dimensionamento de sua organização.
Console de Administração do Servidor do Azure DevOps
A ferramenta de gerenciamento centralizada para administradores do Servidor do Azure DevOps para configurar e gerenciar recursos. Para obter mais informações, consulte Referência Rápida de Tarefas Administrativas.
Contas de serviço
A conta ou contas que os serviços Web e aplicativos executam pelo Azure DevOps. O Servidor do Azure DevOps requer contas de serviço para executar operações entre servidores e serviços Web. Essas contas de serviço têm requisitos específicos. Para obter mais informações, consulte contas de serviço e dependências no Servidor do Azure DevOps.
Produtos do SharePoint
Software que fornece suporte para portais de projeto e dashboards. Você pode incluir um ou mais aplicativos Web do SharePoint como parte da implantação do Servidor do Azure DevOps. Para incluir um desses aplicativos, você deve instalar e configurar extensões do Servidor do Azure DevOps para Produtos do SharePoint e configurar permissões em toda a implantação. Para obter mais informações, consulte Compartilhar informações usando o portal do projeto. A integração com produtos do SharePoint foi preterida para o TFS 2018 e versões posteriores.
SQL Server e SQL Server Reporting Services
Software que fornece uma plataforma de banco de dados para data warehousing e uma plataforma de business intelligence para soluções de integração, análise e relatório de dados. O Azure DevOps Server armazena seus dados em bancos de dados do SQL Server. Opcionalmente, você também pode incluir um servidor que está executando o SQL Server Reporting Services e que gera automaticamente relatórios para projetos. Para obter mais informações, consulte Gerenciar relatórios, data warehouse e cubo dos Serviços de Análise.
Conceitos de segurança
Para otimizar a segurança do Servidor do Azure DevOps, você deve entender os seguintes conceitos:
- A topologia, que inclui onde e como os servidores que executam componentes do Azure DevOps são implantados, o tráfego de rede que passa entre os clientes do Azure DevOps Server e do Azure DevOps e os serviços que devem ser executados no Servidor do Azure DevOps.
- Autenticação, que inclui a determinação da validade de usuários, grupos e serviços no Servidor do Azure DevOps.
- A autorização, que inclui a determinação de se usuários, grupos e serviços válidos no Servidor do Azure DevOps têm as permissões apropriadas para executar ações específicas.
Você também deve considerar os outros componentes e serviços dos quais o Servidor de DevOps do Azure depende.
Ao considerar a segurança do Servidor do Azure DevOps, você deve entender a diferença entre autenticação e autorização. A autenticação é a verificação das credenciais de uma tentativa de conexão de um cliente, servidor ou processo. A autorização é a verificação de que a identidade que está tentando se conectar tem permissões para acessar o objeto ou o método. A autorização ocorre somente após a autenticação bem-sucedida. Se uma conexão não for autenticada, ela falhará antes que qualquer verificação de autorização seja executada. Se a autenticação de uma conexão for bem-sucedida, uma ação específica ainda poderá ser não permitida porque o usuário ou grupo não estava autorizado a executar essa ação.
Topologias, portas e serviços
O primeiro elemento de implantação e segurança para o Servidor do Azure DevOps é se os componentes da implantação podem se conectar uns aos outros para se comunicarem. Sua meta é habilitar conexões entre clientes do Azure DevOps e o Servidor do Azure DevOps e limitar ou impedir outras tentativas de conexão.
O Servidor do Azure DevOps depende de determinadas portas e serviços para que ele possa funcionar. Você pode proteger e monitorar essas portas para ajudar a atender às necessidades de segurança de negócios. Você deve permitir que o tráfego de rede para o Servidor de DevOps do Azure passe entre clientes do Azure DevOps, os servidores que hospedam os componentes lógicos da camada de aplicativo e a camada de dados, computadores para o Team Foundation Build e clientes remotos que estão usando o Servidor Proxy do Azure DevOps. Por padrão, o Servidor de DevOps do Azure é configurado para usar HTTP para seus serviços Web. Para obter uma lista completa de portas e serviços usados pelo Servidor do Azure DevOps e como eles são usados em sua arquitetura, consulte a arquitetura do Servidor do Azure DevOps.
Você pode implantar o Servidor do Azure DevOps em um domínio do Active Directory ou em um grupo de trabalho. O Active Directory fornece mais recursos de segurança internos do que os grupos de trabalho fornecem. Você pode usar os recursos do Active Directory para ajudar a proteger a implantação do Azure DevOps Server. Por exemplo, você pode configurar o Active Directory para evitar nomes de computador duplicados para que um usuário mal-intencionado não possa falsificar o nome do computador com um servidor invasor que esteja executando o Azure DevOps Server. Para atenuar o mesmo tipo de ameaça em um grupo de trabalho, você deve configurar certificados de computador.
Se você implantar o Servidor do Azure DevOps em um grupo de trabalho ou em um domínio, deverá cumprir determinadas restrições impostas pelos requisitos do próprio Servidor do Azure DevOps. Para obter mais informações sobre topologias para o Azure DevOps Server, consulte A Simple Azure DevOps Server Topology, A Moderate Azure DevOps Server Topology, A Complex Azure DevOps Server Topology, Understanding Windows SharePoint Services e Understanding SQL Server e SQL Server Reporting Services.
Autenticação
A segurança do Azure DevOps Server é integrada e depende da autenticação integrada do Windows e dos recursos de segurança do sistema operacional Windows. Você pode usar a autenticação integrada do Windows para autenticar contas para conexões entre clientes do Azure DevOps e o Servidor do Azure DevOps, para serviços Web nos servidores que hospedam o aplicativo lógico e as camadas de dados e para conexões entre os servidores da camada de aplicativos e da camada de dados.
Observação
Você pode configurar o Servidor do Azure DevOps para dar suporte ao Kerberos para autenticação mútua do cliente e do servidor depois de instalar o Servidor do Azure DevOps.
Você não deve configurar nenhuma conexão de banco de dados do SQL Server entre o Azure DevOps Server e o SharePoint Products para usar a Autenticação do SQL Server porque ela não é tão segura quanto a autenticação do Windows. Quando você se conecta ao banco de dados, o nome de usuário e a senha da conta de administrador do banco de dados são enviados em um formato não criptografado. A autenticação integrada do Windows não envia o nome de usuário e a senha. Em vez disso, ele usa protocolos de segurança de autenticação integrada do Windows para transferir informações de identidade da conta de serviço associadas ao pool de aplicativos do IIS (Serviços de Informações da Internet) do host para o SQL Server.
Autorização
A autorização do Servidor do Azure DevOps é baseada em usuários e grupos no Azure DevOps, as permissões atribuídas diretamente a esses usuários e grupos e permissões que esses usuários e grupos podem herdar pertencendo a outros grupos no Azure DevOps Server. Usuários e grupos no Azure DevOps podem ser usuários ou grupos locais, usuários ou grupos do Active Directory ou ambos.
O Servidor do Azure DevOps é pré-configurado com grupos padrão no nível de servidor, coleção e projeto. Você pode preencher esses grupos adicionando usuários individuais. No entanto, você poderá achar o gerenciamento mais fácil se preencher esses grupos usando grupos de segurança do Active Directory. Ao adotar essa abordagem, você pode gerenciar a associação de grupo e permissões com mais eficiência em vários computadores ou aplicativos, como Produtos do SharePoint e SQL Server.
Sua implantação específica pode exigir que você configure usuários, grupos e permissões em vários computadores e em vários aplicativos. Por exemplo, você deve configurar permissões para usuários e grupos no Reporting Services, nos Produtos do SharePoint e no Azure DevOps Server se quiser incluir relatórios e portais de projeto como parte de sua implantação. No Azure DevOps Server, você pode definir permissões para cada projeto, para cada coleção e em uma implantação (no nível do servidor). Além disso, determinadas permissões são concedidas por padrão a qualquer usuário ou grupo que você adicionar ao Azure DevOps Server, pois esse usuário ou grupo é adicionado automaticamente aos Usuários Válidos do Azure DevOps. Para obter mais informações, consulte Gerenciar usuários ou grupos.
Além de configurar permissões de autorização no Azure DevOps Server, talvez seja necessária autorização no controle de versão e itens de trabalho. Você gerencia essas permissões separadamente em um prompt de comando, mas elas são integradas como parte da interface do Team Explorer.