Criando para o Azure DevOps com o Microsoft Entra OAuth Apps
Importante
Ao criar um novo aplicativo OAuth 2.0, comece aqui com os aplicativos Microsoft Entra OAuth, pois os aplicativos OAuth do Azure DevOps estão planejados para serem descontinuados em 2026. Saiba mais em nossa postagem no blog.
Microsoft Entra ID OAuth
O Microsoft Entra ID é um produto separado da Microsoft com sua própria plataforma. No Microsoft Entra, você pode registrar um aplicativo para acessar locatários do Azure e definir as permissões necessárias a partir dos recursos do Azure, dos quais o Azure DevOps é considerado um.
Os aplicativos Microsoft Entra e os aplicativos Azure DevOps são entidades separadas sem conhecimento um do outro. Os meios para autenticar seu aplicativo diferem do Microsoft Entra OAuth para o Azure DevOps OAuth. Por um lado, os aplicativos OAuth do Microsoft Entra ID são tokens Microsoft Entra emitidos, não tokens de acesso do Azure DevOps. Esses tokens têm uma duração padrão de uma hora antes da expiração.
Recomendamos a leitura completa da documentação do Microsoft Entra para entender a nova funcionalidade disponível via Microsoft Entra e as diferentes expectativas de você durante a instalação.
Porquê escolher o Microsoft Entra?
Como um provedor líder de gerenciamento de identidade e acesso (IAM), o Microsoft Entra ID está focado nas necessidades das empresas que precisam gerenciar os membros da equipe e proteger os recursos da empresa. O Microsoft Entra ID oferece muitos recursos -- o desenvolvimento e gerenciamento de aplicativos é um deles. O modelo de aplicativo Microsoft Entra oferece algumas vantagens em relação ao modelo de aplicativo OAuth do Azure DevOps que os tornam mais atraentes para desenvolvedores de aplicativos.
1. Maior alcance dentro e fora da Microsoft
Ao criar um aplicativo no Microsoft Entra, você tem um alcance mais amplo através do resto do ecossistema da Microsoft. Um aplicativo Microsoft Entra pode ser usado para acessar vários produtos da Microsoft, tornando o gerenciamento de credenciais de aplicativo muito mais simples. As equipes que oferecem produtos SaaS podem considerar a criação de um aplicativo pré-integrado que aparece ao lado de outros aplicativos populares na galeria de aplicativos do Microsoft Entra.
2. Maior visibilidade, consentimento e gerenciamento do administrador
Os administradores de locatários confiáveis podem gerenciar quais aplicativos acessam os recursos da empresa, quem na organização pode usar o aplicativo e como o consentimento pode ser obtido. O Azure DevOps OAuth não conhece o conhecimento de locatários ou seus administradores, confiando exclusivamente nos usuários para autorizar o acesso a dados potencialmente confidenciais. Os utilizadores que anteriormente autorizaram o acesso a uma aplicação há muito esquecida estão a deixar a porta aberta para uma possível infiltração posterior. A supervisão do administrador fornece um conjunto extra de olhos com processos de revisão apropriados e limpeza útil de aplicativos não utilizados ou não autorizados.
3. Controlos de acesso condicional mais rigorosos
As políticas de acesso condicional facilitam a configuração dos controles de acesso apropriados nos quais os usuários podem ou não acessar sua organização por meio de um aplicativo Microsoft Entra. O aplicativo Azure DevOps OAuth fica fora do ecossistema Microsoft Entra e não adere a todas as políticas de acesso condicional.
4. Configuração do aplicativo de autoatendimento
Alterar os escopos e a propriedade do aplicativo em um aplicativo Microsoft Entra é relativamente fácil em comparação com os aplicativos OAuth do Azure DevOps. Os desenvolvedores de aplicativos entram em contato com nossa equipe de suporte ao cliente para fazer alterações nos aplicativos OAuth do Azure DevOps, mas no Microsoft Entra o poder de alterar escopos é retornado ao desenvolvedor. A propriedade do aplicativo pode até ser compartilhada entre vários usuários e não restrita a um único usuário, o que pode representar um problema se esse usuário deixar a empresa no futuro.
5. Registos de início de sessão disponíveis
O Microsoft Entra registra todos os "logins" em um locatário do Azure, o que inclui seus aplicativos e recursos internos. Essas informações adicionais podem oferecer mais informações sobre quem está usando seus aplicativos que não estão disponíveis por meio de nossa auditoria.
Recursos úteis
Construir sobre uma nova plataforma pode ser avassalador. Fornecemos alguns links úteis que achamos que podem ser úteis para o processo de desenvolvimento de aplicativos OAuth no Microsoft Entra. Para desenvolvedores que mudam do Azure DevOps OAuth para o Microsoft Entra OAuth, fornecemos dicas úteis a serem consideradas durante seu esforço de migração.
Bons recursos para desenvolvedores
- Plataforma de identidade da Microsoft e fluxo OAuth 2.0 em nome de
- Noções básicas sobre acesso delegado
- Início Rápido: Registar uma aplicação na plataforma de identidade da Microsoft
- Adicionar permissões para acessar o Microsoft Graph: útil para saber como adicionar permissões delegadas de um recurso do Azure. Em vez do Microsoft Graph, selecione
Azure DevOpsna lista de recursos. - Escopos e permissões na plataforma de identidade da Microsoft: leia sobre o
.defaultescopo. Consulte os escopos disponíveis para o Azure DevOps em nossa lista de escopos. - Solicitar permissões através do consentimento
- Bibliotecas de autenticação e exemplos de código
- Gerenciar tokens de acesso pessoal via API: Usar as APIs de gerenciamento do ciclo de vida da PAT requer tokens do Microsoft Entra e nossos documentos e o aplicativo de exemplo associado podem ser um exemplo útil para configurar um aplicativo Microsoft Entra para usar APIs REST do Azure DevOps.
- Opções de suporte e ajuda para desenvolvedores
Bons recursos para administradores
- O que é gerenciamento de aplicativos no Microsoft Entra ID?
- Guia de início rápido: adicionar um aplicativo corporativo
- Experiência de consentimento para aplicativos no Microsoft Entra ID
Construindo e migrando dicas
Nota
Os aplicativos Microsoft Entra OAuth não oferecem suporte nativo a usuários MSA para APIs REST do Azure DevOps. Se você estiver criando um aplicativo que deve atender aos usuários do MSA ou oferecer suporte aos usuários do Microsoft Entra e do MSA, os aplicativos OAuth do Azure DevOps continuam sendo sua melhor opção. Estamos atualmente trabalhando no suporte nativo para usuários MSA através do Microsoft Entra OAuth.
- Boas IDs de DevOps do Azure:
- Identificador de recurso do Microsoft Entra:
499b84ac-1321-427f-aa17-267ca6975798 - Uri do recurso:
https://app.vssps.visualstudio.com - Use o
.defaultescopo ao solicitar um token com todos os escopos para os quais o aplicativo tem permissão.
- Identificador de recurso do Microsoft Entra:
- Ao migrar um aplicativo existente, você pode estar usando identificadores de usuário do Azure DevOps que não existem no Microsoft Entra. Use a API ReadIdentities para resolver e corresponder as diferentes identidades em uso por cada provedor de identidade.
Fluxos somente de aplicativos no Microsoft Entra
O Microsoft Entra OAuth é a solução recomendada para criar aplicativos para acessar os serviços de DevOps do Azure em nome de um usuário com consentimento.
Se você está procurando criar um aplicativo para agir em nome próprio, consulte nossa documentação sobre suporte principal de serviço. Nesses documentos, elaboramos mais sobre como configurar uma entidade de serviço ou identidade gerenciada que não depende de permissões de usuário para agir em recursos da organização, em vez disso, depende apenas de suas próprias permissões. Esse mecanismo de autenticação é a autenticação recomendada para criar ferramentas automatizadas para equipes.