Ресурсы, предоставленные участникам проекта

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018

Проект Azure DevOps — это граница контейнера и безопасности для ресурсов разработки программного обеспечения: рабочие элементы, код, сборки и т. д. При добавлении пользователя в качестве участника проекта вы также доверяете этому пользователю с некоторыми дополнительными привилегиями. Член проекта имеет доступ к ресурсам уровня организации и дополнительным группам (или областям) за пределами проекта. Если кто-то еще не является членом вашей организации, при добавлении их в проект вы неявно предоставляете им этот дополнительный доступ.

Примечание

Если для организации включена функция "Ограничить видимость пользователей и совместная работа с определенными проектами ", пользователи, добавленные в группу "Пользователи с областью проекта" , не смогут получить доступ к проектам, к которым они не были добавлены. Дополнительные сведения см. в статье "Управление организацией", "Ограничение видимости пользователей" для проектов и многое другое.

Дополнительные группы и области

В соответствии с режимом член проекта принадлежит одной или нескольким группам безопасности, связанным с проектом , таким как "Допустимые пользователи проекта" и "Участники проекта". Этот пользователь также является членом группы уровня организации, известной как "Допустимые пользователи коллекции проектов". Кроме того, удостоверение этого человека отображается в службе удостоверений , которая поддерживает организацию. Учетные записи пользователей, поддерживаемые Azure Active Directory , могут иметь собственные удостоверения или гостевые удостоверения, предоставляющие различные уровни доступа.

Ресурсы уровня организации

Участники проекта имеют доступ к ресурсам за пределами конкретного проекта. Эти ресурсы включают те, которые определены на уровне организации (облако) или на уровне коллекции проектов (локально):

  • Сведения о других участниках, включая их адрес электронной почты и другие контактные данные, скрытые от участников.

  • Область "Параметры", включая группы безопасности и разрешения.

  • Все установленные расширения.

  • Метаданные процесса из всех процессов в организации, включая типы рабочих элементов, его поля и элементы списка выбора. Элементы списка выбора могут отображать конфиденциальную информацию, например даты выпуска, как показано на следующем рисунке:

    Изменение выпуска поля в функции

  • Если используется клиент OM WIT, который включает использование интеграции Excel и Visual Studio, он хранит конфиденциальную информацию в кэше на локальном диске. Этот кэш включает метаданные всех процессов в организации, удостоверениях и членстве в группах всех членов организации.

  • Когда пользователь добавляется в группу администраторов сборки на уровне проекта, он может создавать конвейеры, которые выполняются с областью сбора проектов (на уровне учетной записи). Конвейер с областью коллекции проектов может получить доступ к ресурсам в другом проекте, например репозиториям Git, которые пользователь не может. (Это можно изменить , удалив разрешение на чтение из службы сборки коллекции проектов).

Решение о доверии

Эти ресурсы и группы необходимы для правильного функционирования члена проекта. Ваши сотрудники обычно являются коллегами и другими пользователями, с которыми у вас есть существующие отношения. Прежде чем добавлять кого-то извне этой доверенной группы, внимательно подумайте, должны ли они иметь доступ к ранее упомянутым элементам.