Справочник по пространству имен безопасности и разрешениям для Azure DevOps

  • Статья

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Пространства имен безопасности используются для хранения списков управления доступом (ACL) на маркерах. Данные, хранящиеся в пространствах имен безопасности, определяют уровень доступа к следующим сущностям, чтобы выполнить определенное действие для определенного ресурса.

  • Пользователь Azure DevOps
  • Владелец организации Azure DevOps
  • Член группы безопасности Azure DevOps
  • Учетная запись службы Azure DevOps
  • Субъект-служба Azure DevOps

Каждое семейство ресурсов, таких как рабочие элементы или репозитории Git, защищается с помощью уникального пространства имен. Каждое пространство имен безопасности содержит ноль или несколько списков управления доступом. Каждый список ACL содержит маркер, флаг наследования и набор записей управления доступом (ACEs). Каждый ACE содержит дескриптор удостоверения, разрешенную битовую маску разрешений и битовую маску запрещенных разрешений. Маркеры — это произвольные строки, представляющие ресурсы в Azure DevOps.

Примечание.

Пространства имен и маркеры действительны для всех версий Azure DevOps. Перечисленные здесь допустимы для Azure DevOps 2019 и более поздних версий. Пространства имен могут изменяться с течением времени. Чтобы получить последний список пространств имен, выполните одно из средств командной строки или REST API. Некоторые пространства имен устарели, как указано в разделе "Нерекомендуемые и доступные только для чтения пространства имен" далее в этой статье.

Средства управления разрешениями

Рекомендуемый метод управления разрешениями осуществляется через веб-портал. Однако если вам нужно задать разрешение, которое не отображается на веб-портале или задать более детализированные разрешения, можно использовать один из средств командной строки или REST API.

Для всех экземпляров Azure DevOps можно использовать REST API безопасности.

Пространства имен безопасности и их идентификаторы

В этой статье описаны допустимые пространства имен, список связанных разрешений и ссылки на дополнительные сведения. Многие пространства имен безопасности соответствуют разрешениям, заданным на странице веб-портала "Безопасность или разрешения ". Другие пространства имен или разрешения выбора не отображаются на веб-портале. По умолчанию они предоставляют доступ членам групп безопасности или субъектам-службам Azure DevOps. Пространства имен группируются в следующие категории на основе того, как они управляются через веб-портал.

  • Уровень объекта
  • Уровень проекта
  • Организация или уровень сбора
  • Уровень сервера (только в локальной среде)
  • На основе ролей
  • Только для внутреннего использования

Иерархия и маркеры

Пространство имен безопасности может быть иерархическим или неструктурированным. Маркеры в иерархическом пространстве имен существуют в иерархии с эффективными разрешениями, унаследованными от родительских маркеров к дочерним маркерам. Маркеры в неструктурированном пространстве имен не имеют понятия о связи родительского-дочернего элемента между любыми двумя маркерами.

Маркеры в иерархическом пространстве имен имеют фиксированную длину для каждой части пути или переменной длины. Если маркеры имеют части пути переменной длины, то символ разделителя используется для различения того, где заканчивается одна часть пути, а другая начинается.

Маркеры безопасности не учитывает регистр. Примеры маркеров для разных пространств имен приведены в следующих разделах.

Пространства имен уровня объекта и разрешения

В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне объектов. Большинство перечисленных разрешений управляются на странице веб-портала для каждого объекта. Разрешения задаются на уровне проекта и наследуются на уровне объекта, если не изменено.

Пространство имен

Разрешения

Description

AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

Управляет разрешениями аналитики на уровне проекта и на уровне объектов для чтения, редактирования, удаления и создания отчетов. Эти разрешения можно управлять для каждого представления Аналитики из пользовательского интерфейса.

Формат маркера для разрешений уровня проекта: $/Shared/PROJECT_ID
Пример:$/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

Идентификатор:d34d3680-dfe5-4cc6-a949-7d9c68f73cba

Сборка

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Управляет разрешениями сборки на уровне проекта и на уровне объектов.

Формат токена для разрешений сборки на уровне проекта: PROJECT_ID
Если необходимо обновить разрешения для определенного идентификатора определения сборки, например 12, маркер безопасности для этого определения сборки выглядит следующим образом:
Формат токена для разрешений на сборку на уровне проекта: PROJECT_ID/12
Пример:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

Идентификатор:33344d9c-fc72-4d6f-aba5-fa317101a7e9

CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Управляет разрешениями уровня объекта на уровне области для создания, редактирования и удаления дочерних узлов и задания разрешений для просмотра или редактирования рабочих элементов в узле. Эти разрешения можно управлять с помощью разрешений Set и доступа для отслеживания работы, создания дочерних узлов, изменения рабочих элементов в пути к области.

Идентификатор:83e28ad4-2d72-4ceb-97b0-c7726d5502c3

Панели мониторингаPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Управляет разрешениями на уровне объекта панели мониторинга для редактирования и удаления панелей мониторинга и управления разрешениями для панели мониторинга проекта. Эти разрешения можно управлять с помощью пользовательского интерфейса панели мониторинга.

Идентификатор:8adf73b7-389a-4276-b638-fe1653f7efc7

Репозитории Git

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Управляет разрешениями репозитория Git на уровне проекта и на уровне объектов. Эти разрешения можно управлять с помощью параметров проекта, административного интерфейса репозиториев.

Разрешение Administer было разделено на несколько более подробных разрешений в 2017 году и не должно использоваться.
Формат токена для разрешений на уровне проекта: repoV2/PROJECT_ID
Необходимо добавить RepositoryID к обновлению разрешений на уровне репозитория.

Формат маркера для разрешений для конкретного репозитория: repoV2/PROJECT_ID/REPO_ID

Идентификатор:2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87

Итерация

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Управляет разрешениями на создание, изменение и удаление дочерних узлов и просмотр разрешений дочернего узла на уровне объекта. Сведения об управлении с помощью веб-портала см. в статье "Настройка разрешений и доступа для отслеживания работы", создание дочерних узлов.
Формат токена: 'vstfs:///Classification/Node/Iteration_Identifier/'
Предположим, у вас есть следующие итерации, настроенные для вашей команды.
— ProjectIteration1
  TeamIteration1
     — TeamIteration1ChildIteration1
     — TeamIteration1ChildIteration2
     — TeamIteration1ChildIteration3
  TeamIteration2
     — TeamIteration2ChildIteration1
     — TeamIteration2ChildIteration2

Чтобы обновить разрешения для ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1, маркер безопасности выглядит следующим образом:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

Идентификатор:bf7bfa03-b2b7-47db-8113-fa2e002cc5b1

MetaTask

Administer
Edit
Delete

Управляет разрешениями группы задач для редактирования и удаления групп задач и администрирования разрешений группы задач. Сведения об управлении с помощью веб-портала см. в разделе "Разрешения конвейера" и роли безопасности, разрешения группы задач.

Формат токена для разрешений на уровне проекта: PROJECT_ID
Формат токена для разрешений уровня metaTask: PROJECT_ID/METATASK_ID

Если MetaTask имеет parentTaskId, маркер безопасности выглядит следующим образом:
Формат токена: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

Идентификатор:f6a4de49-dbe2-4704-86dc-f8ec1a294436

Планирование

View
Edit
Delete
Manage

Управляет разрешениями для планов доставки для просмотра, редактирования, удаления и управления планами доставки. Эти разрешения можно управлять с помощью веб-портала для каждого плана.

Идентификатор:bed337f8-e5f3-4fb9-80da-81e17d06e7a8

ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Управляет разрешениями определения выпуска на уровне проекта и объекта.

Формат токена для разрешений на уровне проекта: PROJECT_ID
Пример:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Если необходимо обновить разрешения для определенного идентификатора определения выпуска, например 12, маркер безопасности для этого определения выпуска выглядит следующим образом:

Формат токена для определенных разрешений определения выпуска: PROJECT_ID/12
Пример:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Если идентификатор определения выпуска находится в папке, маркеры безопасности выглядят следующим образом:
Формат токена: PROJECT_ID/{folderName}/12
Для этапов маркеры выглядят следующим образом: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}

Идентификатор:c788c23e-1b46-4162-8f5e-d7585343b5de

WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Управляет разрешениями для запросов рабочих элементов и папок запросов. Сведения об управлении ими с помощью веб-портала см. в статье "Настройка разрешений и доступа для отслеживания работы", "Установка разрешений" для запросов или папок запросов.

Идентификатор:71356614-aad7-4757-8f2c-0fb3bff6f680

Пространства имен и разрешения уровня проекта

В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне проекта. Большинство перечисленных разрешений управляются с помощью контекста администрирования веб-портала. Администратор istratorы проекта предоставляются все разрешения на уровне проекта. Другие группы уровня проекта имеют назначения разрешений.

Пространство имен

Разрешения

Description

Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Управляет разрешениями на уровне проекта.
Разрешение AGILETOOLS_BACKLOG управляет доступом к невыполненной работы в Azure Boards. Это внутренний параметр разрешения и не должен быть изменен.

Формат корневого маркера: $PROJECT
Маркер для защиты разрешений для каждого проекта в организации.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Предположим, что у вас есть проект с именем Test Project 1.
Идентификатор проекта для этого проекта можно получить с помощью az devops project show команды.
az devops project show --project "Test Project 1"
Команда возвращает идентификатор проекта, например xxxxxxxx-a1de-4bc8-b751-188eea17c3ba.
Таким образом, маркер для защиты разрешений Test Project 1 , связанных с проектом, — это:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'

Идентификатор:52d39943-cb85-4d7f-8fa8-c6baac873819

Маркировка

Enumerate
Create
Update
Delete

Управляет разрешениями на создание, удаление, перечисление и использование тегов рабочих элементов. Вы можете управлять разрешением на определение тега с помощью параметров проекта, административного интерфейса разрешений.

Формат токена для разрешений на уровне проекта: /PROJECT_ID
Пример:/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

Идентификатор:bb50f182-8e5e-40b8-bc21-e8752a1e7ae2

VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Управляет разрешениями для репозитория система управления версиями Team Foundation (TFVC). Для проекта существует только один репозиторий TFVC. Эти разрешения можно управлять с помощью параметров проекта, административного интерфейса репозиториев.

Идентификатор:a39371cf-0841-4c16-bbd3-276e341bc052

Пространства имен уровня организации и разрешения

В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне организации. Большинство перечисленных разрешений управляются с помощью контекста параметров организации веб-портала. Владельцы и члены группы "Коллекция проектов" Администратор istrators предоставляются большинство этих разрешений. Дополнительные сведения см. в разделе "Изменение разрешений на уровне коллекции проектов".

Пространства имен уровня коллекции и разрешения

В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне организации. Большинство перечисленных разрешений управляются с помощью контекста параметров коллекции веб-портала. Большинство этих разрешений предоставляются участникам группы Администратор istrators коллекции проектов. Дополнительные сведения см. в разделе "Изменение разрешений на уровне коллекции проектов".

Пространство имен

Разрешения

Description

AuditLog

Read
Write
Manage_Streams
Delete_Streams

Управляет разрешениями аудита для чтения или записи в журнал аудита и управления или удаления потоков аудита.

Формат токена: /AllPermissions
Идентификатор:a6cc6381-a1ca-4b36-b3c1-4e65211e82b6

Сборка Администратор istration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies

Управляет доступом к просмотру, управлению, использованию или администрированию разрешений для ресурсов сборки.

Идентификатор:302acaca-b667-436d-a946-87133492041c

Коллекция

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Управляет разрешениями на уровне организации или коллекции.

Идентификатор:3e65f728-f8bc-4ecd-8764-7e378b19bfa7

Обработка

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions

Управляет разрешениями для создания, удаления и администрирования процессов.
Идентификатор:2dab47f9-bd70-49ed-9bd5-8eb051e59c02

Рабочие области

Read
Use
Checkin
Administer

Управляет разрешениями для администрирования изменений, рабочих областей и возможности создания рабочей области на уровне организации или коллекции. Пространство имен рабочих областей применяется к репозиторию TFVC.

Формат корневого маркера: /
Формат токена для конкретной рабочей области: /{workspace_name};{owner_id}

Идентификатор:93bafc04-9075-403a-9367-b7164eac6b5c

VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Управляет разрешениями для репозитория система управления версиями Team Foundation (TFVC).

Разрешение AdminConfiguration предоставляет пользователям возможность изменять разрешения на уровне сервера для пользователей и групп. Разрешение AdminConnections предоставляет пользователям возможность читать содержимое файла или папки локального репозитория на уровне сервера.

Идентификатор:66312704-deb5-43f9-b51c-ab4ff5e351c3

Пространства имен на уровне сервера и разрешения

В следующей таблице описаны пространства имен безопасности и разрешения, определенные для локальных экземпляров Azure DevOps Server. Эти разрешения можно управлять участниками группы Администратор istrators Team Foundation с помощью консоли администрирования Azure DevOps Server. Описание этих разрешений см. в разделе "Разрешения и группы", разрешения на уровне сервера.

Пространство имен

Разрешения

Description

CollectionManagement

CreateCollection
DeleteCollection

Управляет разрешениями на уровне сервера для создания и удаления коллекций проектов.

Идентификатор:52d39943-cb85-4d7f-8fa8-c6baac873819

Сервер

GenericRead
GenericWrite
Impersonate
TriggerEvent

Управляет разрешениями на уровне сервера. Сюда входят разрешения на изменение сведений на уровне экземпляра, выполнение запросов от имени других пользователей и активация событий.

Идентификатор:1f4179b3-6bac-4d01-b421-71ea09171400

Склад

Administer

Предоставляет разрешение на обработку или изменение параметров для хранилища данных или куба анализа SQL Server с помощью веб-службы управления хранилищем.

Идентификатор:b8fbab8b-69c8-4cd9-98b5-873656788efb

Пространства имен и разрешения на основе ролей

В следующей таблице описаны пространства имен безопасности и разрешения, используемые для управления безопасностью на основе ролей. Вы можете управлять назначениями ролей с помощью веб-портала для ресурсов конвейера, как описано , разрешения конвейера и роли безопасности.

Пространство имен

Разрешения

Description

DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Управляет разрешениями для доступа к ресурсам пула агентов. По умолчанию на уровне проекта назначаются следующие роли и разрешения и наследуются для каждого созданного пула агентов:

  • Роль читателя (View только разрешения) всем членам группы допустимых пользователей Project
  • роль Администратор istrator (все разрешения) членам групп сборок Администратор istrator, Project Администратор istrator и release Администратор istrator.
  • Роль пользователя (View, Useи Create разрешения) всем членам группы участников
  • Роль создателя (View, Useи Create разрешения) всем членам группы участников

    Идентификатор:101eae8c-1709-47f9-b228-0e476c35b3ba

Среда

View
Manage
ManageHistory
Administer
Use
Create

Управляет разрешениями для создания сред и управления ими. По умолчанию назначаются следующие разрешения:

  • Роль читателя (View только разрешения) всем членам группы допустимых пользователей Project
  • Роль создателя (View, Useи Create разрешения) всем членам группы участников
  • Роль создателя (Viewи UseCreate разрешения) для всех членов группы project Администратор istrator
  • роль Администратор istrator (все разрешения) пользователю, создавшему определенную среду.

    Идентификатор:83d4c2e6-e57d-4d6e-892b-b87222b7ad20

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Роль диспетчера — единственная роль, используемая для управления безопасностью расширений Marketplace. Члены роли диспетчера могут устанавливать расширения и отвечать на запросы на установку расширений. Другие разрешения назначаются автоматически членам групп безопасности по умолчанию и субъектов-служб. Сведения о добавлении пользователей в роль диспетчера см. в статье "Управление разрешениями расширения".

Идентификатор:5d6d7b80-3c63-4ab0-b699-b6a5910f8029

Библиотека

View
Administer
Create
ViewSecrets
Use
Owner

Управляет разрешениями для создания элементов библиотеки и управления ими, включая безопасные файлы и группы переменных. Членство в ролях для отдельных элементов автоматически наследуется от тех, которые относятся к узлу Библиотека. По умолчанию назначаются следующие разрешения:

  • Роль читателя (View только разрешения) всем членам группы допустимых пользователей проекта и учетной записи службы сборки коллекции проектов
  • Роль создателя (View, Useи Create разрешения) всем членам группы участников
  • Роль создателя (, , UseCreateи Owner разрешения) участнику, который создал элементView библиотеки
  • роль Администратор istrator (все разрешения) членам групп сборок Администратор istrator, Project Администратор istrator и release Администратор istrator.
    Дополнительные сведения см. в разделе "Роли безопасности ресурсов библиотеки".

    Идентификатор:b7e84409-6553-448a-bbb2-af228e07cbeb

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Управляет разрешениями для создания подключений служб и управления ими. Членство в роли для отдельных элементов автоматически наследуется от тех, которые определены на уровне проекта. По умолчанию назначаются следующие роли:

  • Роль читателя (View только разрешения) всем членам группы допустимых пользователей проекта и учетной записи службы сборки коллекции проектов
  • Роль создателя (View, Useи Create разрешения) членам группы безопасности службы Endpoint Creators.
  • роль Администратор istrator (все разрешения) членам группы безопасности служб Администратор istrator конечной точки.
    Роли назначаются с помощью ролей безопасности подключения службы.

    Идентификатор:49b48001-ca20-4adc-8111-5b60c903a50c

Внутренние пространства имен и разрешения

В следующей таблице описаны пространства имен безопасности и разрешения, которые не отображаются на веб-портале. Они в основном используются для предоставления доступа к членам групп безопасности по умолчанию или внутренним ресурсам. Настоятельно рекомендуется не изменять эти параметры разрешений каким-либо образом.

Пространство имен

Разрешения

Description

Account Администратор Security

Read
Create
Modify

Управляет разрешениями на чтение или изменение владельца учетной записи организации. Эти разрешения назначаются владелец организации и членам группы Администратор istrator коллекции проектов.

Идентификатор:11238e09-49f2-40c7-94d0-8f0307204ce4

Аналитика

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Управляет разрешениями для чтения, администрирования разрешений и выполнения запросов к службе Аналитики.

Формат токена для разрешений на уровне проекта: $/PROJECT_ID
Пример:$/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

Идентификатор:58450c49-b02d-465a-ab12-59ae512d6531

BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Задает разрешения для чтения, удаления, создания и управления безопасностью хранилища данных. Эти разрешения назначаются нескольким субъектам-службам Azure DevOps.

Идентификатор:19F9F97D-7CB7-45F7-8160-DD308A6BD48E

Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Управляет разрешениями и доступом к доскам Kanban.

Идентификатор:251e12d9-bea3-43a8-bfdb-901b98c0125e

BoardsExternalIntegration

Read
Write

Управляет разрешениями на чтение и запись внешних интеграции с Azure Boards.

Идентификатор:5ab15bc8-4ea1-d0f3-8344-cab8fe976877

Чат

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Управляет разрешениями для служб чатов, интегрированных с Azure DevOps, например Slack и Microsoft Teams. Дополнительные сведения см. в статье Azure Boards with Slack, Azure Boards with Microsoft Teams, Azure Pipelines with Slack, Azure Pipelines with Microsoft Teams, Azure Repos with Slack и Azure Repos with Microsoft Teams.

Идентификатор:bc295513-b1a2-4663-8d1a-7017fd760d18

Потоки обсуждения

Administer
GenericRead
GenericContribute
Moderate

Управляет разрешениями для просмотра, управления, модерации и участия в настройке обсуждений проверки кода для Azure Pipelines.

Идентификатор:0d140cae-8ac1-4f48-b6d1-c93ce0301a12

EventPublish

Read
Write

Предоставляет доступ для чтения и записи для обработчика уведомлений.

Идентификатор:7cd317f2-adc6-4b6c-8d99-6074faeaf173

EventSubscriber

GENERIC_READ
GENERIC_WRITE

Предоставляет доступ на чтение и запись для подписчиков уведомлений.

Идентификатор:2bf24a2b-70ba-43d3-ad97-3d9e1f75622f

EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Управляет разрешениями члена для просмотра, редактирования и отмены подписки на уведомления или создания подписки SOAP.

Идентификатор:58b176e7-3411-457a-89d0-c6d0ccb3c52b

Идентификация

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Управляет разрешениями на чтение, запись и удаление сведений об удостоверениях учетной записи пользователя; управление членством в группах и создание и восстановление удостоверений область. Разрешение ManageMembership автоматически предоставляется членам групп Администратор istrators Project и коллекции проектов Администратор istrators.

Формат токена для разрешений на уровне проекта: PROJECT_ID
Пример:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Изменение разрешений уровня группы для идентификатора источника группы [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Токен: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

Идентификатор:5a27515b-ccd7-42c9-84f1-54c998f03866

Лицензирование

Read
Create
Modify
Delete
Assign
Revoke

Управляет возможностью просмотра, добавления, изменения и удаления уровней лицензий. Эти разрешения автоматически предоставляются членам групп Администратор istratorов коллекции проектов.

Идентификатор:453e2db3-2e81-474f-874d-3bf51027f2ee

PermissionLevel

Read
Create
Update
Delete

Управляет возможностью создания и скачивания отчетов разрешений.

Идентификатор:25fb0ed7-eb8f-42b8-9a5e-836a25f67e37

OrganizationLevelData

Project-Scoped Users

Применяет разрешение на отказ на уровне системы в пространстве имен, которое поддерживает группу пользователей с областью проекта. Члены группы имеют ограниченную видимость данных уровня организации. Дополнительные сведения см. в статье "Управление организацией", ограничение видимости пользователей для проектов и многое другое.
Идентификатор:F0003BCE-5F45-4F93-A25D-90FC33FE3AA9

PipelineCachePrivileges

Read
Write

Управляет разрешениями для чтения и записи записей кэша конвейера. Эти разрешения назначаются только внутренним принципам службы Azure DevOps.
Идентификатор:62a7ad6b-8b8d-426b-ba10-76a7090e94d5

ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Управляет доступом к элементам пользовательского интерфейса управления выпусками.

Идентификатор:7c7d32f7-0e86-4cd6-892e-b35dbba870bd

SearchSecurity

ReadMembers ReadAnonymous

Это пространство имен безопасности используется для того, чтобы узнать, является ли пользователь допустимым или анонимным или общедоступным.

Идентификатор:ca535e7e-67ce-457f-93fe-6e53aa4e4160

ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Управляет разрешениями для просмотра, редактирования и удаления подписок на перехватчик служб и публикации событий перехватчика служб. Эти разрешения автоматически назначаются членам группы Администратор istrators коллекции проектов. DeleteSubscriptions больше не используется; EditSubscriptions может удалять перехватчики службы.

Идентификатор:cb594ebe-87dd-4fc9-ac2c-6a10a4c92046

ИспользованиеPermissions

QueryUsageSummary

Управляет разрешениями для запроса использования. По умолчанию всем членам групп Администратор istrators коллекции проектов и пользователям, которым предоставлен доступ заинтересованных лиц, предоставляется разрешение на запрос сводки по использованию для всех пользователей. Дополнительные сведения см. в разделе "Ограничения скорости".

Формат токена: /
Идентификатор:83abde3a-4593-424e-b45f-9898af99034d

WorkItemTracking Администратор istration

ManagePermissions
DestroyAttachments

Управляет разрешениями для администрирования отслеживания работы и уничтожения вложений.
Идентификатор:445d2788-c5fb-4132-bbef-09c4045ad93f

WorkItemTrackingProvision

Administer
ManageLinkTypes

Управляет разрешениями для изменения процессов отслеживания работы и управления типами ссылок. Пространство имен WorkItemTrackingProvision — это более старое пространство имен безопасности, которое в основном используется для TFS-2018 и более ранних версий. Пространство имен процесса заменяет это пространство имен для управления процессами в Azure DevOps Server 2019 и более поздних версий.

Формат корневого маркера: /$
Формат токена для конкретного проекта: $/PROJECT_ID

Идентификатор:5a6cd233-6615-414d-9393-48dbb252bd23

Нерекомендуемые и доступные только для чтения пространства имен

Следующие пространства имен являются устаревшими или доступны только для чтения. Их не следует использовать.

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration