Детализированные области для OAuth Azure Active Directory

Мы предлагаем поддержку детализированных областей Azure DevOps, которые можно использовать для ограничения поведения приложений OAuth Azure Active Directory, которые интегрируются с Azure DevOps.

Задавая области в приложении, можно ограничить операции (например, запись в рабочие элементы, просмотр исходного кода, настройка конвейеров и т. д.), которые приложение может выполнять при подключении к Azure DevOps от имени пользователя. Приложения, использующие единый широкий область олицетворения пользователя, который позволяет приложению выполнять любые операции, разрешенные базовому пользователю, теперь могут использовать детализированные области для ограничения его поведения. Например, приложению, которое считывает только рабочие элементы, может быть предоставлена только workitem_read область, чтобы оно не давалось делать ничего за пределами этого поведения намеренно или иным образом.

Добавление областей в приложение потребует, чтобы все приложения, с которыми вы интегрируете, сначала объявили, что они пытаются сделать для вас, заранее определив эти области. Эти области будут доступны для просмотра, прежде чем давать согласие на авторизацию этого приложения для выполнения действий от вашего имени. Это обеспечит более подробную информацию о том, что приложение делает с ресурсами, к которым у вас есть доступ.

Как разработчик приложения, это поможет ограничить вектор риска, если маркер, выданный приложением, попадает в чужие руки.