Detaljerade omfång för Azure Active Directory OAuth

Vi ger stöd för detaljerade Azure DevOps-omfång som kan användas för att begränsa beteendet för De Azure Active Directory OAuth-program som integreras med Azure DevOps.

Genom att ange omfång för ett program kan du begränsa åtgärderna (t.ex. att skriva till arbetsobjekt, visa källkod, konfigurera pipelines osv.) som ett program kan göra när du ansluter till Azure DevOps för användarens räkning. Appar som använder ett enda brett användarpersonifieringsomfång som gör att appen kan utföra alla åtgärder som den underliggande användaren tillåts utföra kan nu använda de detaljerade omfången för att begränsa dess beteende. Till exempel kan en app som bara läser arbetsobjekt endast ges ett workitem_read omfång så att den inte kan göra något utanför det här beteendet avsiktligt eller på annat sätt.

Om du lägger till omfång i ett program måste alla program som du integrerar med först deklarera vad de försöker göra åt dig genom att definiera dessa omfång i förväg. Dessa omfång kommer att vara tillgängliga för dig att granska innan du samtycker till att ge den här appen behörighet att utföra åtgärder för din räkning. På så sätt får du bättre insyn i vad ett program gör med resurser som du har åtkomst till.

Som programutvecklare hjälper detta till att begränsa riskvektorn om en token som utfärdats av ditt program hamnar i fel händer.