Kuruluşunuz için uygulama bağlantısı & güvenlik ilkelerini değiştirme

Önemli

Azure DevOps, 2 Mart 2020'nin başından bu yana Artık Alternatif Kimlik Bilgileri kimlik doğrulamasını desteklememektedir. Hala Alternatif Kimlik Bilgileri kullanıyorsanız, daha güvenli bir kimlik doğrulama yöntemine (örneğin, kişisel erişim belirteçleri) geçmenizi kesinlikle öneririz. Daha fazla bilgi edinin.

Uygulamaların kuruluşunuzdaki hizmetlere ve kaynaklara nasıl erişebileceğini belirleyen kuruluşunuzun güvenlik ilkelerini yönetmeyi öğrenin. Bu ilkelerin çoğuna Kuruluş Ayarları'nda erişebilirsiniz.

Önkoşullar

Proje Koleksiyonu Yöneticileri grubunun üyesi olmanız gerekir. Kuruluş sahipleri otomatik olarak bu grubun üyeleridir.

İlkeyi yönetme

Azure DevOps'ta kuruluşunuzun uygulama bağlantısını, güvenliğini ve kullanıcı ilkelerini değiştirmek için aşağıdaki adımları tamamlayın.

  1. Kuruluşunuzda (https://dev.azure.com/{yourorganization}) oturum açın.

  2. Dişli simgesiKuruluş ayarları'nı seçin.

    Kuruluş ayarları düğmesinin, önizleme sayfasının ekran görüntüsü.

  3. İlkeler'i seçin ve ilkenizin yanındaki iki durumlu düğmeyi açık veya kapalı konuma getirin.

İlke seçme ve ardından Açık veya Kapalı seçeneğinin ekran görüntüsü.

Uygulama bağlantı ilkeleri

Uygulamalar, kullanıcı kimlik bilgilerini birden çok kez istemeden kuruluşunuza erişmek için genellikle aşağıdaki kimlik doğrulama yöntemlerini kullanır:

  • Azure DevOps için REST API'lerine erişmek üzere belirteçler oluşturmak için OAuth. TÜM REST API'ler OAuth belirteçlerini kabul eder ve bu, kişisel erişim belirteçleri (PAT) üzerinden tercih edilen tümleştirme yöntemidir. Kuruluşlar, Profiller ve PAT Yönetim API'leri yalnızca OAuth'ı destekler.

  • Windows için Git çalıştıran Linux, macOS ve Windows'u kullanmaya yönelik şifreleme anahtarları oluşturmak için SSH, ancak HTTPS kimlik doğrulaması için Git kimlik bilgileri yöneticilerini veya PAT'leri kullanamazsınız.

  • Belirteç oluşturulacak PAT'ler:

    • Derlemeler ve çalışma öğeleri gibi belirli kaynaklara veya etkinliklere erişme
    • Xcode ve NuGet gibi temel kimlik bilgileri olarak kullanıcı adları ve parolalar gerektiren ve Çok faktörlü kimlik doğrulaması gibi Microsoft hesabı ve Azure Active Directory (Azure AD) özelliklerini desteklemeyen istemciler
    • Azure DevOps için REST API'lere erişme

Varsayılan olarak, kuruluşunuz tüm kimlik doğrulama yöntemlerine erişime izin verir.

Bu uygulama bağlantı ilkelerine erişimi devre dışı bırakarak OAuth ve SSH anahtarları için erişimi sınırlayabilirsiniz:

  • OAuth aracılığıyla üçüncü taraf uygulama: Üçüncü taraf uygulamaların OAuth aracılığıyla kuruluşunuzdaki kaynaklara erişmesini sağlayın. Bu ilke, tüm yeni kuruluşlar için varsayılan olarak kapalı olarak ayarlanır . Üçüncü taraf uygulamalara erişmek istiyorsanız bu uygulamaların kuruluşunuzdaki kaynaklara erişim sağlayabilmesini sağlamak için bu ilkeyi etkinleştirmeniz gerekir.
  • SSH Kimlik Doğrulaması - Uygulamaların SSH aracılığıyla kuruluşunuzun Git depolarına bağlanmasını sağlayın.

Bir kimlik doğrulama yöntemine erişimi reddettiyseniz, hiçbir uygulama bu yöntem aracılığıyla kuruluşunuza erişemez. Daha önce erişimi olan tüm uygulamalar kimlik doğrulama hataları alır ve artık kuruluşunuza erişemez.

PAT'lere erişimi kaldırmak için bunları iptal etmeniz gerekir.

Koşullu erişim ilkeleri

Azure AD, kiracıların Koşullu Erişim İlkesi (CAP) özelliği aracılığıyla Hangi kullanıcıların Microsoft kaynaklarına erişmesine izin verılacağını tanımlamasına olanak tanır. Bu ayarlar aracılığıyla kiracı yöneticisi, üyelerin aşağıdaki koşullardan herhangi birine uymasını gerektirebilir, örneğin kullanıcının şunları yapması gerekir:

  • belirli bir güvenlik grubunun üyesi olmak
  • belirli bir konuma ve/veya ağa ait
  • belirli bir işletim sistemini kullanmak
  • yönetim sisteminde etkin bir cihaz kullanıyor olmak

Kullanıcının hangi koşulları karşıladığına bağlı olarak, erişim kazanmak için çok faktörlü kimlik doğrulaması veya başka denetimler gerektirebilir veya erişimi tamamen engelleyebilirsiniz.

Azure AD destekli bir kuruluşun web portalında oturum açarsanız, Azure AD kiracı yöneticileri tarafından ayarlanan tüm CAP'ler için doğrulama gerçekleştirerek ilerleyebileceğinizi denetler.

Azure DevOps, oturum açıp Azure DevOps'ta gezindikten sonra daha fazla CAP doğrulaması da gerçekleştirebilir.

  • Azure AD CAP doğrulamayı etkinleştir ilkesi etkinleştirildiyse, web akışları tüm koşullu erişim ilkeleri için %100 kabul edilir. İlke devre dışı bırakılırsa Azure DevOps daha fazla CAP doğrulaması gerçekleştirmez, ancak Azure AD oturum açma sırasında her zaman CAP'leri denetler.
  • git.exe ile PAT kullanma gibi üçüncü taraf istemci akışları için yalnızca IP eskrim ilkelerini destekleriz. Kullanıcılar oturum açma ilkesinin PAT'ler için de zorunlu kılınabileceğini fark edebilir. Azure AD çağrıları yapmak için PAT'leri kullanmak, kullanıcının ayarlanan tüm oturum açma ilkelerine uymasını gerektirir. Örneğin, bir oturum açma ilkesi yedi günde bir kullanıcının oturum açmasını gerektiriyorsa, Azure AD isteklerinde bulunmak için PAT'leri kullanmaya devam etmek istiyorsanız yedi günde bir de oturum açmanız gerekir.

Bu üçüncü taraf istemci akışları için CAP doğrulaması sonrasında ayarlanan MFA ilkelerini desteklemiyoruz. Aşağıdaki örneklere bakın:

  • İlke 1 - x, y ve z IP aralığının dışından tüm erişimi engelleyin.
    • Kullanıcının IP x, y ve z'den izin verilen Web üzerinden Azure DevOps'a erişmesi. Bu listenin dışındaysa, kullanıcı engellenir.
    • Kullanıcının IP x, y ve z'den izin verilen alt-auth aracılığıyla Azure DevOps'a erişmesi. Bu listenin dışındaysa, kullanıcı engellenir.
  • İlke 2 - X, y ve z IP aralığının dışındayken MFA gerektirir.
    • Kullanıcının IP x, y ve z'den izin verilen Web üzerinden Azure DevOps'a erişmesi. Bu listenin dışındaysa kullanıcıdan MFA istenir.
    • Kullanıcının IP x, y ve z'den izin verilen alt-auth aracılığıyla Azure DevOps'a erişmesi. Bu listenin dışındaysa, kullanıcı engellenir.

IP tabanlı koşullar

Hem IPv4 hem de IPv6 adresleri için IP eskrim koşullu erişim ilkelerini destekliyoruz.

IPv6 adresinizin engellendiğini fark ederseniz, IP'leri IPv6 adresinize izin verecek şekilde yapılandırdıklarını onaylamanızı öneririz. Ayrıca, IPv6 adresinizin IPv4 eşlenmiş adresini tüm CAP koşullarına eklemenize yardımcı olabilir.

Bulduğumuz bir diğer sorun da kullanıcıların Azure DevOps kaynaklarına erişmek için kullandıkları IP adresinden farklı bir IP adresi aracılığıyla Azure AD oturum açma sayfasına erişebilecekleridir. Kullandığınız tüm IP adreslerinin kiracı yöneticinizin CAP'lerine dahil olduğundan emin olmak için VPN yapılandırmanızı veya ağ altyapınızı denetleyin.