如何存储 Azure DevOps Services 的凭据
Azure DevOps Services
重要
Azure DevOps 不支持备用凭据身份验证。 如果仍在使用备用凭据,强烈建议切换到更安全的身份验证方法。
凭据安全性
Microsoft致力于确保项目保持安全和安全,而不例外。 在 Azure DevOps 中,项目受益于多层安全性和治理技术、操作实践和合规性策略。 我们在静态和传输中强制实施数据隐私和完整性。 此外,我们遵循以下有关 Azure DevOps 存储的凭据或机密的做法。 若要详细了解如何选择正确的身份验证机制,请参阅 身份验证指南。
个人访问令牌(PAT)
- 我们存储 PAT 的哈希
- 原始 PAT 在服务器端生成,因为通过 RNGCryptoServiceProvider 随机生成的 32 个字节,然后将调用方共享为 base-32 编码字符串。 此值未存储
- 使用存储在密钥保管库中的 64 字节对称签名密钥作为 原始 PAT 的 HMACSHA256Hash 在服务器端生成 PAT 哈希
- 哈希存储在数据库中
安全外壳 (SSH) 密钥
- 我们存储封闭组织 ID 和 SSH 公钥的哈希
- 原始公钥由调用方通过 SSL 直接提供
- 使用存储在密钥保管库中的 64 字节对称签名密钥作为组织 ID 和原始公钥的 HMACSHA256Hash 在服务器端生成 SSH 哈希
- 哈希存储在数据库中
OAuth 凭据 (JWT)
- 这些令牌作为完全自我描述的 JSON Web 令牌(JWT)颁发,不会存储在我们的服务中
- 使用密钥保管库中存储的证书验证颁发并提供给服务的 JWT 中的声明
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈