托管标识和服务主体支持
如今,大多数应用程序集成方案依赖于个人访问令牌 (PAC) 与 Azure DevOps 集成。 PAT 很容易泄漏,从而可能使恶意参与者能够以强大的用户身份进行身份验证,而无需保护 Azure Active Directory 安全功能(如条件访问策略)。 为防止这种情况,它们可能需要耗时的维护,包括定期轮换。
我们正在努力使应用程序能够改用托管标识和服务主体,通过 REST API 和客户端库与 Azure DevOps 集成。 这项要求很高的功能为 Azure DevOps 客户提供一种更安全的 PAC 替代方法。 托管标识使 Azure 资源上运行的应用程序能够获取 Azure AD 令牌,而无需管理任何凭据。
可以在 Azure DevOps 中设置托管标识和服务主体,并授予对特定资产的权限, (项目、存储库、管道) ,就像普通用户一样。 这允许使用托管标识或服务主体的应用程序连接到 Azure DevOps,并像 PAC 那样代表自己而不是代表用户执行操作。 这可确保团队可以更好地共同管理其服务,而不是依赖任何一个人来提供用于身份验证的令牌。