安全性

存储在安全命名空间中的数据用于确定用户是否拥有在特定资源上执行特定操作的权限。

通常，每个资源系列 (工作项、Git 存储库等，) 使用不同的命名空间进行保护。 每个安全命名空间包含零个或多个访问控制列表。 每个访问控制列表都包含一个令牌、一个继承标志和一组零个或多个访问控制项。 每个访问控制项都包含一个标识描述符、一个允许的权限位掩码和一个拒绝的权限位掩码。

令牌是表示 Azure DevOps 中的资源的任意字符串。 令牌格式因资源类型而异，但 层次结构 和 分隔符 在所有标记之间是通用的。

层次结构

• 安全命名空间可以是分层的，也可以是平面的。
• 分层命名空间中的令牌存在于层次结构中，有效权限将从父令牌继承到子令牌。
• 平面命名空间中的标记没有任何两个标记之间的父子关系的概念。

分隔符

• 分层命名空间中的标记具有每个路径部分的固定长度或可变长度。
• 如果标记具有可变长度的路径部分，则使用分隔符来区分一个路径部分结束和另一个路径部分开始的位置。

除了 层次结构 和 分隔符之外 ，标记的内容也因资源需求而异。

常见任务

获取安全命名空间

获取 安全命名空间的列表。

获取、添加和删除访问控制列表

1. 获取 安全命名空间中访问控制列表的列表。
2. 将 访问控制列表的列表添加到安全命名空间。
3. 从 安全命名空间中删除访问控制列表的列表。

添加和删除访问控制项

1. 将 访问控制项列表添加到访问控制列表。
2. 从 访问控制列表中删除访问控制项的列表。

评估有效权限

确定标识是否对令牌或令牌列表具有 请求的权限 。

有选择地删除权限

从访问控制项中删除权限。

相关概念性文章

• 权限、访问和安全组入门
• 关于安全性、身份验证和授权