我們如何儲存您的認證以進行Azure DevOps Services

Azure DevOps Services

重要

自 2020 年 3 月 2 日起，Azure DevOps 不再支援替代認證驗證。 如果您仍在使用替代認證，強烈建議您切換至更安全的驗證方法 (，例如個人存取權杖) 。 深入了解。

認證安全性

Microsoft 致力於確保您的專案保持安全，而不會有例外。 在 Azure DevOps 中，您的專案受益于多層安全性和治理技術、作業實務和合規性原則。 我們會強制執行待用和傳輸中的資料隱私權和完整性。 此外，我們遵循下列 Azure DevOps 所儲存認證或秘密的作法。 若要深入瞭解如何選擇正確的驗證機制，請參閱 驗證指引。

個人存取權杖 (PAT)

• 我們會儲存 PAT 的雜湊
• 原始 PAT 會在伺服器端產生，因為透過 RNGCryptoServiceProvider 隨機產生的 32 個位元組，然後以 base-32 編碼字串的形式與呼叫端共用。 此值未儲存
• PAT 雜湊會在伺服器端產生為原始 PAT 的 HMACSHA256Hash ，並使用儲存在金鑰保存庫中的 64 位元組對稱簽署金鑰
• 雜湊會儲存在我們的資料庫中

安全殼層 (SSH) 金鑰

• 我們會儲存封入組織識別碼和 SSH 公開金鑰的雜湊
• 原始公開金鑰是由呼叫端透過 SSL 直接提供
• SSH 雜湊會在伺服器端產生為組織識別碼的 HMACSHA256Hash ，並使用儲存在我們的金鑰保存庫中的 64 位元組對稱簽署金鑰來產生原始公開金鑰
• 雜湊會儲存在我們的資料庫中

(JWT) 的 OAuth 認證

• 這些權杖會以完全自我描述的 JSON Web 權杖發行 (JWT) ，而且不會儲存在我們的服務中
• 系統會使用儲存在金鑰保存庫中的憑證來驗證所發行和呈現給服務的 JWT 中的宣告