我們如何儲存 Azure DevOps Services 的認證

Azure DevOps Services

重要

Azure DevOps 不支援替代認證驗證。 如果您仍在使用替代認證，強烈建議您切換到更安全的驗證方法。

認證安全性

Microsoft致力於確保您的專案保持安全無例外。 在 Azure DevOps 中，您的專案受益於多層安全性和治理技術、作業實務和合規性原則。 我們會在待用和傳輸中強制執行數據隱私權和完整性。 此外，我們遵循下列有關 Azure DevOps 所儲存認證或秘密的作法。 若要深入瞭解如何選擇正確的驗證機制，請參閱 驗證指引。

個人存取權杖 （PAT）

• 我們會儲存 PAT 的哈希
• 原始 PAT 會在伺服器端產生，因為透過 RNGCryptoServiceProvider 隨機產生的 32 個字節，然後以 base-32 編碼字元串的形式與呼叫端共用。 此值未儲存
• PAT 哈希會在伺服器端產生為 原始 PAT 的 HMACSHA256Hash ，並使用儲存在密鑰保存庫中的 64 位元組對稱簽署金鑰
• 哈希儲存在我們的資料庫中

安全殼層 （SSH） 金鑰

• 我們會儲存封入組織標識碼和 SSH 公鑰的哈希
• 原始公鑰是由呼叫端透過 SSL 直接提供
• SSH 哈希會在伺服器端產生為 組織標識碼和原始公鑰的 HMACSHA256Hash ，並使用儲存在密鑰保存庫中的 64 位元組對稱簽署金鑰
• 哈希儲存在我們的資料庫中

OAuth 認證 （JWT）

• 這些會發出為完整自我描述的 JSON Web 令牌（JWT），且不會儲存在我們的服務中
• JWT 中核發並呈現給服務的宣告，會使用儲存在密鑰保存庫中的憑證進行驗證