Azure DevOps Server 2022 |Azure DevOps Server 2020 |Azure DevOps Server 2019
若要有效地部署和管理 Azure DevOps Server,您必須瞭解其運作方式,並與其他部署元件通訊。 身為 Azure DevOps 系統管理員,您應該熟悉 Windows 驗證、網路協定和流量,以及 Azure DevOps 安裝所在的商務網路結構。 您也應該瞭解 Azure DevOps 群組和許可權。
您也可以瞭解 SQL Server、SQL Server Reporting Services 和 SharePoint 產品。
如果您瞭解本文所述的元件和詞彙,您最好能夠規劃、部署及管理 Azure DevOps Server。
分析服務
Analytics 服務是適用於 Azure DevOps 的未來報告平臺。 它目前可在 Azure DevOps Services 上使用,而且可從 Azure DevOps Server 上的 Azure DevOps Marketplace 安裝。 如需詳細資訊,請參閱 什麼是 Analytics 服務?
應用層、數據層和用戶端層
組成 Azure DevOps Server 的邏輯層。 這些層可能全部部署在相同的實體計算機上,或可能安裝在多部計算機上。 如需詳細資訊,請參閱 Azure DevOps Server 的架構概觀。
專案集合
Azure DevOps Server 中所有數據的主要組織單位。 集合決定可提供給添加至其中的項目的資源。 這些資源可能包括 SQL Server Reporting Services、程式代碼搜尋、Marketplace 延伸模組等等。 如需詳細資訊,請參閱 管理專案集合。
專案
提供您團隊一個中心點,分享開發特定軟體技術或產品所需的團隊活動。 項目會組織在專案集合中。 如需詳細資訊,請參閱 關於專案和擴展組織規模。
Azure DevOps Server 管理控制台
Azure DevOps Server 系統管理員用來設定和管理資源的集中式管理工具。 如需詳細資訊,請參閱 系統管理工作快速參考。
服務帳戶
Azure DevOps 所執行的 Web 服務和應用程式所需的帳戶或帳號。 Azure DevOps Server 需要服務帳戶跨伺服器和 Web 服務執行作業。 這些服務帳戶有特定需求。 如需詳細資訊,請參閱 Azure DevOps Server 中的服務帳戶和相依性。
SharePoint 產品
提供專案入口網站和資訊面板支援的軟體。 您可以在部署 Azure DevOps Server 時包含一或多個 SharePoint Web 應用程式。 若要包含其中一個應用程式,您必須安裝及設定適用於 SharePoint 產品的 Azure DevOps Server 擴充功能,而且您必須設定整個部署的許可權。 如需詳細資訊,請參閱 在專案入口網站上共用資訊。 TFS 2018 及更高版本已不再支援與 SharePoint 產品的整合。
SQL Server 和 SQL Server Reporting Services
軟體提供數據倉儲的資料庫平臺,以及數據整合、分析和報告解決方案的商業智能平臺。 Azure DevOps Server 會將其數據儲存在 SQL Server 資料庫中。 您也可以選擇性地包含執行 SQL Server Reporting Services 的伺服器,並自動產生專案的報表。 如需詳細資訊,請參閱 管理報表、數據倉儲和分析服務 Cube。
安全性概念
若要優化 Azure DevOps Server 的安全性,您應該瞭解下列概念:
- 拓撲,其中包括部署執行 Azure DevOps 元件之伺服器的位置和方式、Azure DevOps Server 與 Azure DevOps 用戶端之間傳遞的網路流量,以及必須在 Azure DevOps Server 上執行的服務。
- 驗證,其中包括判斷 Azure DevOps Server 中使用者、群組和服務的有效性。
- 授權,其中包括判斷 Azure DevOps Server 中的有效使用者、群組和服務是否具有執行特定動作的適當許可權。
您也應該考慮 Azure DevOps Server 相依的其他元件和服務。
當您考慮 Azure DevOps Server 的安全性時,必須瞭解驗證與授權之間的差異。 驗證是一個身份驗證的過程,對客戶端、伺服器或進程的連線嘗試進行憑證的驗證。 授權是嘗試連線的身分識別有權存取物件或方法的驗證。 只有在成功驗證之後,才會進行授權。 如果連線未通過驗證,在執行任何授權檢查之前會失敗。 如果連線驗證成功,可能仍然不允許特定動作,因為使用者或群組未獲授權執行該動作。
拓撲、埠和服務
Azure DevOps Server 部署和安全性的第一個元素,是部署的元件是否可以彼此連線以通訊。 您的目標是啟用 Azure DevOps 用戶端與 Azure DevOps Server 之間的連線,並限制或防止其他連線嘗試。
Azure DevOps Server 取決於特定埠和服務,使其能夠運作。 您可以保護及監視這些埠,以協助符合商務安全性需求。 您必須允許 Azure DevOps Server 的網路流量在 Azure DevOps 用戶端之間傳遞、裝載應用層邏輯元件的伺服器和數據層、Team Foundation Build 的計算機,以及使用 Azure DevOps Proxy Server 的遠端用戶端。 根據預設,Azure DevOps Server 會設定為其 Web 服務使用 HTTP。 如需 Azure DevOps Server 使用之埠和服務的完整清單,以及其架構內的使用方式,請參閱 Azure DevOps Server 架構。
您可以在 Active Directory 網域或工作組中部署 Azure DevOps Server。 Active Directory 提供比工作組提供的更內建安全性功能。 您可以使用 Active Directory 功能來協助保護您的 Azure DevOps Server 部署。 例如,您可以設定 Active Directory 來防止電腦名稱重複,這樣惡意使用者就無法利用執行 Azure DevOps Server 的流氓伺服器來偽裝電腦名稱。 若要降低工作組中的相同威脅類型,您必須設定計算機憑證。
無論您是在工作組或網域中部署 Azure DevOps Server,都必須符合 Azure DevOps Server 本身需求所強加的特定限制。 如需 Azure DevOps Server 拓撲的詳細資訊,請參閱 簡單 Azure DevOps Server 拓撲、中度 Azure DevOps Server 拓撲、複雜的 Azure DevOps Server 拓撲、瞭解 Windows SharePoint Services和 瞭解 SQL Server 和 SQL Server Reporting Services。
認證
Azure DevOps Server 的安全性與 Windows 整合,並依賴 Windows 整合式驗證以及 Windows 作業系統的安全性功能。 您可以使用 Windows 整合式驗證來驗證 Azure DevOps 用戶端與 Azure DevOps Server 之間的連線帳戶、裝載邏輯應用程式和數據層之伺服器上的 Web 服務,以及應用層與數據層伺服器本身之間的連線。
備註
您可以在安裝 Azure DevOps Server 之後,將 Azure DevOps Server 設定為支援 Kerberos,以相互驗證客戶端和伺服器。
您不應該將 Azure DevOps Server 與 SharePoint 產品之間的任何 SQL Server 資料庫連線設定為使用 SQL Server 驗證,因為它不如 Windows 驗證那麼安全。 當您連線到資料庫時,資料庫管理員帳戶的使用者名稱和密碼會以未加密的格式傳送。 Windows 整合式驗證不會傳送使用者名稱和密碼。 相反地,它會使用 Windows 整合式驗證安全性通訊協定,將與主機 Internet Information Services (IIS) 應用程式集區相關聯的服務帳戶身分識別資訊傳輸到 SQL Server。
授權
Azure DevOps Server 授權是基於 Azure DevOps 中的使用者和群組、直接指派給這些使用者和群組的許可權,以及這些使用者和群組透過屬於 Azure DevOps Server 中其他群組而可能繼承的許可權。 Azure DevOps 中的使用者和群組可以是本機使用者或群組、Active Directory 使用者或群組,或兩者。
Azure DevOps Server 已預先設定伺服器、集合和專案層級的預設群組。 您可以藉由新增個別使用者來填入這些群組。 不過,如果您使用 Active Directory 安全組填入這些群組,您可能會發現管理更容易。 透過採用這種方法,您可以更有效率地跨多部計算機或應用程式管理群組成員資格和許可權,例如 SharePoint 產品和 SQL Server。
您的特定部署可能需要您在多部計算機和數個應用程式內設定使用者、群組和許可權。 例如,如果您想要在部署中包含報表和專案入口網站,則必須在 Reporting Services、SharePoint 產品與 Azure DevOps Server 中設定使用者和群組的許可權。 在 Azure DevOps Server 中,您可以設定每個專案、每個集合的許可權,以及跨部署的許可權(在伺服器層級)。 此外,某些許可權預設會授與您新增至 Azure DevOps Server 的任何使用者或群組,因為該使用者或群組會自動新增至 Azure DevOps 有效使用者。 如需詳細資訊,請參閱 管理使用者或群組。
除了在 Azure DevOps Server 中設定授權的許可權,您還可能需要在版本控制和工作專案內進行授權。 您可以在命令提示字元中個別管理這些許可權,但它們會整合為Team Explorer 介面的一部分。