Ověřování pomocí Azure DevOps pomocí Microsoft Entra
Microsoft Entra ID je samostatný produkt Microsoftu s vlastní platformou. Jako přední poskytovatel správy identit a přístupu (IAM) se Microsoft Entra ID zaměřuje na potřeby společností, které potřebují spravovat členy týmu a chránit prostředky společnosti. Nabízíme možnost připojit vaši organizaci Azure DevOps k tenantovi Microsoft Entra IDa díky tomu může vaše společnost získat řadu výhod .
Po připojení nabízí platforma aplikace Microsoft Identity nad Microsoft Entra ID několik výhod, díky kterým je pro vývojáře aplikací a správce organizací atraktivní. V Microsoft Entra můžete zaregistrovat aplikaci pro přístup k tenantům Azure a definovat oprávnění potřebná z prostředků Azure, z nichž se Azure DevOps považuje za jednu. Azure DevOps existuje mimo rámec tenantů Azure.
Aplikace Microsoft Entra a aplikace Azure DevOps jsou samostatné entity bez vzájemné znalosti. Způsob ověřování aplikace se liší od Microsoft Entra OAuth až po Azure DevOps OAuth. Pro jednu věc aplikace Microsoft Entra ID OAuth jsou vystaveny tokeny Microsoft Entra, nikoli přístupové tokeny Azure DevOps. Tyto tokeny mají standardní dobu trvání jedna hodina, než vyprší jejich platnost.
Vývoj aplikací Azure DevOps v Microsoft Entra
Doporučujeme si důkladně přečíst dokumentaci k Microsoft Entra, abyste porozuměli novým funkcím dostupným prostřednictvím Microsoft Entra a různých očekávání, která máte během nastavení.
Máme pokyny pro podporu vývoje vašich aplikací pro:
- aplikace Microsoft Entra OAuth (jménem uživatelských aplikací) pro aplikace, které provádějí akce jménem uživatelů s souhlasem
- Principály služby Microsoft Entra a spravované identity (pro samotné aplikace) pro aplikace, které vykonávají automatizované úkoly v rámci týmu.
Nahrazení PAT tokenů tokeny Microsoft Entra
tokeny PAT (Personal Access Tokens) zůstávají jednou z nejoblíbenějších forem ověřování pro uživatele Azure DevOps, aby je mohli snadno vytvářet a používat. Špatná správa a úložiště PAT ale může vést k neoprávněnému přístupu k vašim organizacím Azure DevOps. Umožnit, aby PATy existovaly dlouhou dobu nebo nastavit příliš široký rozsah pro PATy může také zvýšit riziko, které může způsobit uniklý PAT.
Tokeny Microsoft Entra poskytují atraktivní alternativu, protože vydrží pouze jednu hodinu, než musí být obnoveny. Ověřovací protokoly pro generování tokenů Entra jsou robustnější a bezpečnější. Bezpečnostní opatření, jako jsou zásady podmíněného přístupu, chrání před krádeží tokenů a útoky přehráním. Doufáme, že se nám podaří více uživatelů zapojit, aby prozkoumali používání tokenů Microsoft Entra kdekoli, kde se dnes běžně používají osobní přístupové tokeny (PATs). Sdílíme některé z nejoblíbenějších případů použití PAT a způsoby, jak můžete v tomto pracovním postupu nahradit PAT tokenem Entra.
Ad hoc požadavky na rozhraní REST API Azure DevOps
Můžete také použít Azure CLI získat přístupové tokeny Microsoft Entra ID pro uživatele, kteří budou volat rozhraní REST API Azure DevOps. Vzhledem k tomu, že přístupové tokeny Entra žijí jenom po dobu jedné hodiny, jsou ideální pro rychlé jednorázové operace, jako jsou volání rozhraní API, která nepotřebují trvalý token.
Získání uživatelských tokenů v Azure CLI
Zásluha za tyto pokyny patří dokumentaci k Databricks.
- Přihlaste se k Azure CLI pomocí příkazu
az logina postupujte podle pokynů na obrazovce. - Nastavte správné předplatné pro přihlášeného uživatele pomocí těchto příkazů Bash. Ujistěte se, že je ID předplatného Azure přidružené k tenantovi připojenému k organizaci Azure DevOps, ke které se pokoušíte získat přístup. Pokud svoje ID předplatného neznáte, najdete ho na webu azure Portal.
bash az account set -s <subscription-id> - Vygenerujte přístupový token Microsoft Entra ID pomocí
az account get-access-tokenID prostředku Azure DevOps:499b84ac-1321-427f-aa17-267ca6975798.bash az account get-access-token \ --resource 499b84ac-1321-427f-aa17-267ca6975798 \ --query "accessToken" \ -o tsv
Získání tokenů služebního principu v Azure CLI
Služební identity můžou také pro ad hoc operace používat přístupové tokeny Microsoft Entra ID. Pokyny k tomu, jak to udělat, najdete v této části v průvodci principály služeb a spravovanými identitami.
Operace Gitu pomocí Git Credential Manageru
Tokeny Microsoft Entra se dají použít také k provádění operací Gitu. Pro ty, kteří pravidelně odesílají do úložišť Git, pomocí Git Credential Manageru nabízí jednoduchý způsob, jak požádat a spravovat přihlašovací údaje tokenu Microsoft Entra OAuth, pokud je oauth nastavena jako výchozí credential.azReposCredentialType.