Nové zásady pro tokeny osobního přístupu

V tomto sprintu jsme přidali nové zásady, které omezují rozsah a životnost tokenů PAT (Personal Access Token). Kromě toho jsme aktualizovali rozšíření prostředí Správa verzí Team Foundation (TFVC) pro Windows tak, aby podporovalo Visual Studio 2019.

Podrobnosti najdete v následujících popisech funkcí.

Obecné

• Omezení rozsahu a životnosti tokenu PAT (Personal Access Token) prostřednictvím zásad Azure AD tenanta
• Podpora zásad podmíněného přístupu pro provoz IPv6

Azure Pipelines

• Zachování kanálů, které se využívají v jiných kanálech
• Změny v automatickém vytváření prostředí
• Dialogové okno Odebrat přehledy z kanálu sestavení

Azure Repos

• Aktualizace do Správa verzí Team Foundation (TFVC) rozšíření prostředí Windows pro VS 2019

Obecné

Omezení rozsahu a životnosti tokenu PAT (Personal Access Token) prostřednictvím zásad Azure AD tenanta

Osobní přístupové tokeny (PAT) usnadňují ověřování v Azure DevOps a integraci s vašimi nástroji a službami. Uniklé tokeny ale můžou ohrozit váš účet a data Azure DevOps a ohrozit tak vaše aplikace a služby.

Dostali jsme zpětnou vazbu na to, že správci nemají potřebné kontroly k omezení oblasti hrozby, kterou představují uniklé paty. Na základě této zpětné vazby jsme přidali novou sadu zásad, které je možné použít k omezení rozsahu a životnosti tokenů osobního přístupu (PAT) v Azure DevOps vaší organizace! Fungují takto:

Uživatelé s rolí správce Azure DevOps v Azure Active Directory můžou přejít na kartu Azure Active Directory v nastavení organizace libovolné organizace Azure DevOps propojené s jejich Azure AD.

Správci tam můžou:

1. omezit vytváření globálních osobních přístupových tokenů (tokeny, které fungují pro všechny organizace Azure DevOps, ke kterým má uživatel přístup),
2. omezit vytváření osobních přístupových tokenů s plným rozsahem,
3. definovat maximální životnost nových osobních přístupových tokenů.

Tyto zásady se budou vztahovat na všechny nové paty vytvořené uživateli pro organizace Azure DevOps propojené s tenantem Azure AD. Každá ze zásad má seznam povolených pro uživatele a skupiny, kteří by měli být ze zásad vyloučeni. Seznam uživatelů a skupin v seznamu povolených nebude mít přístup ke správě konfigurace zásad.

Tyto zásady se vztahují pouze na nové tokeny PAT a nebudou mít vliv na existující tokeny PAT, které už byly vytvořeny a které se používají. Po povolení zásad je však nutné aktualizovat všechny stávající, nyní nevyhovující paty, aby byly v rámci omezení, aby bylo možné je obnovit.

Podpora zásad podmíněného přístupu pro provoz IPv6

Teď rozšiřujeme podporu zásad podmíněného přístupu (CAP) tak, aby zahrnovala zásady ohraničení IPv6. Vzhledem k tomu, že lidé stále častěji přistupují k prostředkům Azure DevOps na zařízeních z IPv6 adres, chceme zajistit, aby vaše týmy byly vybavené k udělování a odebírání přístupu z jakékoli IP adresy, včetně těch, které pocházejí z provozu IPv6.

Azure Pipelines

Zachování kanálů, které se využívají v jiných kanálech

Klasické verze měly možnost automaticky uchovávat sestavení, která spotřebovávají. To byla jedna z mezer mezi klasickými verzemi a kanály YAML a některým z vás zabránilo v přechodu na YAML. V této verzi jsme tuto mezeru vyřešili.

Teď můžete vytvořit vícefázový kanál YAML, který bude reprezentovat vaši verzi, a využívat v něm další kanál YAML jako prostředek. Když to uděláte, Azure Pipelines automaticky zachová kanál prostředků, dokud se kanál verze zachová. Po odstranění kanálu verze se uvolní zapůjčení kanálu prostředků a budou se dodržovat jeho vlastní zásady uchovávání informací.

Změny v automatickém vytváření prostředí

Když vytvoříte kanál YAML a odkazujete na prostředí, které neexistuje, Azure Pipelines automaticky vytvoří prostředí. K tomuto automatickému vytvoření může dojít buď v kontextu uživatele, nebo v kontextu systému. V následujících tocích Azure Pipelines ví o uživateli, který operaci provádí:

• Ve webovém prostředí Azure Pipelines použijete průvodce vytvořením kanálu YAML a odkazujete na prostředí, které ještě není vytvořené.
• Soubor YAML aktualizujete pomocí webového editoru Azure Pipelines a po přidání odkazu na prostředí, které neexistuje, kanál uložíte.

V každém z výše uvedených případů azure Pipelines jasně rozumí uživateli, který operaci provádí. Proto vytvoří prostředí a přidá uživatele do role správce prostředí. Tento uživatel má všechna oprávnění ke správě prostředí nebo k zahrnutí dalších uživatelů do různých rolí pro správu prostředí.

V následujících tocích Azure Pipelines nemá informace o uživateli, který prostředí vytváří: aktualizujete soubor YAML pomocí jiného externího editoru kódu, přidáte odkaz na prostředí, které neexistuje, a pak způsobíte aktivaci kanálu ruční nebo kontinuální integrace. V takovém případě Azure Pipelines o uživateli neví. Dříve jsme tento případ řešili přidáním všech přispěvatelů projektu do role správce prostředí. Každý člen projektu pak mohl tato oprávnění změnit a zabránit ostatním v přístupu k prostředí.

Dostali jsme vaši zpětnou vazbu k udělení oprávnění správce prostředí všem členům projektu. Když jsme naslouchali vaší zpětné vazbě, dozvěděli jsme se, že bychom neměli automaticky vytvářet prostředí, pokud není jasné, kdo uživatel operaci provádí. V této verzi jsme provedli změny automatického vytváření prostředí:

• Spuštění kanálu v budoucnu automaticky nevytvoří prostředí, pokud neexistuje a pokud není známý kontext uživatele. V takových případech kanál selže s chybou Prostředí nenalezena. Před použitím v kanálu musíte předem vytvořit prostředí se správným zabezpečením a zkontrolujte konfiguraci.
• Kanály se známým uživatelským kontextem budou stále automaticky vytvářet prostředí stejně jako v minulosti.
• Nakonec je potřeba poznamenat, že funkce automatického vytvoření prostředí byla přidána pouze kvůli zjednodušení procesu zahájení práce s Azure Pipelines. Byl určen pro testovací scénáře, a ne pro produkční scénáře. Vždy byste měli předem vytvořit produkční prostředí se správnými oprávněními a kontrolami a pak je používat v kanálech.

Dialogové okno Odebrat přehledy z kanálu sestavení

Na základě vaší zpětné vazby se odebralo dialogové okno Přehledy úkolu nebo kanálu, které se zobrazí při procházení kanálu sestavení, aby se pracovní postup zlepšil. Analýzy kanálů jsou stále k dispozici, abyste měli přehledy, které potřebujete.

Azure Repos

Aktualizace do Správa verzí Team Foundation (TFVC) rozšíření prostředí Windows pro Visual Studio 2019

Předchozí verze rozšíření PROSTŘEDÍ SYSTÉMU Windows TFVC fungovala jenom na počítačích, na kterých byla nainstalovaná sada Visual Studio 2017.

Vydali jsme novou verzi tohoto nástroje, která je kompatibilní se sadou Visual Studio 2019. Rozšíření poskytuje integraci s Průzkumníkem Windows a běžnými dialogovými okny souborů. Díky této integraci můžete provádět mnoho operací správy zdrojového kódu, aniž byste museli spouštět visual studio nebo nástroj příkazového řádku Team Foundation.

Další kroky

Poznámka

Tyto funkce budou zavádět během následujících dvou až tří týdnů.

Přejděte na Azure DevOps a podívejte se.

Přejít na Azure DevOps

Jak poskytnout zpětnou vazbu

Rádi bychom slyšeli, co si o těchto funkcích myslíte. Pomocí nabídky nápovědy můžete nahlásit problém nebo poskytnout návrh.

Můžete také získat rady a odpovědi na vaše otázky od komunity na Webu Stack Overflow.

Díky,

Vijay Machiraju