Nastavení oprávnění úložiště Git
Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019
Spravujte přístup k úložištím a zamkněte, kdo může přispívat do zdrojového kódu a spravovat další funkce. Oprávnění ve všech úložištích Git můžete nastavit tak, že provedete změny v položce úložiště Git nejvyšší úrovně. Jednotlivá úložiště dědí oprávnění z položky Úložiště Git nejvyšší úrovně.
Poznámka:
Větve dědí podmnožinu oprávnění z přiřazení provedených na úrovni úložiště. Informace o oprávněních a zásadách větví najdete v tématu Nastavení oprávnění k větvi a zlepšení kvality kódu pomocí zásad větve.
Pokyny k tomu, kdo poskytuje vyšší úrovně oprávnění, najdete v tématu Správa přístupu pomocí oprávnění.
Požadavky
- Musíte mít projekt. Pokud ještě projekt nemáte, vytvořte ho v Azure DevOps nebo ho nastavte v místním Azure DevOps.
- Musíte být členem skupiny Správci projektů nebo mít nastavená oprávnění Spravovat pro úložiště Git.
Abyste mohli přispívat do zdrojového kódu, musíte mít udělenou základní úroveň přístupu nebo vyšší. Uživatelé, kterým byl udělen přístup účastníků pro soukromé projekty, nemají přístup ke zdrojovému kódu. Uživatelé s uděleným přístupem účastníků pro veřejné projekty mají stejný přístup jako přispěvatelé a ti, kteří udělili základní přístup. Další informace najdete v tématu O úrovních přístupu.
Abyste mohli přispívat do zdrojového kódu, musíte mít udělenou základní úroveň přístupu nebo vyšší. Uživatelé, kterým byl udělen přístup účastníka , nemají přístup ke zdrojovému kódu. Další informace najdete v tématu O úrovních přístupu.
Výchozí oprávnění úložiště
Ve výchozím nastavení mají členové skupiny Přispěvatelé projektu oprávnění přispívat do úložiště. To zahrnuje možnost vytvářet větve, vytvářet značky a spravovat poznámky. Popis každé skupiny zabezpečení a úrovně oprávnění naleznete v tématu Oprávnění a odkazy na skupinu.
Oprávnění
Čtenáři
Přispěvatelů
Správci sestavení
Správci projektu
Čtení (klonování, načítání a zkoumání obsahu úložiště); může také vytvářet, komentovat, hlasovat a přispívat k žádostem o přijetí změn.
✔️
✔️
✔️
✔️
Přispívání, vytváření větví, vytváření značek a správa poznámek
✔️
✔️
✔️
Vytvoření úložiště, odstranění úložiště a přejmenování úložiště
✔️
Úprava zásad, správa oprávnění, odebrání zámků ostatních uživatelů
✔️
Obcházení zásad při dokončování žádostí o přijetí změn, obejití zásad při nasdílení změn, vynucení zápisu (historie přepsání, odstranění větví a značek)
(není nastaveno pro žádnou skupinu zabezpečení)
Od verze Azure DevOps sprint 224 (Azure DevOps Services a Azure DevOps Server 2022.1 a novější) už není oprávnění k úpravám zásad automaticky uděleno tvůrcům větví. Když jste dříve vytvářeli novou větev, bylo vám uděleno oprávnění k úpravám zásad v této větvi. V této aktualizaci měníme výchozí chování tak, aby se tato oprávnění neudělovala, i když je pro úložiště zapnuté nastavení Správa oprávnění. Budete potřebovat oprávnění Upravit zásady udělené explicitně (ručně nebo prostřednictvím rozhraní REST API) dědičností oprávnění zabezpečení nebo členstvím ve skupině.
Otevření zabezpečení úložiště
Oprávnění úložiště Git nastavíte z úložišť nastavení>projektu.
Otevřete webový portál a zvolte projekt, do kterého chcete přidat uživatele nebo skupiny. Pokud chcete zvolit jiný projekt, přečtěte si téma Přepnutí projektu, úložiště, týmu.
Otevřete úložiště nastavení>projektu.
Pokud chcete nastavit oprávnění pro všechna úložiště Git, zvolte Zabezpečení.
Tady například zvolíme (1) Nastavení projektu, (2) Úložiště a pak (3) Zabezpečení.
V opačném případě chcete nastavit oprávnění pro konkrétní úložiště, zvolte (1) úložiště a pak zvolte (2) Zabezpečení.
Nastavení oprávnění pro úložiště
Přístup k úložišti můžete spravovat nastavením stavu oprávnění na Povolit nebo Odepřít pro jednoho uživatele nebo skupinu zabezpečení.
Otevřete webový portál a zvolte projekt, do kterého chcete přidat uživatele nebo skupiny. Pokud chcete zvolit jiný projekt, přečtěte si téma Přepnutí projektu, úložiště, týmu.
Pokud chcete nastavit oprávnění pro všechna úložiště Git pro projekt, zvolte Úložiště Git a pak zvolte skupinu zabezpečení, jejíž oprávnění chcete spravovat.
Tady například zvolíme (1) Nastavení projektu, (2) Úložiště, (3) Úložiště Git, (4) skupina Přispěvatelé a pak (5) oprávnění k vytvoření úložiště.
Pokud chcete zobrazit celý obrázek, klikněte na obrázek a rozbalte ho. Zvolte ikonu zavřít, abyste ji zavřeli.
Poznámka:
Uživatele možná nebudete moct najít ze stránky oprávnění nebo pole identity, pokud uživatel nebyl přidán do projektu – buď ho přidáte do skupiny zabezpečení, nebo do projektového týmu. Pokud je uživatel přidaný do Microsoft Entra ID nebo Active Directory, může dojít ke zpoždění mezi časem, kdy se do projektu přidají, a když je prohledávatelné z pole identity. Zpoždění může být mezi 5 minut a 7 dny.
V opačném případě zvolte konkrétní úložiště a zvolte skupinu zabezpečení, jejíž oprávnění chcete spravovat.
Poznámka:
Pokud přidáte uživatele nebo skupinu a nezměníte žádná oprávnění pro tohoto uživatele nebo skupinu, po aktualizaci stránky oprávnění se už uživatel nebo skupina, které jste přidali, nezobrazí.
Až budete hotovi, zvolte Uložit změny.
Změna oprávnění pro skupinu zabezpečení
Pokud chcete nastavit oprávnění pro vlastní skupinu zabezpečení, musíte tuto skupinu dříve definovat. Viz Nastavení oprávnění na úrovni projektu.
Pokud chcete nastavit oprávnění pro konkrétní skupinu, zvolte skupinu. Tady například zvolíme skupinu Přispěvatelé.
Změňte jedno nebo více oprávnění. Pokud chcete udělit oprávnění, změňte možnost Nenastavit na Povolit. Chcete-li omezit oprávnění, změňte možnost Povolit odepřít.
Po dokončení přejděte mimo stránku. Změny oprávnění se automaticky uloží pro vybranou skupinu.
Nastavení oprávnění pro konkrétního uživatele
Pokud chcete nastavit oprávnění pro konkrétního uživatele, zadejte jméno uživatele do vyhledávacího filtru a vyberte z identit, které se zobrazí.
Potom proveďte změny v sadě oprávnění.
Poznámka:
Uživatele možná nebudete moct najít ze stránky oprávnění nebo pole identity, pokud uživatel nebyl přidán do projektu – buď ho přidáte do skupiny zabezpečení, nebo do projektového týmu. Pokud je uživatel přidaný do Microsoft Entra ID nebo Active Directory, může dojít ke zpoždění mezi časem, kdy se do projektu přidají, a když je prohledávatelné z pole identity. Zpoždění může být mezi 5 minut a 7 dny.
Po dokončení přejděte mimo stránku. Změny oprávnění se automaticky uloží pro vybranou skupinu.
Poznámka:
Pokud přidáte uživatele nebo skupinu a nezměníte žádná oprávnění pro tohoto uživatele nebo skupinu, po aktualizaci stránky oprávnění se už uživatel nebo skupina, které jste přidali, nezobrazí.
Povolení nebo zakázání dědičnosti pro konkrétní úložiště
Pokud chcete povolit nebo zakázat dědičnost pro konkrétní úložiště, vyberte úložiště a potom přesuňte posuvník Dědičnost do polohy zapnuto nebo mimo.
Další informace o dědičnosti najdete v tématu o oprávněních a skupinách, dědičnosti a skupinách zabezpečení.
Vyloučení z vynucování zásad a obcházení oprávnění zásad
Existuje mnoho scénářů, kdy občas potřebujete obejít zásady větve. Například při vrácení změny, která způsobila přerušení sestavení nebo použití opravy hotfix uprostřed noci. Dříve pomohla výjimka z oprávnění vynucování zásad týmům spravovat, kterým uživatelům byla udělena možnost obejít zásady větví při dokončování žádosti o přijetí změn. Toto oprávnění ale také udělilo možnost nasdílení změn přímo do větve a zcela obejití procesu žádosti o přijetí změn.
Abychom toto prostředí zlepšili, rozdělíme výjimku z oprávnění k vynucení zásad, abychom týmům, které udělují oprávnění k obejití, nabídli větší kontrolu. Předchozí oprávnění nahrazují následující dvě oprávnění:
- Při dokončování žádostí o přijetí změn zásady obejití. Uživatelé s tímto oprávněním budou moct pro žádosti o přijetí změn používat prostředí Přepsání.
- Vynechat zásady při nabízení Uživatelé s tímto oprávněním budou moct odesílat přímo větve, které mají nakonfigurované požadované zásady.
Když uživateli udělíte první oprávnění a odepřete sekundu, může v případě potřeby použít možnost obejití, ale bude mít ochranu před náhodným nasdílením do větve se zásadami.
Poznámka:
Tato změna nezavádí žádné změny chování. Uživatelům, kteří byli dříve uděleni Povolit pro vyloučení z vynucování zásad, jsou udělena možnost Povolit pro obě nová oprávnění, takže budou moct přepsat dokončení žádosti o přijetí změn i přímo do větví se zásadami.