Správa oprávnění pomocí nástroje příkazového řádku
azure DevOps Services
Oprávnění uděluje přístup k provedení konkrétní akce u konkrétního prostředku, jak je popsáno v tématu Začínáme s oprávněními, přístupem a skupinami zabezpečení. Většinu oprávnění spravujete prostřednictvím webového portálu. Oprávnění ale můžete spravovat pomocí nástrojů příkazového řádku nebo rozhraní REST API.
Azure DevOps ve výchozím nastavení uděluje členům výchozích skupin zabezpečení mnoho oprávnění. Oprávnění můžete přidávat a spravovat na podrobnější úrovni pomocí příkazů az devops security permission. Pomocí těchto příkazů můžete:
- Zobrazení oprávnění přidružených k oborům názvů zabezpečení
- Zobrazení podrobností o těchto oprávněních
- Aktualizace nebo resetování oprávnění
Poznámka
Obory názvů a tokeny jsou platné pro všechny verze Azure DevOps. Uvedené tady jsou platné pro Azure DevOps 2019 a novější verze. Obory názvů se můžou v průběhu času měnit. Pokud chcete získat nejnovější seznam oborů názvů, vyzkoušejte jeden z nástrojů příkazového řádku nebo rozhraní REST API. Některé obory názvů jsou zastaralé, jak je uvedeno v referenčních informacích k oboru názvů zabezpečení Zabezpečení, zastaralé a jen pro čtení..
Požadavky
- oprávnění: Být členem skupiny zabezpečení správci kolekce projektů. Další informace o tokenech naleznete v tématu Obor názvů zabezpečení a referenční informace o oprávnění.
-
Tools: Nainstalujte rozšíření Azure DevOps CLI, jak je popsáno v tématu Začínáme s azure DevOps CLI.
- Přihlaste se k Azure DevOps pomocí
az login. - V příkladech v tomto článku nastavte výchozí organizaci takto:
-
azure DevOps Services:
az devops configure --defaults organization=YourOrganizationURL. -
azure DevOps Server:
az devops configure --defaults organization=https://ServerName/CollectionName
-
azure DevOps Services:
- Přihlaste se k Azure DevOps pomocí
Příkazy oprávnění zabezpečení
Zadáním následujícího příkazu zobrazíte seznam všech dostupných příkazů.
az devops security permission -h
Další informace o konceptech souvisejících s oprávněními zabezpečení najdete v dokumentaci k rozhraní REST API zabezpečení
| Příkaz | Popis |
|---|---|
az devops security permission list |
Výpis tokenů pro zadaného uživatele nebo skupinu a obor názvů |
az devops security permission namespace list |
Zobrazí seznam všech dostupných oborů názvů pro organizaci. |
az devops security permission namespace show |
Umožňuje zobrazit podrobnosti o oprávněních dostupných v jednotlivých oborech názvů. |
az devops security permission reset |
Resetovat oprávnění pro zadané bity oprávnění |
az devops security permission reset-all |
Vymažte všechna oprávnění tohoto tokenu pro uživatele nebo skupinu. |
az devops security permission show |
Zobrazí oprávnění pro zadaný token, obor názvů a uživatele nebo skupinu. |
az devops security permission update |
Přiřaďte zadanému uživateli nebo skupině oprávnění povolit nebo odepřít. |
Následující parametry jsou volitelné pro všechny příkazy a nejsou uvedené v příkladech uvedených v tomto článku.
- zjistit: Automaticky rozpozná organizaci. Přijaté hodnoty: false, true. Výchozí hodnota je true.
-
organizace Azure DevOps. Výchozí organizaci můžete nakonfigurovat pomocí příkazu az devops configure -d organization=ORG_URL. Vyžaduje se, pokud není nakonfigurované jako výchozí nebo vyzvednuto prostřednictvím konfigurace Gitu. Příklad:
--org https://dev.azure.com/MyOrganizationName/.
Výpis oborů názvů zabezpečení
Seznam všech dostupných oborů názvů pro organizaci můžete zobrazit pomocí příkazu az devops security permission namespace list. Popis všech oborů názvů zabezpečení a přidružených tokenů najdete v tématu Obor názvů zabezpečení a referenční informace o oprávněních.
az devops security permission namespace list [--local-only]
Parametry
místní: Volitelné. Pokud je pravda, načtěte pouze místní obory názvů zabezpečení.
Obory názvů zabezpečení můžou mít svá data spravovaná v jedné mikroslužbě, ale stále jsou viditelné v jiných mikroslužbách. Pokud se data oboru názvů zabezpečení spravují v mikroslužbě X, je pro tuto mikroslužbu místní. Jinak je to vzdálené.
Zadáním az devops security permission namespace list zobrazíte seznam oborů názvů definovaných pro vaši organizaci nebo místní server.
Poznámka
Některé uvedené obory názvů jsou zastaralé a neměly by se používat. Seznam zastaralých oborů názvů najdete v referenčních informacích k Oboru názvů, zastaralé a jen pro čtení.
az devops security permission namespace list --org https://dev.azure.com/OrganizationName --output table
Id Name
------------------------------------ ------------------------------
c788c23e-1b46-4162-8f5e-d7585343b5de ReleaseManagement
58450c49-b02d-465a-ab12-59ae512d6531 Analytics
d34d3680-dfe5-4cc6-a949-7d9c68f73cba AnalyticsViews
62a7ad6b-8b8d-426b-ba10-76a7090e94d5 PipelineCachePrivileges
7c7d32f7-0e86-4cd6-892e-b35dbba870bd ReleaseManagement
a6cc6381-a1ca-4b36-b3c1-4e65211e82b6 AuditLog
5a27515b-ccd7-42c9-84f1-54c998f03866 Identity
445d2788-c5fb-4132-bbef-09c4045ad93f WorkItemTrackingAdministration
101eae8c-1709-47f9-b228-0e476c35b3ba DistributedTask
71356614-aad7-4757-8f2c-0fb3bff6f680 WorkItemQueryFolders
2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87 Git Repositories
3c15a8b7-af1a-45c2-aa97-2cb97078332e VersionControlItems2
2bf24a2b-70ba-43d3-ad97-3d9e1f75622f EventSubscriber
5a6cd233-6615-414d-9393-48dbb252bd23 WorkItemTrackingProvision
49b48001-ca20-4adc-8111-5b60c903a50c ServiceEndpoints
cb594ebe-87dd-4fc9-ac2c-6a10a4c92046 ServiceHooks
bc295513-b1a2-4663-8d1a-7017fd760d18 Chat
3e65f728-f8bc-4ecd-8764-7e378b19bfa7 Collection
cb4d56d2-e84b-457e-8845-81320a133fbb Proxy
bed337f8-e5f3-4fb9-80da-81e17d06e7a8 Plan
2dab47f9-bd70-49ed-9bd5-8eb051e59c02 Process
11238e09-49f2-40c7-94d0-8f0307204ce4 AccountAdminSecurity
b7e84409-6553-448a-bbb2-af228e07cbeb Library
83d4c2e6-e57d-4d6e-892b-b87222b7ad20 Environment
52d39943-cb85-4d7f-8fa8-c6baac873819 Project
58b176e7-3411-457a-89d0-c6d0ccb3c52b EventSubscription
83e28ad4-2d72-4ceb-97b0-c7726d5502c3 CSS
9e4894c3-ff9a-4eac-8a85-ce11cafdc6f1 TeamLabSecurity
fc5b7b85-5d6b-41eb-8534-e128cb10eb67 ProjectAnalysisLanguageMetrics
bb50f182-8e5e-40b8-bc21-e8752a1e7ae2 Tagging
f6a4de49-dbe2-4704-86dc-f8ec1a294436 MetaTask
bf7bfa03-b2b7-47db-8113-fa2e002cc5b1 Iteration
fa557b48-b5bf-458a-bb2b-1b680426fe8b Favorites
4ae0db5d-8437-4ee8-a18b-1f6fb38bd34c Registry
c2ee56c9-e8fa-4cdd-9d48-2c44f697a58e Graph
dc02bf3d-cd48-46c3-8a41-345094ecc94b ViewActivityPaneSecurity
2a887f97-db68-4b7c-9ae3-5cebd7add999 Job
73e71c45-d483-40d5-bdba-62fd076f7f87 WorkItemTracking
4a9e8381-289a-4dfd-8460-69028eaa93b3 StrongBox
1f4179b3-6bac-4d01-b421-71ea09171400 Server
e06e1c24-e93d-4e4a-908a-7d951187b483 TestManagement
6ec4592e-048c-434e-8e6c-8671753a8418 SettingEntries
302acaca-b667-436d-a946-87133492041c BuildAdministration
2725d2bc-7520-4af4-b0e3-8d876494731f Location
83abde3a-4593-424e-b45f-9898af99034d UtilizationPermissions
c0e7a722-1cad-4ae6-b340-a8467501e7ce WorkItemsHub
0582eb05-c896-449a-b933-aa3d99e121d6 WebPlatform
66312704-deb5-43f9-b51c-ab4ff5e351c3 VersionControlPrivileges
93bafc04-9075-403a-9367-b7164eac6b5c Workspaces
093cbb02-722b-4ad6-9f88-bc452043fa63 CrossProjectWidgetView
35e35e8e-686d-4b01-aff6-c369d6e36ce0 WorkItemTrackingConfiguration
0d140cae-8ac1-4f48-b6d1-c93ce0301a12 Discussion Threads
5ab15bc8-4ea1-d0f3-8344-cab8fe976877 BoardsExternalIntegration
7ffa7cf4-317c-4fea-8f1d-cfda50cfa956 DataProvider
81c27cc8-7a9f-48ee-b63f-df1e1d0412dd Social
9a82c708-bfbe-4f31-984c-e860c2196781 Security
a60e0d84-c2f8-48e4-9c0c-f32da48d5fd1 IdentityPicker
84cc1aa4-15bc-423d-90d9-f97c450fc729 ServicingOrchestration
33344d9c-fc72-4d6f-aba5-fa317101a7e9 Build
8adf73b7-389a-4276-b638-fe1653f7efc7 DashboardsPrivileges
a39371cf-0841-4c16-bbd3-276e341bc052 VersionControlItems
Příklad: Výpis místních oborů názvů zabezpečení
Následující příkaz zobrazí pouze místní obory názvů zabezpečení pro vaši organizaci a zobrazí výsledky ve formátu tabulky.
az devops security permission namespace list --local-only --output table
Id Name
------------------------------------ ------------------------------
71356614-aad7-4757-8f2c-0fb3bff6f680 WorkItemQueryFolders
fa557b48-b5bf-458a-bb2b-1b680426fe8b Favorites
4ae0db5d-8437-4ee8-a18b-1f6fb38bd34c Registry
c2ee56c9-e8fa-4cdd-9d48-2c44f697a58e Graph
dc02bf3d-cd48-46c3-8a41-345094ecc94b ViewActivityPaneSecurity
2a887f97-db68-4b7c-9ae3-5cebd7add999 Job
73e71c45-d483-40d5-bdba-62fd076f7f87 WorkItemTracking
4a9e8381-289a-4dfd-8460-69028eaa93b3 StrongBox
1f4179b3-6bac-4d01-b421-71ea09171400 Server
e06e1c24-e93d-4e4a-908a-7d951187b483 TestManagement
6ec4592e-048c-434e-8e6c-8671753a8418 SettingEntries
302acaca-b667-436d-a946-87133492041c BuildAdministration
2725d2bc-7520-4af4-b0e3-8d876494731f Location
83abde3a-4593-424e-b45f-9898af99034d UtilizationPermissions
c0e7a722-1cad-4ae6-b340-a8467501e7ce WorkItemsHub
0582eb05-c896-449a-b933-aa3d99e121d6 WebPlatform
66312704-deb5-43f9-b51c-ab4ff5e351c3 VersionControlPrivileges
93bafc04-9075-403a-9367-b7164eac6b5c Workspaces
093cbb02-722b-4ad6-9f88-bc452043fa63 CrossProjectWidgetView
35e35e8e-686d-4b01-aff6-c369d6e36ce0 WorkItemTrackingConfiguration
0d140cae-8ac1-4f48-b6d1-c93ce0301a12 Discussion Threads
5ab15bc8-4ea1-d0f3-8344-cab8fe976877 BoardsExternalIntegration
7ffa7cf4-317c-4fea-8f1d-cfda50cfa956 DataProvider
81c27cc8-7a9f-48ee-b63f-df1e1d0412dd Social
9a82c708-bfbe-4f31-984c-e860c2196781 Security
a60e0d84-c2f8-48e4-9c0c-f32da48d5fd1 IdentityPicker
84cc1aa4-15bc-423d-90d9-f97c450fc729 ServicingOrchestration
33344d9c-fc72-4d6f-aba5-fa317101a7e9 Build
8adf73b7-389a-4276-b638-fe1653f7efc7 DashboardsPrivileges
445d2788-c5fb-4132-bbef-09c4045ad93f WorkItemTrackingAdministration
101eae8c-1709-47f9-b228-0e476c35b3ba DistributedTask
2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87 Git Repositories
a39371cf-0841-4c16-bbd3-276e341bc052 VersionControlItems
3c15a8b7-af1a-45c2-aa97-2cb97078332e VersionControlItems2
2bf24a2b-70ba-43d3-ad97-3d9e1f75622f EventSubscriber
5a6cd233-6615-414d-9393-48dbb252bd23 WorkItemTrackingProvision
49b48001-ca20-4adc-8111-5b60c903a50c ServiceEndpoints
cb594ebe-87dd-4fc9-ac2c-6a10a4c92046 ServiceHooks
bc295513-b1a2-4663-8d1a-7017fd760d18 Chat
3e65f728-f8bc-4ecd-8764-7e378b19bfa7 Collection
cb4d56d2-e84b-457e-8845-81320a133fbb Proxy
bed337f8-e5f3-4fb9-80da-81e17d06e7a8 Plan
2dab47f9-bd70-49ed-9bd5-8eb051e59c02 Process
11238e09-49f2-40c7-94d0-8f0307204ce4 AccountAdminSecurity
b7e84409-6553-448a-bbb2-af228e07cbeb Library
83d4c2e6-e57d-4d6e-892b-b87222b7ad20 Environment
52d39943-cb85-4d7f-8fa8-c6baac873819 Project
58b176e7-3411-457a-89d0-c6d0ccb3c52b EventSubscription
83e28ad4-2d72-4ceb-97b0-c7726d5502c3 CSS
9e4894c3-ff9a-4eac-8a85-ce11cafdc6f1 TeamLabSecurity
fc5b7b85-5d6b-41eb-8534-e128cb10eb67 ProjectAnalysisLanguageMetrics
bb50f182-8e5e-40b8-bc21-e8752a1e7ae2 Tagging
f6a4de49-dbe2-4704-86dc-f8ec1a294436 MetaTask
bf7bfa03-b2b7-47db-8113-fa2e002cc5b1 Iteration
Výpis tokenů pro obor názvů zabezpečení
Pomocí příkazu az devops security permission list můžete vypsat tokeny pro zadaný obor názvů a uživatele nebo skupinu.
az devops security permission list --id
--subject
[--recurse]
[--token]
Parametry
-
- ID nebo oboru názvů: Povinné. ID oboru názvů zabezpečení. K získání ID použijte příkaz az devops security permission namespace list.
- předmětu: Povinné. E-mailová adresa nebo popisovač skupiny uživatele
- : Volitelné. Pokud je true a obor názvů je hierarchický, vrátí tento parametr podřízené seznamy ACL tokenů.
- tokenu
: Volitelné. Zadejte jednotlivý token zabezpečení.
Příklad
Následující příkaz vypíše tokeny ve formátu tabulky pro zadaný obor názvů, který odpovídá analýze a přidružené k uživateli contoso@contoso.com.
az devops security permission list --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --output table
Token Effective Allow Effective Deny
-------------------------------------- ----------------- ----------------
$/0611925a-b287-4b0b-90a1-90f1a96e9f1f 0 0
$/087572e2-5569-49ec-af80-d3caf22b446c 0 0
$/131271e0-a6ad-49ba-837e-2d475ab2b169 0 0
$/14c92f9d-9fff-48ec-8171-9d1106056ab3 0 0
$/1965830d-5fc4-4412-8c71-a1c39c939a42 0 0
$/4b80d122-a5ca-46ec-ba28-e03d37e53404 0 0
$/4fa8e9de-e86b-4986-ac75-f421881a7664 0 0
$/5417a1c3-4b04-44d1-aead-50774b9dbf5f 0 0
$/56af920d-393b-4236-9a07-24439ccaa85c 0 0
$/69265579-a1e0-4a30-a141-ac9e3bb82572 0 0
Zobrazit podrobnosti oboru názvů
Pomocí příkazu az devops security permission namespace show zobrazte podrobnosti o oprávněních dostupných v jednotlivých oborech názvů.
az devops security permission namespace show --namespace-id <NAMESPACE_ID>
Parametry
- ID nebo oboru názvů: Povinné. ID oboru názvů zabezpečení.
Příklad
Následující příkaz zobrazí podrobnosti o dostupných oprávněních pro zadané ID oboru názvů a vrátí výsledky ve formátu tabulky.
az devops security permission namespace show --namespace-id 58450c49-b02d-465a-ab12-59ae512d6531 --output table
Name Permission Description Permission Bit
------------------------ -------------------------------------------------------- ----------------
Read View analytics 1
Administer Manage analytics permissions 2
Stage Push the data to staging area 4
ExecuteUnrestrictedQuery Execute query without any restrictions on the query form 8
ReadEuii Read EUII data 16
Resetování oprávnění
Resetujte bity oprávnění pro zadaného uživatele nebo skupinu pomocí příkazu az devops security permission reset.
az devops security permission reset --id
--permission-bit
--subject
--token
Parametry
- ID nebo oboru názvů: Povinné. ID oboru názvů zabezpečení.
- oprávnění: Povinné. Bit oprávnění nebo přidání bitů oprávnění, které je potřeba resetovat pro daného uživatele nebo skupinu a token.
- předmětu: Povinné. E-mailová adresa nebo popisovač skupiny uživatele
- tokenu
: Povinné. Jednotlivý token zabezpečení.
Příklad
Následující příkaz resetuje bit oprávnění tokenu 8 pro uživatele contoso@contoso.com v zadaném oboru názvů a vrátí výsledky ve formátu tabulky.
az devops security permission reset --id 58450c49-b02d-465a-ab12-59ae512d6531 --permission-bit 8 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Not set
Resetování všech oprávnění
Pomocí příkazu az devops security permission reset-all můžete vymazat všechna oprávnění tokenu pro uživatele nebo skupinu.
az devops security permission reset-all --id
--subject
--token
[--yes]
Parametry
- ID nebo oboru názvů: Povinné. ID oboru názvů zabezpečení.
- předmětu: Povinné. E-mailová adresa nebo popisovač skupiny uživatele
- tokenu
: Povinné. Jednotlivý token zabezpečení. - ano: Volitelné. Nevyžádejte výzvu k potvrzení.
Příklad
Následující příkaz vymaže všechna oprávnění pro uživatele contoso@contoso.com v zadaném oboru názvů bez nutnosti potvrzení. Výsledek se zobrazí v rozhraní příkazového řádku.
az devops security permission reset-all --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --yes --output table
Result
--------
True
Zobrazit oprávnění
Pomocí příkazu az devops security permission show můžete zobrazit oprávnění pro zadaný token, obor názvů a uživatele nebo skupinu.
az devops security permission show --id
--subject
--token
Parametry
- ID nebo oboru názvů: Povinné. ID oboru názvů zabezpečení.
- předmětu: Povinné. E-mailová adresa nebo popisovač skupiny uživatele
- tokenu
: Povinné. Jednotlivý token zabezpečení.
Příklad
Následující příkaz zobrazí podrobnosti oprávnění tokenu pro uživatele contoso@contoso.com v zadaném oboru názvů a vrátí výsledky ve formátu tabulky.
az devops security permission show --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
Read 1 View analytics Not set
Administer 2 Manage analytics permissions Allow
Stage 4 Push the data to staging area Not set
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Not set
ReadEuii 16 Read EUII data Deny
Aktualizace oprávnění
Pomocí příkazu az devops security permission update můžete přiřadit povolit nebo odepřít oprávnění.
az devops security permission update --id
--subject
--token
[--allow-bit]
[--deny-bit]
[--merge {false, true}]
Parametry
- ID nebo oboru názvů: Povinné. ID oboru názvů zabezpečení.
- předmět: Povinné. Popisovač e-mailové adresy nebo skupiny uživatele.
- token: Povinné. jednotlivé tokeny zabezpečení.
- povolených bitů: Volitelné. Určuje povolený bit nebo přidává další bity. Požadované, pokud není k dispozici odepření.
- odepření bitů: Nepovinný. Určuje bit odepření nebo přidává další bity. Požadované, pokud není k dispozici povolených bitů.
-
sloučení: volitelné. Určuje, zda se má sloučit s existujícími položkami řízení přístupu (ACE).
- Pokud je nastavená hodnota true, stávající seznamy ACL povolují a zamítají oprávnění s těmito oprávněními příchozí služby ACE.
- Pokud je nastavena hodnota false nebo je vynechána, stávající ACE se nahradí.
- Přijaté hodnoty jsou
truenebofalse.
Příklad
Následující příkaz aktualizuje oprávnění pro ExecuteUnrestrictedQuery (bit 8) pro uživatele contoso@contoso.com v zadaném oboru názvů a zobrazí výsledky ve formátu tabulky.
az devops security permission update --allow-bit 8 --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 56af920d-393b-4236-9a07-24439ccaa85c --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Allow
Obory názvů zabezpečení a jejich ID
Viz referenční informace k oboru názvů zabezpečení a oprávnění pro Azure DevOps.
Související články
- Referenční informace k
oboru názvů zabezpečení a oprávnění - obory názvů zabezpečení rozhraní REST API
- použití nástroje příkazového řádku TFSSecurity