Authentifizierung bei Azure DevOps mit Microsoft Entra

Microsoft Entra ID ist ein separates Produkt von Microsoft mit einer eigenen Plattform. Als führender Anbieter von Identitäts- und Zugriffsmanagement (IAM) konzentriert sich Microsoft Entra ID auf die Verwaltung von Teammitgliedern und den Schutz von Unternehmensressourcen. Sie können Ihre Azure DevOps-Organisation mit einem Microsoft Entra ID-Mandanten verbinden, was viele Vorteile für Ihr Unternehmen bietet.

Sobald die Verbindung hergestellt ist, bietet die Microsoft Identity-Anwendungsplattform auf der Grundlage von Microsoft Entra ID mehrere Vorteile für Entwickler von Apps und Org-Administratoren. Sie können eine Anwendung für den Zugriff auf Azure-Mandanten registrieren und die erforderlichen Berechtigungen für Azure-Ressourcen festlegen, einschließlich Azure DevOps, das außerhalb der Azure-Mandantenkonstruktion existiert.

Microsoft Entra-Apps und Azure DevOps-Apps sind separate Entitäten, die nichts voneinander wissen. Die Authentifizierungsmethoden sind unterschiedlich: Microsoft Entra verwendet OAuth, während Azure DevOps sein eigenes OAuth verwendet. Microsoft Entra ID OAuth-Apps stellen Microsoft Entra-Token aus, nicht aber Azure DevOps-Zugriffstoken. Diese Token haben eine standardmäßigen Gültigkeitsdauer von einer Stunde, bevor sie abläuft.

Entwickeln Sie Azure DevOps-Apps auf Microsoft Entra

Lesen Sie die Microsoft Entra-Dokumentation gründlich durch, um die neuen Funktionen und unterschiedlichen Erwartungen während der Einrichtung zu verstehen.

Wir unterstützen Ihre App-Entwicklung mit Anleitungen für:

• Microsoft Entra OAuth-Apps (On-Behalf-of-User Apps) für Apps, die Aktionen im Namen von zustimmenden Benutzern durchführen.
• Microsoft Entra Dienstprinzipale und verwaltete Identitäten (On-Behalf-of-Self-Apps) für Apps, die automatisierte Tools innerhalb eines Teams einsetzen.

Ersetzen von PATs durch Microsoft Entra-Token

Persönliche Zugriffstoken (PATs) sind aufgrund ihrer einfachen Erstellung und Verwendung beliebt für die Azure DevOps-Authentifizierung. Eine mangelhafte Zugriffsverwaltung und mangelhafter Storage können jedoch zu unberechtigtem Zugriff auf Ihre Azure DevOps Organisationen führen. Langlebige oder übermäßig ausgedehnte PATs erhöhen das Risiko eines Schadens durch ein Leck in einem PAT.

Microsoft Entra Token bieten eine sichere Alternative, die nur eine Stunde lang gültig ist, bevor eine Aktualisierung erforderlich ist. Die Authentifizierungsprotokolle zum Generieren von Entra-Tokens sind robuster und sicherer. Sicherheitsmaßnahmen wie Zugangskontrollpolitik Schutz vor Token-Diebstahl und Replay-Angriffen. Wir empfehlen den Benutzenden, die Verwendung von Microsoft Entra Token anstelle von PATs zu entdecken. Wir stellen beliebte Anwendungsfälle für PATs vor und erläutern, wie PATs in diesem Workflow durch Entra-Token ersetzt werden können.

Ad-hoc-Anfragen an Azure DevOps REST-APIs

Sie können auch die Azure CLI um Microsoft Entra ID-Zugangstoken für Benutzer zu erhalten, die anrufen Azure DevOps REST-APIs. Da die Zugriffstoken von Entra nur eine Stunde lang gültig sind, eignen sie sich ideal für schnelle, einmalige Operationen, wie z.B. API-Aufrufe, für die kein dauerhaftes Token erforderlich ist.

---

Benutzer-Token erhalten

Azure-Befehlszeilenschnittstelle

1. Melden Sie sich beim Azure CLI mit dem Befehl az login an und folgen Sie den Anweisungen auf der Seite.

2. Legen Sie das richtige Abonnement für den angemeldeten Benutzer mit diesen Bash-Befehlen fest. Vergewissern Sie sich, dass die ID des Azure-Abonnements mit dem Mandanten verknüpft ist, der mit der Azure DevOps-Organisation verbunden ist, auf die Sie zugreifen möchten. Wenn Sie Ihre Abonnement-ID nicht kennen, können Sie sie im Azure-Portal finden.

   az account set -s <subscription-id>
   

3. Generieren Sie ein Microsoft Entra ID-Zugriffstoken mit dem Befehl az account get-access-token mithilfe der Azure DevOps-Ressourcen-ID: 499b84ac-1321-427f-aa17-267ca6975798.

   az account get-access-token \
   --resource 499b84ac-1321-427f-aa17-267ca6975798 \
   --query "accessToken" \
   -o tsv
   

Azure PowerShell

1. Melden Sie sich mit dem Befehl Connect-AzAccount bei Azure PowerShell an, und folgen Sie den Anweisungen auf dem Bildschirm.

2. Legen Sie das richtige Abonnement für den angemeldeten Benutzer mit diesen PowerShell-Befehlen fest. Vergewissern Sie sich, dass die ID des Azure-Abonnements mit dem Mandanten verknüpft ist, der mit der Azure DevOps-Organisation verbunden ist, auf die Sie zugreifen möchten. Wenn Sie Ihre Abonnement-ID nicht kennen, können Sie sie im Azure-Portal finden.

   Set-AzContext -Subscription <subscriptionID>
   

3. Generieren Sie ein Microsoft Entra ID-Zugriffstoken mit dem Befehl Get-AzAccessToken mithilfe der Azure DevOps-Ressourcen-ID: 499b84ac-1321-427f-aa17-267ca6975798.

   Get-AzAccessToken -ResourceUrl '499b84ac-1321-427f-aa17-267ca6975798'
   

Weitere Informationen finden Sie unter Databricks-Dokumentation.

Erwerben von Dienstprinzipal-Tokens in Azure CLI

Dienstvorgesetzte können auch Ad-hoc-Zugriffstoken von Microsoft Entra ID für Ad-hoc-Vorgänge verwenden. Weitere Informationen finden Sie unter Dienstprinzipale und verwaltete Identitäten/Abrufen eines Microsoft Entra ID-Tokens mit der Azure CLI.

Git-Vorgänge mit Git Credential Manager

Sie können auch Microsoft Entra Token verwenden, um Git Operationen durchzuführen. Wenn Sie regelmäßig in Git-Repositories pushen, verwenden Sie den Git Credential Manager, um Ihre Microsoft Entra OAuth Token-Anmeldeinformationen einfach anzufordern und zu verwalten, sofern oauth als Standard festgelegt ist credential.azReposCredentialType.

Verwandte Artikel

• Azure DevOps-Integration mit Microsoft Entra OAuth-Apps aufbauen
• Verwenden von Dienstprinzipalen & verwalteten Identitäten in Azure DevOps