Erstellen von Azure DevOps mit Microsoft Entra OAuth-App s

Wichtig

Wenn Sie eine neue OAuth 2.0-App erstellen, beginnen Sie hier mit Microsoft Entra OAuth-Apps, da Azure DevOps OAuth-Apps für die Veraltetkeit im Jahr 2026 geplant sind. Weitere Informationen finden Sie in unserem Blogbeitrag.

Microsoft Entra ID OAuth

Microsoft Entra ID ist ein separates Microsoft-Produkt mit einer eigenen Plattform. Auf Microsoft Entra können Sie eine Anwendung für den Zugriff auf Azure-Mandanten registrieren und Berechtigungen definieren, die von Azure-Ressourcen benötigt werden, von denen Azure DevOps als eine betrachtet wird.

Microsoft Entra-Apps und Azure DevOps-Apps sind separate Entitäten ohne Wissen voneinander. Die Mittel zum Authentifizieren Ihrer Anwendung unterscheiden sich von Microsoft Entra OAuth zu Azure DevOps OAuth. Zum einen werden Microsoft Entra ID OAuth-Apps ausgestellt, keine Azure DevOps-Zugriffstoken. Diese Token haben eine standardmäßige einstündige Dauer vor ablaufen.

Wir empfehlen, die Microsoft Entra-Dokumentation gründlich zu lesen, um die neuen Funktionen zu verstehen, die über Microsoft Entra verfügbar sind, und die verschiedenen Erwartungen an Sie während des Setups.

Warum Microsoft Entra wählen?

Als führender Anbieter von Identitäts- und Zugriffsverwaltung (IAM) konzentriert sich Microsoft Entra ID auf die Bedürfnisse von Unternehmen, die Teammitglieder verwalten und Unternehmensressourcen schützen müssen. Microsoft Entra ID bietet viele Features : Anwendungsentwicklung und -verwaltung ist eines davon. Das Microsoft Entra-Anwendungsmodell bietet einige Vorteile gegenüber dem Azure DevOps OAuth-App-Modell, das sie für App-Entwickler attraktiver macht.

1. Breitere Reichweite innerhalb und außerhalb von Microsoft

Durch die Erstellung einer App auf Microsoft Entra haben Sie eine breitere Reichweite durch den Rest des Microsoft-Ökosystems. Eine Microsoft Entra-App kann für den Zugriff auf mehrere Microsoft-Produkte verwendet werden, wodurch die Verwaltung von App-Anmeldeinformationen wesentlich vereinfacht wird. Teams, die SaaS-Produkte anbieten, können das Erstellen einer vorinstallierten Anwendung in Erwägung ziehen, die zusammen mit anderen beliebten Apps im Microsoft Entra-App-Katalog angezeigt wird.

2. Größere Sichtbarkeit, Zustimmung und Verwaltung von Administratoren

Vertrauenswürdige Mandantenadministratoren können verwalten , welche Apps auf Unternehmensressourcen zugreifen, wer in der Organisation die App verwenden kann und wie die Zustimmung abgerufen werden kann. Azure DevOps OAuth kennt keine Kenntnisse von Mandanten oder ihren Administratoren, die sich ausschließlich auf Benutzer verlassen, um den Zugriff auf potenziell vertrauliche Daten zu autorisieren. Benutzer, die zuvor den Zugriff auf eine lange vergessene App autorisiert haben, lassen die Tür für spätere potenzielle Infiltration offen. Die Administratoraufsicht bietet einen zusätzlichen Blick mit geeigneten Überprüfungsprozessen und hilfreichen Bereinigungen nicht verwendeter oder nicht autorisierter Apps.

3. Engere Kontrollen für bedingten Zugriff

Richtlinien für bedingten Zugriff machen es ein Kinderspiel, die entsprechenden Zugriffssteuerungen einzurichten, auf die Benutzer über eine Microsoft Entra-App zugreifen und nicht auf Ihre Organisation zugreifen können. Die Azure DevOps OAuth-App befindet sich außerhalb des Microsoft Entra-Ökosystems und entspricht nicht allen Richtlinien für bedingten Zugriff.

4. Self-Serve-App-Konfiguration

Das Ändern von App-Bereichen und App-Besitz in einer Microsoft Entra-App ist eine relative Brise im Vergleich zu Azure DevOps OAuth-Apps. App-Entwickler wenden sich an unser Kundensupportteam, um Änderungen an Azure DevOps OAuth-Apps vorzunehmen, aber in Microsoft Entra wird die Möglichkeit zum Ändern von Bereichen an den Entwickler zurückgegeben. App-Besitz kann sogar zwischen mehreren Benutzern geteilt werden und nicht auf einen einzelnen Benutzer beschränkt werden, was ein Problem darstellen kann, wenn der betreffende Benutzer das Unternehmen in Zukunft verlässt.

5. Anmeldeprotokolle verfügbar

Microsoft Entra protokolliert alle "Anmeldungen" in einem Azure-Mandanten, einschließlich Ihrer internen Apps und Ressourcen. Diese zusätzlichen Informationen können ihnen einen besseren Einblick geben, wer Ihre Apps verwendet, die über unsere Überwachung nicht verfügbar sind.

Hilfreiche Ressourcen

Das Aufbauen auf einer neuen Plattform kann überwältigend sein. Wir stellen einige hilfreiche Links bereit, die wir für den OAuth-App-Entwicklungsprozess in Microsoft Entra möglicherweise hilfreich halten. Für Entwickler, die von Azure DevOps OAuth zu Microsoft Entra OAuth wechseln, bieten wir hilfreiche Tipps, die Sie während Ihrer Migrationsanstrengung berücksichtigen können.

Gute Ressourcen für Entwickler

• Microsoft Identity Platform und der On-Behalf-Of-Fluss von OAuth 2.0
• Grundlegendes zum delegierten Zugriff
• Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform
• Hinzufügen von Berechtigungen für den Zugriff auf Microsoft Graph: Nützlich, um zu erfahren, wie Delegierte Berechtigungen aus einer Azure-Ressource hinzugefügt werden. Statt Microsoft Graph wählen Sie Azure DevOps stattdessen aus der Liste der Ressourcen aus.
• Bereiche und Berechtigungen in der Microsoft Identity Platform: Lesen Sie den .default Bereich. Sehen Sie sich die Bereiche an, die für Azure DevOps verfügbar sind, in unserer Liste der Bereiche.
• Anfordern von Berechtigungen durch Zustimmung
• Authentifizierungsbibliotheken und Codebeispiele
• Verwalten von persönlichen Zugriffstoken über API: Die Verwendung der PAT-Lebenszyklusverwaltungs-APIs erfordert Microsoft Entra-Token und unsere Dokumente und die zugehörige Beispiel-App kann hilfreich sein, um eine Microsoft Entra-App für die Verwendung von Azure DevOps REST-APIs einzurichten.
• Support- und Hilfeoptionen für Entwickler

Gute Ressourcen für Administratoren

• Was ist die Anwendungsverwaltung in Microsoft Entra ID?
• Schnellstart: Hinzufügen einer Unternehmensanwendung
• Benutzeroberfläche für die Zustimmung für Anwendungen in Microsoft Entra ID

Erstellen und Migrieren von Tipps

Hinweis

Microsoft Entra OAuth-Apps unterstützen MSA-Benutzer für Azure DevOps-REST-APIs nicht nativ. Wenn Sie eine App erstellen, die MSA-Benutzer erfüllen muss oder sowohl Microsoft Entra- als auch MSA-Benutzer unterstützt, bleibt Azure DevOps OAuth-Apps Ihre beste Option. Wir arbeiten derzeit an nativer Unterstützung für MSA-Benutzer über Microsoft Entra OAuth.

• Gute Azure DevOps-IDs:
  • Microsoft Entra-Ressourcenbezeichner: 499b84ac-1321-427f-aa17-267ca6975798
  • Ressourcen-URI: https://app.vssps.visualstudio.com
  • Verwenden Sie den .default Bereich, wenn Sie ein Token mit allen Bereichen anfordern, für die die App berechtigt ist.
• Beim Migrieren einer vorhandenen App verwenden Sie möglicherweise Azure DevOps-Benutzerbezeichner, die in Microsoft Entra nicht vorhanden sind. Verwenden Sie die ReadIdentities-API , um die verschiedenen Identitäten aufzulösen und abzugleichen, die von jedem Identitätsanbieter verwendet werden.

Nur-App-Flüsse auf Microsoft Entra

Microsoft Entra OAuth ist die empfohlene Lösung zum Erstellen von Apps für den Zugriff auf Azure DevOps-Dienste im Auftrag eines zustimmenden Benutzers.

Wenn Sie eine Anwendung zum Handeln im Auftrag von selbst erstellen möchten, schauen Sie sich unsere Dokumentation zum Serviceprinzipalsupport an. In diesen Dokumenten wird ausführlicher erläutert, wie Sie einen Dienstprinzipal oder eine verwaltete Identität einrichten, die nicht auf Benutzerberechtigungen für Aktionen für Organisationsressourcen angewiesen ist, sondern ausschließlich auf eigene Berechtigungen angewiesen ist. Dieser Authentifizierungsmechanismus ist die empfohlene Authentifizierung für die Erstellung automatisierter Tools für Teams.