Neuer Dienstverbindungstyp für Pipelines zur Authentifizierung bei Azure DevOps

Aufgaben in einer Pipeline greifen mithilfe eines Auftragszugriffstokensauf Ressourcen in Azure DevOps zu, das über die integrierte Variable System.AccessTokenverfügbar ist. Beispielsweise verwendet ein "Checkout"-Task dieses Token, um sich beim Repository zu authentifizieren. Ebenso kann ein PowerShell-Skript dieses Token verwenden, um auf Azure DevOps-REST-APIs zuzugreifen. Die Berechtigungen dieses Tokens basieren jedoch auf der Project Build Service-Identität, was bedeutet, dass alle Auftragszugriffstoken in einem Projekt identische Berechtigungen besitzen. Dies gewährt übermäßigen Zugriff auf alle Pipelines innerhalb des Projekts.

Um dies zu beheben, wird ein neuer Dienstverbindungstyp namens "Azure DevOps Service Connection" eingeführt. Es wird ein Dienstprinzipal verwendet, der als Benutzer in Azure DevOps mit bestimmten Berechtigungen hinzugefügt werden kann. Auf diese Weise können Sie sich mit dieser Serviceverbindung bei Ressourcen einer Pipeline-Aufgabe authentifizieren und den Zugriff auf bestimmte Pipelines einschränken.

Zunächst werden wir den neuen Verbindungstyp und einige Aufgaben einführen, die damit arbeiten. Wir werden die Liste der Aufgaben schrittweise erweitern, die den Verbindungstyp im Laufe der Zeit verwenden können.