Autenticación en Azure DevOps con Microsoft Entra

Microsoft Entra ID es un producto de Microsoft independiente con su propia plataforma. Como proveedor líder de administración de identidades y acceso (IAM), Microsoft Entra ID se centra en administrar miembros del equipo y proteger los recursos de la empresa. Puede conectar su organización de Azure DevOps a un inquilino de Microsoft Entra ID, que ofrece muchas ventajas a su empresa.

Una vez conectada, la plataforma de aplicaciones de Identidad de Microsoft en la parte superior de Microsoft Entra ID proporciona varias ventajas para los desarrolladores de aplicaciones y administradores de la organización. Puede registrar una aplicación para acceder a los inquilinos de Azure y definir los permisos necesarios desde los recursos de Azure, incluido Azure DevOps, que existe fuera de la construcción de inquilinos de Azure.

Las aplicaciones de Microsoft Entra y de Azure DevOps son entidades independientes sin conocimiento entre sí. Los métodos de autenticación difieren: Microsoft Entra usa OAuth, mientras que Azure DevOps usa su propia OAuth. Las aplicaciones OAuth de Microsoft Entra ID emiten tokens de Microsoft Entra, no tokens de acceso de Azure DevOps. Estos tokens tienen una duración estándar de una hora antes de la expiración.

Desarrollo de aplicaciones de Azure DevOps en Microsoft Entra

Lea la documentación de Microsoft Entra exhaustivamente para comprender la nueva funcionalidad y las diferentes expectativas durante la configuración.

Apoyamos el desarrollo de tu aplicación con orientación para:

• Aplicaciones Microsoft Entra OAuth (aplicaciones en nombre del usuario) para aplicaciones que realizan acciones en nombre de usuarios que dan su consentimiento.
• Entidades de servicio de Microsoft Entra e identidades administradas (en nombre de las propias aplicaciones) para aplicaciones que realizan herramientas automatizadas dentro de un equipo.

Reemplazo de PAT por tokens de Microsoft Entra

los tokens de acceso personal (PAT) son populares para la autenticación de Azure DevOps debido a su facilidad de creación y uso. Sin embargo, la administración y el almacenamiento de PAT deficientes pueden dar lugar a un acceso no autorizado a las organizaciones de Azure DevOps. Los PAT de larga duración o de ámbito excesivo aumentan el riesgo de daños por un PAT filtrado.

Los tokens de Microsoft Entra ofrecen una alternativa segura que dura solo una hora antes de requerir una actualización. Los protocolos de autenticación para generar tokens entra son más sólidos y seguros. Medidas de seguridad como las políticas de acceso condicional protegen contra el robo de tokens y los ataques de repetición. Animamos a los usuarios a explorar el uso de tokens de Microsoft Entra en lugar de PAT. Compartimos casos de uso populares de PAT y formas de reemplazar las PAT por tokens Entra en este flujo de trabajo.

Solicitudes ad hoc a las API REST de Azure DevOps

También puede usar la CLI de Azure para obtener tokens de acceso de ID de Microsoft Entra, de modo que los usuarios puedan llamar a las API REST de Azure DevOps . Dado que los tokens de acceso Entra solo duran una hora, son ideales para operaciones rápidas ocasionales, como las llamadas API que no necesitan un token persistente.

Adquisición de tokens de usuario en la CLI de Azure

1. Inicie sesión en la CLI de Azure con el comando az login y siga las instrucciones en pantalla.
2. Establezca la suscripción correcta para el usuario que ha iniciado sesión con estos comandos de Bash. Asegúrese de que el identificador de suscripción de Azure está asociado al inquilino conectado a la organización de Azure DevOps a la que intenta acceder. Si no conoce su identificador de suscripción, puede encontrarlo en Azure Portal.

  az account set -s <subscription-id>

3. Generar un token de acceso Microsoft Entra ID con el az account get-access-token ID de recurso Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.

az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv

Para obtener más información, consulte los documentos de Databricks.

Adquirir tokens de principal de servicio en Azure CLI

Los principales de servicio también pueden utilizar tokens de acceso ad-hoc Microsoft Entra ID para operaciones ad-hoc. Para obtener más información, consulte Entidades de servicio e identidades administradas/Obtención de un token de Microsoft Entra ID con la CLI de Azure.

Operaciones de Git con el Administrador de credenciales de Git

También puede usar tokens de Microsoft Entra para realizar operaciones de Git. Si suele insertar en repositorios de Git,use el Administrador de Credenciales de Git para solicitar y administrar fácilmente sus credenciales de token de Microsoft Entra OAuth, siempre y cuando oauth se establezca como credential.azReposCredentialType predeterminado.

Artículos relacionados

• Desarrollar la integración de Azure DevOps con aplicaciones de Microsoft Entra OAuth
• Uso de entidades de servicio e identidades administradas en Azure DevOps