Autenticar en Azure DevOps a través de Microsoft Entra
Microsoft Entra ID es un producto de Microsoft independiente con su propia plataforma. Como proveedor líder de administración de identidades y acceso (IAM), microsoft Entra ID se centra en las necesidades de las empresas que necesitan administrar miembros del equipo y proteger los recursos de la empresa. Ofrecemos la posibilidad de conectar su organización Azure DevOps a un tenant Microsoft Entra ID, y puede haber muchos beneficios para su empresa al hacerlo.
Una vez conectada, la plataforma de aplicaciones de Identidad de Microsoft sobre Microsoft Entra ID ofrece algunas ventajas que hacen que sean atractivas para los desarrolladores de aplicaciones y los administradores de la organización. En Microsoft Entra, puede registrar una aplicación para acceder a los inquilinos de Azure y definir los permisos necesarios de los recursos de Azure, de los que Azure DevOps se considera uno. Azure DevOps existe fuera de la estructura de arrendatarios de Azure.
Las aplicaciones de Microsoft Entra y las aplicaciones de Azure DevOps son entidades independientes sin conocimiento entre sí. Los medios para autenticar la aplicación difieren de Microsoft Entra OAuth a Azure DevOps OAuth. Por un lado, las aplicaciones Microsoft Entra ID OAuth reciben tokens Microsoft Entra, no tokens de acceso Azure DevOps. Estos tokens tienen una duración estándar de una hora antes de la expiración.
Desarrollo de aplicaciones de Azure DevOps en Microsoft Entra
Recomendamos leer detenidamente la documentación de Microsoft Entra para comprender la nueva funcionalidad disponible a través de Microsoft Entra y las diferentes expectativas que se tienen de usted durante la configuración.
Tenemos orientación para apoyar el desarrollo de aplicaciones para:
- Aplicaciones Microsoft Entra OAuth (aplicaciones en nombre del usuario) para aplicaciones que realizan acciones en nombre de usuarios que dan su consentimiento
- Entidades principales de servicio de Microsoft Entra e identidades gestionadas (en nombre de las propias aplicaciones) para aplicaciones que realizan herramientas automatizadas dentro de un equipo
Sustitución de PAT por tokens de Microsoft Entra
Los tokens de acceso personal (PAT) siguen siendo una de las formas de autenticación más populares para los usuarios de Azure DevOps debido a su facilidad de creación y uso. Sin embargo, la administración y el almacenamiento de PAT deficientes pueden dar lugar a un acceso no autorizado a las organizaciones de Azure DevOps. Dejar que los PAT vivan durante mucho tiempo o sobredimensionarlos también puede aumentar el riesgo de daño que puede causar un PAT filtrado.
Los tokens de Microsoft Entra proporcionan una alternativa atractiva, ya que solo duran durante una hora antes de que se deban actualizar. Los protocolos de autenticación para generar tokens entra son más sólidos y seguros. Medidas de seguridad como las políticas de acceso condicional protegen contra el robo de tokens y los ataques de repetición. Esperamos atraer a más usuarios para que exploren el uso de tokens Microsoft Entra en cualquier lugar en el que los PAT se utilicen habitualmente hoy en día. Compartimos algunos de los casos de uso de PAT más populares y formas de reemplazar el PAT por un token Entra en este flujo de trabajo.
Solicitudes ad hoc a las API REST de Azure DevOps
También puede usar la CLI de Azure para obtener tokens de acceso de ID de Microsoft Entra, de modo que los usuarios puedan llamar a las API REST de Azure DevOps . Dado que los tokens de acceso de Entra solo residen durante una hora, son ideales para operaciones rápidas de un solo paso, como las llamadas API que no necesitan un token persistente.
Adquisición de tokens de usuario en la CLI de Azure
El mérito de estas instrucciones corresponde a los documentos de Databricks.
- Inicie sesión en la CLI de Azure con el comando
az loginy siga las instrucciones en pantalla. - Establezca la suscripción correcta para el usuario que ha iniciado sesión con estos comandos de Bash. Asegúrese de que el identificador de suscripción de Azure está asociado al inquilino conectado a la organización de Azure DevOps a la que intenta acceder. Si no conoce el identificador de suscripción, puede encontrarlo en Azure Portal.
bash az account set -s <subscription-id> - Generar un token de acceso Microsoft Entra ID con el
az account get-access-tokenID de recurso Azure DevOps:499b84ac-1321-427f-aa17-267ca6975798.bash az account get-access-token \ --resource 499b84ac-1321-427f-aa17-267ca6975798 \ --query "accessToken" \ -o tsv
Adquirir tokens de principal de servicio en Azure CLI
Los principales de servicio también pueden utilizar tokens de acceso ad-hoc Microsoft Entra ID para operaciones ad-hoc. Las instrucciones sobre cómo hacerlo se proporcionan en esta sección de la guía de entidades de servicio e identidades administradas.
Operaciones de Git con el Administrador de credenciales de Git
Los tokens de Microsoft Entra también se pueden usar para realizar operaciones de Git. Para aquellos que se insertan periódicamente en repositorios de Git, mediante el administrador de credenciales de Git ofrece una manera sencilla de solicitar y administrar las credenciales del token de Microsoft Entra OAuth, siempre y cuando oauth se establezca como la credential.azReposCredentialTypepredeterminada.