Compartir vía


Configuración de las opciones de seguridad de grupos de DevOps administrados

Puede configurar la configuración de seguridad para grupos de DevOps administrados durante la creación del grupo mediante la pestaña Seguridad y después de la creación del grupo mediante el panel Configuración de seguridad.

Configuración del acceso de la organización

De forma predeterminada, los grupos de DevOps administrados están configurados para una sola organización, con acceso al grupo concedido a todos los proyectos de la organización. Opcionalmente, puede limitar el acceso a proyectos específicos de la organización y puede conceder acceso a organizaciones adicionales si lo desea.

Uso de un grupo con una sola organización

De forma predeterminada, los grupos de DevOps administrados se configuran para su uso con una sola organización de Azure DevOps que especifique al crear el grupo. Cuando el grupo está configurado para una sola organización, el nombre de la organización se muestra y se configura en Configuración del grupo.

De forma predeterminada, Agregar grupo a todos los proyectos se establece en y se concede acceso al grupo de DevOps administrado a todos los proyectos de la organización. Elija No para especificar una lista de proyectos para limitar qué proyectos de su organización pueden usar el grupo.

Captura de pantalla de la configuración de proyectos para una sola organización.

Uso del grupo en varias organizaciones

Habilite Uso del grupo en varias organizaciones para usar el grupo con varias organizaciones de Azure DevOps. Para cada organización, especifique los proyectos que pueden usar el grupo o deje en blanco para permitir todos los proyectos. Configure el paralelismo para cada organización especificando las partes de la simultaneidad, según lo especificado por Máximo de agentes para el grupo, para asignar a cada organización. La suma del paralelismo para todas las organizaciones debe ser igual a la simultaneidad máxima del grupo. Por ejemplo, si Máximo de agentes se establece en cinco, la suma del paralelismo para las organizaciones especificadas debe ser cinco. Si Máximo de agentes se establece en uno, solo puede usar el grupo con una organización.

En el ejemplo siguiente, el grupo está configurado para que esté disponible para los proyectos FabrikamResearch y FabrikamTest de la organización fabrikam-tailspin y para todos los proyectos de la organización fabrikam-blue .

Captura de pantalla de la configuración de varias organizaciones.

Si recibe un error como The sum of parallelism for all organizations must equal the max concurrency., asegúrese de que el número máximo de agentes para el grupo coincide con la suma de la columna Parallelism .

Configuración del modo interactivo

Si las pruebas necesitan un inicio de sesión interactivo para las pruebas de IU, habilite el inicio de sesión interactivo habilitando la configuración EnableInteractiveMode .

Captura de pantalla de la configuración del modo interactivo.

Permisos de administración del grupo

Como parte del proceso de creación de grupos de DevOps administrados, se crea un grupo de agentes de nivel de organización en Azure DevOps. La configuración permisos de administración del grupo especifica qué usuarios se les concede el rol de administrador del grupo de Azure DevOps recién creado. Para ver y administrar los permisos del grupo de agentes de Azure DevOps después de crear el grupo de DevOps administrado, consulte Creación y administración de grupos de agentes: seguridad de los grupos de agentes.

Captura de pantalla de la configuración de permisos de administración del grupo.

  • Solo Creador: el usuario que creó el grupo de DevOps administrado se agrega como administrador del grupo de agentes de Azure DevOps y la herencia se establece en Desactivado en la configuración de seguridad del grupo de agentes. Creator solo es la configuración predeterminada.
  • Heredar permisos del proyecto : el usuario que creó el grupo de DevOps administrado se agrega como administrador del grupo de agentes de Azure DevOps y la herencia se establece en Activado en la configuración de seguridad del grupo de agentes.
  • Cuentas específicas: especifique las cuentas que se van a agregar como administradores del grupo de agentes creado en Azure DevOps. De forma predeterminada, el creador del grupo de DevOps administrado se agrega a la lista.

Nota:

La opción Permisos de administración del grupo se configura en la pestaña Seguridad cuando se crea el grupo y no se muestra en la configuración seguridad después de crear el grupo. Para ver y administrar los permisos del grupo de agentes de Azure DevOps después de crear el grupo de DevOps administrado, consulte Creación y administración de grupos de agentes: seguridad de los grupos de agentes.

Configuración de Key Vault

Los grupos de DevOps administrados ofrecen la capacidad de capturar certificados de una instancia de Azure Key Vault durante el aprovisionamiento, lo que significa que los certificados ya existirán en la máquina en el momento en que ejecuta las canalizaciones de Azure DevOps. Para usar esta característica, debe configurar una identidad en el grupo y esta identidad debe tener permisos de usuario de secretos de Key Vault para capturar el secreto de Key Vault. Para asignar la identidad al rol De usuario secretos de Key Vault, consulte Proporcionar acceso a claves, certificados y secretos de Key Vault con un control de acceso basado en rol de Azure.

Nota:

A partir de api-version 2024-10-19, si usa esta característica, solo puede usar una sola identidad en el grupo. Pronto se agregará compatibilidad con varias identidades.

Solo se puede usar una identidad para capturar secretos de Key Vault.

La integración de Key Vault se configura en Configuración > seguridad.

Captura de pantalla de la configuración de certificados de Key Vault.

Nota:

La configuración de integración de Key Vault solo se puede configurar después de crear el grupo. La configuración de integración de Key Vault no se puede configurar durante la creación del grupo y no se muestra en la pestaña Seguridad durante la creación del grupo.

Configuración de SecretManagementSettings

Los certificados recuperados con en el SecretManagementSettings grupo se sincronizarán automáticamente con las versiones más recientes publicadas en Key Vault. Estos secretos estarán en la máquina en el momento en que ejecuta cualquier canalización de Azure DevOps, lo que significa que puede ahorrar tiempo y quitar tareas para capturar certificados.

Importante

Se producirá un error en el aprovisionamiento de las máquinas virtuales del agente si el secreto no se puede capturar desde Key Vault debido a un problema de red o permisos.

Para Windows, se permite establecer la ubicación del almacén de certificados en LocalMachine o CurrentUser. Esta configuración garantizará que el secreto esté instalado en esa ubicación en el equipo. Para obtener un comportamiento específico de cómo funciona la recuperación de secretos, consulte la documentación de la extensión de Key Vault de Azure VMSS para Windows.

Consulte también