S’authentifier auprès d’Azure DevOps avec Microsoft Entra

Microsoft Entra ID est un produit Microsoft distinct avec sa propre plateforme. En tant que fournisseur de gestion des identités et des accès (IAM), Microsoft Entra ID est axé sur la gestion des membres de l’équipe et la protection des ressources de l’entreprise. Vous pouvez connecter votre organisation Azure DevOps à un locataire Microsoft Entra ID, qui offre de nombreux avantages à votre entreprise.

Une fois connecté, la plateforme d’application Microsoft Identity qui s’appuie sur Microsoft Entra ID offre plusieurs avantages aux développeurs d’applications et aux administrateurs d’organisation. Vous pouvez enregistrer une application pour accéder aux locataires Azure et définir les autorisations nécessaires à partir de ressources Azure, y compris Azure DevOps, qui existe en dehors de la structure de locataire Azure.

Les applications Microsoft Entra et les applications Azure DevOps sont des entités distinctes n’ont pas connaissance les unes des autres. Les méthodes d’authentification sont différentes : Microsoft Entra utilise OAuth, tandis qu’Azure DevOps utilise son propre OAuth. Les applications OAuth d’ID Microsoft Entra émettent des jetons Microsoft Entra, et non des jetons d’accès Azure DevOps. Ces jetons ont une durée standard d’une heure avant expiration.

Développez des applications Azure DevOps sur Microsoft Entra

Lisez attentivement la documentation Microsoft Entra pour comprendre la nouvelle fonctionnalité et les différentes attentes lors de la configuration.

Nous vous aidons à développer votre application en vous donnant des conseils pour :

• Applications OAuth Microsoft Entra (applications agissant au nom des utilisateurs) pour les applications qui effectuent des actions au nom des utilisateurs consentants.
• Les principaux de service et les identités gérées Microsoft Entra (applications en leur nom propre) pour les applications qui réalisent des tâches automatisées dans une équipe.

Remplacez des PATs par des jetons Microsoft Entra

Les jetons d’accès personnels (PATs) sont populaires pour l’authentification Azure DevOps en raison de leur facilité de création et d’utilisation. Toutefois, une gestion et un stockage médiocres des PAT peuvent entraîner un accès non autorisé à vos organisations Azure DevOps. Les PAT durables ou sur-scopés augmentent le risque de dommages en cas de fuite d’un PAT.

Les jetons Microsoft Entra offrent une solution de rechange sûre, ils ne sont valables qu’une heure avant de demander une actualisation. Les protocoles d’authentification pour générer des jetons Entra sont plus robustes et sécurisés. Les mesures de sécurité telles que les stratégies d’accès conditionnel peuvent protéger contre le vol de jetons et les attaques par relecture. Nous encourageons les utilisateurs à envisager l'utilisation de jetons Microsoft Entra au lieu de PATs. Nous partageons des cas d’usage PAT populaires et des façons de remplacer les PATs par des jetons Entra dans ce flux de travail.

Requêtes ponctuelles aux API REST Azure DevOps

Vous pouvez également utiliser l'Azure CLI pour obtenir des jetons d’accès Microsoft Entra ID pour que les utilisateurs puissent appeler les API REST Azure DevOps. Étant donné que les jetons d’accès Entra ne sont valables qu’une heure, ils sont idéaux pour des opérations rapides et ponctuelles, comme les appels API ne nécessitant pas de jeton persistant.

---

Acquérir des jetons utilisateur

Interface en ligne de commande Azure (Azure CLI)

1. Connectez-vous à l’Azure CLI en utilisant la commande az login et suivez les instructions affichées à l’écran.

2. Définissez l’abonnement approprié pour l’utilisateur connecté avec ces commandes bash. Assurez-vous que l’ID d’abonnement Azure est associé au locataire connecté à l’organisation Azure DevOps à laquelle vous essayez d’accéder. Si vous ne connaissez pas votre ID d’abonnement, vous pouvez le trouver dans le portail Azure.

   az account set -s <subscription-id>
   

3. Générez un jeton d’accès d’ID Microsoft Entra avec la commande az account get-access-token à l’aide de l’ID de ressource Azure DevOps : 499b84ac-1321-427f-aa17-267ca6975798.

   az account get-access-token \
   --resource 499b84ac-1321-427f-aa17-267ca6975798 \
   --query "accessToken" \
   -o tsv
   

Azure PowerShell

1. Connectez-vous à Azure PowerShell à l’aide de la commande Connect-AzAccount et suivez les instructions à l’écran.

2. Définissez l’abonnement approprié pour l’utilisateur connecté avec ces commandes PowerShell. Assurez-vous que l’ID d’abonnement Azure est associé au locataire connecté à l’organisation Azure DevOps à laquelle vous essayez d’accéder. Si vous ne connaissez pas votre ID d’abonnement, vous pouvez le trouver dans le portail Azure.

   Set-AzContext -Subscription <subscriptionID>
   

3. Générez un jeton d’accès d’ID Microsoft Entra avec la commande Get-AzAccessToken à l’aide de l’ID de ressource Azure DevOps : 499b84ac-1321-427f-aa17-267ca6975798.

   Get-AzAccessToken -ResourceUrl '499b84ac-1321-427f-aa17-267ca6975798'
   

Pour plus d’informations, consultez la Documentation Databricks.

Acquérir des jetons de principal de service dans Azure CLI

Les principaux de service peuvent également utiliser des jetons d'accès Microsoft Entra ID ponctuels pour des opérations ponctuelles. Pour plus d’informations, veuillez consulter la section Principaux de service et identités managées/Obtenir un jeton Microsoft Entra ID avec l’Azure CLI.

Opérations Git avec Git Credential Manager

Vous pouvez aussi utiliser les jetons Microsoft Entra pour effectuer des opérations Git. Si vous envoyez régulièrement des notifications push vers des référentiels git, utilisez le Gestionnaire d’identifiants Git pour demander et gérer facilement vos identifiants de jeton Microsoft Entra OAuth, tant que oauth est défini comme le credential.azReposCredentialType par défaut.

Articles connexes

• Construire des intégrations Azure DevOps avec les applications Microsoft Entra OAuth
• Utilisez les principaux de service & les identités managées dans Azure DevOps