Création d’Azure DevOps avec Microsoft Entra Application OAuth s
Important
Lors de la création d’une application OAuth 2.0, commencez ici avec les applications Microsoft Entra OAuth, car les applications OAuth Azure DevOps sont prévues pour la dépréciation en 2026. En savoir plus dans notre billet de blog.
Microsoft Entra ID OAuth
Microsoft Entra ID est un produit Microsoft distinct avec sa propre plateforme. Sur Microsoft Entra, vous pouvez inscrire une application pour accéder aux locataires Azure et définir les autorisations nécessaires à partir des ressources Azure, dont Azure DevOps est considéré comme un.
Les applications Microsoft Entra et les applications Azure DevOps sont des entités distinctes sans connaître les unes des autres. Le moyen d’authentifier votre application diffère de Microsoft Entra OAuth auprès d’Azure DevOps OAuth. Pour une chose, les applications OAuth d’ID Microsoft Entra sont émises des jetons Microsoft Entra, et non des jetons d’accès Azure DevOps. Ces jetons ont une durée d’une heure standard avant l’expiration.
Nous vous recommandons de lire attentivement la documentation Microsoft Entra pour comprendre les nouvelles fonctionnalités disponibles via Microsoft Entra et les différentes attentes de vous lors de l’installation.
Pourquoi choisir Microsoft Entra ?
En tant que fournisseur de gestion des identités et des accès (IAM), Microsoft Entra ID se concentre sur les besoins des entreprises qui doivent gérer les membres de l’équipe et protéger les ressources de l’entreprise. Microsoft Entra ID offre de nombreuses fonctionnalités : le développement et la gestion des applications sont l’un d’eux. Le modèle d’application Microsoft Entra offre quelques avantages par rapport au modèle d’application OAuth Azure DevOps qui les rendent plus attrayants pour les développeurs d’applications.
1. Portée plus large à l’intérieur et à l’extérieur de Microsoft
En créant une application sur Microsoft Entra, vous disposez d’une portée plus large via le reste de l’écosystème Microsoft. Une application Microsoft Entra peut être utilisée pour accéder à plusieurs produits Microsoft, ce qui simplifie beaucoup la gestion des informations d’identification de l’application. Teams proposant des produits SaaS peut envisager de créer une application préintégrée qui apparaît en même temps que d’autres applications populaires dans la galerie d’applications Microsoft Entra.
2. Visibilité accrue de l’administrateur, consentement et gestion
Les administrateurs clients approuvés peuvent gérer les applications qui accèdent aux ressources de l’entreprise, qui au sein de l’organisation peuvent utiliser l’application et comment le consentement peut être obtenu. Azure DevOps OAuth ne connaît pas les connaissances des locataires ou de leurs administrateurs, en s’appuyant exclusivement sur les utilisateurs pour autoriser l’accès aux données potentiellement sensibles. Les utilisateurs qui ont précédemment autorisé l’accès à une application oubliée de longue date laissent la porte ouverte pour une infiltration potentielle ultérieure. La supervision de l’administrateur fournit un ensemble supplémentaire d’yeux avec les processus de révision appropriés et un nettoyage utile des applications inutilisées ou non autorisées.
3. Contrôles d’accès conditionnel plus stricts
Les stratégies d’accès conditionnel facilitent la configuration des contrôles d’accès appropriés sur lesquels les utilisateurs peuvent et ne peuvent pas accéder à votre organisation via une application Microsoft Entra. L’application OAuth Azure DevOps se trouve en dehors de l’écosystème Microsoft Entra et ne respecte pas toutes les stratégies d’accès conditionnel.
4. Configuration de l’application libre-service
La modification des étendues d’application et de la propriété d’application sur une application Microsoft Entra est une brise relative par rapport aux applications OAuth Azure DevOps. Les développeurs d’applications contactent notre équipe de support client pour apporter des modifications aux applications OAuth Azure DevOps, mais dans Microsoft Entra, le pouvoir de modifier les étendues est retourné au développeur. La propriété de l’application peut même être partagée entre plusieurs utilisateurs et non limitée à un seul utilisateur, ce qui peut poser un problème si l’utilisateur dit quitte l’entreprise à l’avenir.
5. Journaux de connexion disponibles
Microsoft Entra enregistre tous les « connexions » dans un locataire Azure, qui inclut vos applications et ressources internes. Ces informations supplémentaires peuvent fournir des informations supplémentaires sur l’utilisation de vos applications qui ne sont pas disponibles par le biais de notre audit.
Ressources utiles
La création d’une nouvelle plateforme peut être écrasante. Nous fournissons des liens utiles que nous pensons être utiles au processus de développement d’applications OAuth sur Microsoft Entra. Pour les développeurs qui passent d’Azure DevOps OAuth à Microsoft Entra OAuth, nous fournissons des conseils utiles à prendre en compte lors de votre effort de migration.
Bonnes ressources pour les développeurs
- Plateforme d’identités Microsoft et flux On-Behalf-Of OAuth 2.0
- Présentation de l’accès délégué
- Démarrage rapide : Inscrire une application à l’aide de la plateforme d’identités Microsoft
- Ajouter des autorisations pour accéder à Microsoft Graph : utile pour savoir comment ajouter des autorisations déléguées à partir d’une ressource Azure. Au lieu de Microsoft Graph, sélectionnez
Azure DevOpsplutôt dans la liste des ressources. - Étendues et autorisations dans l’Plateforme d’identités Microsoft : lecture sur l’étendue
.default. Consultez les étendues disponibles pour Azure DevOps dans notre liste d’étendues. - Demande d’autorisations via le consentement
- Exemples de code et bibliothèques d’authentification
- Gérer les jetons d’accès personnels via l’API : l’utilisation des API de gestion du cycle de vie PAT nécessite des jetons Microsoft Entra et nos documents et l’exemple d’application associé peut être un exemple utile pour configurer une application Microsoft Entra afin d’utiliser les API REST Azure DevOps.
- Options de support et d’aide pour les développeurs
Bonnes ressources pour les administrateurs
- Qu’est-ce que la gestion d’application dans Microsoft Entra ID ?
- Démarrage rapide : Ajouter une application d’entreprise
- Expérience de consentement pour les applications dans Microsoft Entra ID
Conseils de création et de migration
Remarque
Les applications Microsoft Entra OAuth ne prennent pas en charge les utilisateurs MSA pour les API REST Azure DevOps. Si vous créez une application qui doit répondre aux utilisateurs MSA ou prend en charge les utilisateurs Microsoft Entra et MSA, les applications OAuth Azure DevOps restent votre meilleure option. Nous travaillons actuellement sur la prise en charge native des utilisateurs MSA via Microsoft Entra OAuth.
- ID Azure DevOps bien à connaître :
- Identificateur de ressource Microsoft Entra :
499b84ac-1321-427f-aa17-267ca6975798 - URI de ressource :
https://app.vssps.visualstudio.com - Utilisez l’étendue lors de la
.defaultdemande d’un jeton avec toutes les étendues auxquelles l’application est autorisée.
- Identificateur de ressource Microsoft Entra :
- Lors de la migration d’une application existante, vous utilisez peut-être des identificateurs d’utilisateur Azure DevOps qui n’existent pas dans Microsoft Entra. Utilisez l’API ReadIdentities pour résoudre et faire correspondre les différentes identités utilisées par chaque fournisseur d’identité.
Flux d’application uniquement sur Microsoft Entra
Microsoft Entra OAuth est la solution recommandée pour créer des applications pour accéder aux services Azure DevOps au nom d’un utilisateur consentant.
Si vous envisagez de créer une application pour agir de la part de lui-même, consultez notre documentation sur la prise en charge du principal de service. Dans ces documents, nous avons élaboré davantage sur la configuration d’un principal de service ou d’une identité managée qui ne repose pas sur les autorisations utilisateur pour agir sur les ressources de l’organisation, au lieu de s’appuyer uniquement sur ses propres autorisations. Ce mécanisme d’authentification est l’authentification recommandée pour créer des outils automatisés pour les équipes.