Nouveau type de connexion de service pour les pipelines à authentifier auprès d’Azure DevOps

Les tâches d'un pipeline accèdent aux ressources dans Azure DevOps à l'aide d'un jeton d'accès au travail , disponible via la variable intégrée System.AccessToken. Par exemple, une tâche « validation » utilise ce jeton pour s’authentifier auprès du référentiel. De même, un script PowerShell peut utiliser ce jeton pour accéder aux API REST Azure DevOps. Toutefois, les autorisations de ce jeton sont basées sur l’identité project Build Service, ce qui signifie que tous les jetons d’accès aux travaux d’un projet ont des autorisations identiques. Cela accorde un accès excessif à tous les pipelines au sein du projet.

Pour résoudre ce problème, un nouveau type de connexion de service appelé « Connexion de service Azure DevOps » est introduit. Il utilise un principal de service Azure qui peut être ajouté en tant qu’utilisateur dans Azure DevOps avec des autorisations spécifiques. Cela vous permet de vous authentifier auprès des ressources d’une tâche de pipeline à l’aide de cette connexion de service et de restreindre l’accès à des pipelines spécifiques.

Nous allons d’abord introduire le nouveau type de connexion et quelques tâches qui fonctionnent avec elle. Nous allons développer progressivement la liste des tâches qui peuvent utiliser le type de connexion au fil du temps.