Étendues granulaires pour Azure Active Directory OAuth

Nous apportons la prise en charge des étendues Azure DevOps granulaires qui peuvent être utilisées pour limiter le comportement des applications OAuth Azure Active Directory qui s’intègrent à Azure DevOps.

En définissant des étendues sur une application, vous pouvez limiter les opérations (par exemple, écrire pour des éléments de travail, afficher le code source, configurer des pipelines, etc.) qu’une application peut effectuer lors de la connexion à Azure DevOps pour le compte de l’utilisateur. Les applications qui utilisent une étendue d’emprunt d’identité d’utilisateur large qui permet à l’application d’effectuer toutes les opérations que l’utilisateur sous-jacent est autorisé à effectuer peuvent désormais utiliser les étendues granulaires pour limiter son comportement. Par exemple, une application qui lit uniquement des éléments de travail ne peut être donnée qu’une étendue workitem_read afin qu’elle ne puisse rien faire en dehors de ce comportement intentionnellement ou autrement.

L’ajout d’étendues à une application nécessite que toutes les applications que vous intégrez doivent d’abord déclarer ce qu’elles tentent de faire pour vous en définissant ces étendues à l’avance. Ces étendues seront disponibles pour vous permettre de passer en revue avant de consentir à autoriser cette application à effectuer des actions en votre nom. Ainsi, vous disposez d’une plus grande visibilité sur ce qu’une application fait avec les ressources auxquelles vous avez accès.

En tant que développeur d’applications, cela permet de limiter le vecteur de risque si un jeton émis par votre application tombe entre de mauvaises mains.