Référence des autorisations pour Team Foundation Server
Les autorisations déterminent les tâches que les utilisateurs peuvent ou ne peuvent pas réaliser. Pour que les utilisateurs aient accès aux ressources Team Foundation Server (TFS) et aux projets d'équipe, vous devez les ajouter à un projet d'équipe ou à un groupe TFS. Pour une vue d'ensemble de la façon dont TFS gère les membres, les autorisations et l'accès, consultez Gérer les utilisateurs et les groupes dans TFS.
Cette rubrique décrit les autorisations TFS et leurs affectations par défaut à chacun des groupes TFS intégrés. Elle décrit également les outils que vous pouvez utiliser pour définir des autorisations. Il existe trois catégories de groupes intégrés, quatre niveaux d'autorisations et cinq états d'autorisation. L'accès de chaque utilisateur à une tâche fonctionnelle dépend de l'état d'autorisation explicite ou hérité qui lui est assigné ou qui est assigné à un groupe auquel il appartient.
Dans cette rubrique
|
Pour affecter des autorisations aux Produits SharePoint ou à SQL Server Reporting Services, consultez Ajouter des utilisateurs aux projets d'équipe et Accorder des autorisations pour afficher ou créer des rapports dans TFS.
Nouveautés relatives aux autorisations
Le tableau suivant contient les ajouts et modifications apportés au modèle d'autorisations TFS. Ces ajouts et modifications dépendent de la version que vous avez installée sur votre serveur de couche application.
Version de TFS |
Nouvelles autorisations et autorisations modifiées |
---|---|
TFS 2013,3 |
Ajout de l'autorisation Gérer des suites de tests et redéfinition de la portée de l'autorisation Gérer des plans de test pour gérer uniquement les plans de test. Ces autorisations sont définies pour un chemin de zone. Auparavant, elle couvrait la gestion des droits des plans de test et des suites de tests. |
TFS 2013,2 |
Ajout d'autorisations de balisage. |
TFS 2013 |
Ajout d'autorisations de référentiel Git. |
Outils utilisés pour définir les autorisations
Vous pouvez utiliser les outils répertoriés dans le tableau ci-dessous pour définir les autorisations. Différents outils sont utilisés selon que vous définissez les autorisations au niveau d'un serveur, d'une collection ou d'un projet. Vous utilisez Team Web Access (TWA) pour définir la plupart des autorisations permettant aux utilisateurs et aux groupes d'accéder à un projet d'équipe.
Niveau d'autorisation |
Page d'administration TWA ou sécurité au niveau de l'objet |
Team Explorer (remarque 1) |
Console Administration Team Foundation |
Outil en ligne de commande TFSSecurity |
Outil en ligne de commande Tf |
Outil en ligne de commande TFSLabConfig |
---|---|---|---|---|---|---|
Niveau serveur |
||||||
Niveau collection |
||||||
Niveau projet et test |
||||||
Niveau build |
||||||
Requête d'élément de travail |
||||||
Étiquetage |
||||||
Niveau zone pour le suivi des éléments de travail |
||||||
Niveau itération pour le suivi des éléments de travail |
||||||
Contrôle de version Team Foundation |
||||||
Référentiel Git |
||||||
Lab Management |
||||||
Gestion des versions (2) |
Remarques
Certaines options d'autorisations auxquelles vous accédez à partir de Team Explorer ouvrent une interface utilisateur dans Team Web Access.
Si vous ajoutez Release Management à votre déploiement, vous pouvez gérer les autorisations à l'aide des groupes que vous définissez dans Release Management, TFS, ou Active Directory. Vous pouvez gérer les autorisations via Release Management Client.
Vous pouvez également utiliser l'outil TFSAdmin de CodePlex pour gérer l'appartenance des utilisateurs à des groupes.
Outils en ligne de commande, espaces de noms et noms des autorisations
Quand vous exécutez l'outil en ligne de commande TFSSecurity pour gérer des autorisations, vous spécifiez un espace de noms ainsi que le nom de l'autorisation. Dans les sections qui suivent, l'espace de noms et le nom de commande sont indiqués. Il existe deux groupes d'espaces de noms : collection de projets et serveur. Utilisez la commande TFSSecurity /a pour afficher la liste des espaces de noms. Pour obtenir le jeu d'autorisations que vous pouvez définir sous un espace de noms, utilisez TFSSecurity /a Namespace /collection:CollectionNameURL
Espaces de noms Collection de projets |
Espace de noms Serveur |
---|---|
TFSSecurity /a /collection:CollectionNameURL
|
TFSSecurity /a /server:ServerNameURL
|
Groupes TFS intégrés
Lorsque vous installez TFS, quatre groupes sont définis au niveau du serveur. Lorsque vous créez une collection de projets, sept groupes sont créés au niveau de la collection, et pour chaque projet d'équipe que vous créez, six groupes spécifiques au projet d'équipe sont créés. Chacun de ces groupes est associé à un jeu d'autorisations par défaut. Vous ne pouvez pas supprimer des groupes par défaut au niveau du serveur, tels que le groupe Administrateurs Team Foundation.
Niveau serveur |
Niveau collection |
Niveau projet |
---|---|---|
|
|
|
Remarques :
Pour en savoir plus sur les groupes d'utilisateurs valides, accédez la section Qu'est-ce qu'un utilisateur autorisé ? Comment sont remplis les groupes d'utilisateurs autorisés ?.
Un groupe équipe est créé avec le nom du projet d'équipe. Par exemple, si vous créez un projet d'équipe nommé « Exemple de code », un groupe équipe sera également créé avec le nom « Équipe Exemple de code ». Vous pouvez renommer cette équipe.
Par ailleurs, lorsque vous créez de équipes supplémentaires, un groupe équipe est créé pour chaque équipe.
Des autorisations de niveau serveur sont affectées aux groupes de niveau serveur. Des autorisations définies pour la collection, le projet et les objets sont affectées aux groupes de niveau collection. Enfin, des autorisations de niveau projet et de niveau objet sont affectées aux groupes de niveau projet.
Par exemple, l'illustration suivante montre les autorisations affectées au groupe Contributors de niveau projet.
Les autorisations du groupe Project Administrators incluent les autorisations affectées au groupe Contributors plus quelques-unes.
Groupes de niveau serveur
Par défaut, les groupes suivants existent au niveau du serveur pour la couche Application lorsque vous installez TFS.
Nom du groupe (préfixe : Team Foundation\) |
Autorisations |
Comptes d'utilisateur par défaut |
---|---|---|
Team Foundation Administrators |
Peut réaliser toutes les opérations pour TFS. Ce groupe doit être limité au plus petit nombre d'utilisateurs ayant besoin du contrôle administratif total sur TFS. |
Groupe Administrateurs locaux (BUILTIN\Administrators) pour tout serveur qui héberge les services d'application Team Foundation. Groupe serveur\Team Foundation Service Accounts et les membres du groupe \Project Server Integration Service Accounts. |
Team Foundation Valid Users |
Accès en lecture au code source, aux éléments de travail et aux définitions de build. L'accès aux fonctionnalités TWA dépend de la licence ou du groupe de niveau d'accès qui leur a été affecté. Important Si vous affectez la valeur Refuser ou Non défini à l'autorisation Afficher les informations au niveau de l'instance, aucun utilisateur ne pourra accéder au déploiement. |
Contient tous les utilisateurs et groupes qui ont été ajoutés où que ce soit dans TFS. Vous ne pouvez pas modifier les membres de ce groupe. |
Team Foundation Service Accounts |
Autorisations de niveau service pour TFS. |
Contient le compte de service fourni au moment de l'installation. Ce groupe doit contenir des comptes de service uniquement et pas de compte ou groupe utilisateur qui contiennent des comptes d'utilisateurs. Par défaut, ce groupe est membre de Team Foundation Administrators. |
Project Server Integration Service Accounts |
Autorisations de niveau service pour les déploiements Project Server qui sont configurés pour interagir avec TFS. En outre, les membres de ce groupe disposent de certaines autorisations de niveau service pour TFS. |
Ce groupe doit contenir des comptes de service uniquement et pas de compte ou groupe utilisateur qui contiennent des comptes d'utilisateurs. Par défaut, ce groupe est membre de Team Foundation Administrators. |
SharePoint Web Application Services |
Autorisations de niveau service pour les applications web SharePoint qui sont configurées pour être utilisées avec TFS, en plus de certaines autorisations de niveau service pour TFS. |
Ce groupe doit contenir des comptes de service uniquement et pas de compte ou groupe utilisateur qui contiennent des comptes d'utilisateurs. Contrairement au groupe Service Accounts, ce groupe n'est pas membre de Team Foundation Administrators. |
Team Foundation Proxy Service Accounts |
Les membres de ce groupe ont des autorisations de niveau service pour Team Foundation Server Proxy et certaines autorisations de niveau service pour TFS. |
Ce groupe doit contenir des comptes de service uniquement et pas de compte ou groupe utilisateur qui contiennent des comptes d'utilisateurs. |
Groupes de niveau collection
Par défaut, les groupes suivants existent au niveau de la collection lorsque vous configurez une collection.
Nom du groupe (préfixe : NomCollectionProjetÉquipe\) |
Autorisations de niveau groupe |
Affectations de comptes |
---|---|---|
Project Collection Administrators |
Peut réaliser toutes les opérations pour la collection de projets d'équipe. |
Contient le groupe Administrateurs locaux (BUILTIN\Administrators) pour le serveur sur lequel les services de la couche Application pour TFS ont été installés. Contient également les membres du groupe NomCollectionProjetÉquipe\Service Accounts. Ce groupe doit être limité au nombre le plus petit possible des utilisateurs qui nécessitent un contrôle administratif complet sur la collection. |
Project Collection Valid Users |
Peut accéder aux projets d'équipe définis pour la collection. Important Si vous affectez la valeur Refuser ou Non défini à l'autorisation Afficher les informations au niveau de la collection, aucun utilisateur ne pourra accéder à la collection. |
Contient tous les utilisateurs et groupes qui ont été ajoutés n'importe où dans la collection de projets d'équipe. Vous ne pouvez pas modifier l'appartenance de ce groupe. |
Project Collection Service Accounts |
Autorisations de niveau service pour la collection et TFS. |
Contient le compte de service fourni au moment de l'installation. Ce groupe doit contenir uniquement des comptes de service et des groupes qui ne contiennent que des comptes de service. Par défaut, ce groupe est membre de Team Foundation Administrators et Team Foundation Service Accounts. |
Project Collection Build Administrators |
Peut administrer les ressources de build et les autorisations pour la collection. |
Limitez ce groupe au plus petit nombre possible d'utilisateurs qui ont besoin d'un contrôle administratif total sur les serveurs et services de build pour cette collection. |
Project Collection Build Service Accounts |
Dispose des autorisations requises pour exécuter les services de build pour la collection. |
Limitez ce groupe aux comptes de service et groupes qui contiennent uniquement des comptes de service. |
Project Collection Proxy Service Accounts |
Dispose des autorisations requises pour exécuter le service proxy pour la collection. |
Limitez ce groupe aux comptes de service et groupes qui contiennent uniquement des comptes de service. |
Project Collection Test Service Accounts |
Autorisations de service de test pour la collection. |
Limitez ce groupe aux comptes de service et groupes qui contiennent uniquement des comptes de service. |
Groupes de niveau projet
Par défaut, les groupes suivants existent lorsque vous créez un projet d'équipe. Leurs autorisations sont limitées au projet.
Nom du groupe (préfixe : NomProjet\) |
Autorisations de niveau groupe |
Remarques supplémentaires |
---|---|---|
Project Administrators |
Peut administrer tous les aspects du projet d'équipe, même si ce groupe ne peut pas créer des projets. |
Affectez ce groupe aux utilisateurs qui seront amenés à gérer les autorisations utilisateurs, créer des équipes, définir des chemins de zone et d'itération ou personnaliser le suivi des éléments de travail. |
Build Administrators |
Peut administrer les ressources de build et définir des autorisations pour le projet. Les membres peuvent gérer des environnements de test, créer des séries de tests et gérer des builds. |
|
Contributors |
Peut contribuer pleinement à la base de code du projet et au suivi des éléments de travail. |
Par défaut, le groupe d'équipe créé lorsque vous créez un projet d'équipe est ajouté à ce groupe, et tout utilisateur que vous ajoutez à l'équipe sera membre de ce groupe. En outre, toute équipe que vous créez pour un projet d'équipe sera ajoutée à ce groupe par défaut, sauf si vous choisissez un autre groupe dans la liste. |
Readers |
Peut afficher le projet mais pas le modifier. |
Affectez ce groupe aux participants qui souhaitent pouvoir voir le travail en cours. |
NomÉquipe |
Hérite des autorisations affectées au groupe Contributors. Peut contribuer pleinement à la base de code du projet et au suivi des éléments de travail. |
Le groupe d'équipe par défaut est créé lorsque vous créez un projet d'équipe et est ajouté par défaut au groupe Contributors pour le projet d'équipe. Toutes les nouvelles équipes que vous créez auront également un groupe créé pour elles et ajouté au groupe Collaborateurs. |
Outre ces groupes au niveau du projet, deux groupes au niveau de la collection s'affichent également dans chaque projet dans TFS :
NomCollectionÉquipeProjet**\Project Collection Administrators**
Vous ne pouvez pas modifier les autorisations pour ce groupe au niveau de la collection.
NomCollectionÉquipeProjet**\Project Collection Build Service Accounts**
Ne supprimez pas ni n'attribuez à l'autorisation Afficher les informations au niveau du projet la valeur Refuser pour ce groupe.
Autoriser, Refuser, Non défini et autres états d'autorisation
TFS utilise un modèle appliquant la permissivité la plus restrictive pour les autorisations de sécurité. Cela signifie que si un utilisateur appartient à deux groupes et que la même autorisation est définie sur Autoriser pour un groupe et sur Refuser pour un autre groupe, Refuser est prioritaire par rapport à Autoriser. Il existe quelques exceptions à cette règle pour les utilisateurs appartenant aux groupes Administrateurs de la collection de projets et Administrateurs de Team Foundation Server.
Vous pouvez spécifier deux états d'autorisation explicites pour les autorisations : Refuser et Autoriser. Il existe par ailleurs trois autres états : Autoriser l'héritage, Interdire l'héritage et Non défini. Non défini est un état Refuser implicite.
Autorisation |
Autorisation |
---|---|
Autoriser |
Autorise explicitement les utilisateurs à réaliser la tâche associée à l'autorisation spécifique. Autoriser est généralement hérité de l'appartenance à un groupe. Pour que les utilisateurs puissent accéder à une tâche, l'autorisation associée doit être définie sur Autoriser ou Autoriser l'héritage. |
Refuser |
Interdit explicitement aux utilisateurs de réaliser la tâche associée à l'autorisation spécifique. Refuser est généralement hérité de l'appartenance à un groupe. |
Autoriser l'héritage/Interdire l'héritage |
Autorise ou interdit à un utilisateur de réaliser la tâche associée à l'autorisation en fonction de l'autorisation définie pour un groupe auquel il appartient. |
Non définie |
Interdit implicitement aux utilisateurs de réaliser l'action associée à l'autorisation. L'autorisation n'ayant pas explicitement la valeur Refuser ou Autoriser, l'état de cette autorisation peut être hérité d'autres groupes auxquels l'utilisateur ou le groupe appartient. Par défaut, la plupart des autorisations ne sont pas définies sur Refuser ou Autoriser. Elles gardent la valeur Non défini. |
Les états d'autorisation suivent les paramètres de priorité suivants :
L'autorisation Refuser est prioritaire sur tous les autres paramètres d'autorisation, notamment Autoriser. Par exemple, un utilisateur peut appartenir à deux groupes dans un projet. Dans un groupe, l'autorisation Publier les résultats des tests a la valeur Refuser ; dans l'autre groupe, elle a la valeur Autoriser. Le paramètre Refuser est prioritaire et l'utilisateur n'est pas autorisé à publier les résultats des tests.
Exceptions à cette règle :
L'autorisation Refuser n'est pas prioritaire si elle est héritée d'un parent hiérarchique. Les fonctions suivantes prennent en charge le paramètre d'autorisation hiérarchique :
Dossiers de contrôle de code source pour le contrôle de version Team Foundation
Référentiels Git
Nœuds d'itération et de zone pour le suivi des éléments de travail
Dossiers de requête et requêtes partagées d'éléments de travail
Les autorisations explicites définies sur un objet particulier (tel qu'un dossier de contrôle de code source, un référentiel ou un nœud enfant de zone) remplacent celles qui sont héritées des objets parents. Par exemple, l'autorisation Refuser définie pour un dossier de contrôle de code source ne remplace pas une autorisation Autoriser pour l'un de ses sous-dossiers.
Quand un utilisateur appartient à un groupe d'administrateurs, tels que les groupes Administrateurs de la collection de projets ou Administrateurs Team Foundation, sauf indication contraire dans la description de l'autorisation.
Autoriser l'héritage est prioritaire par rapport à Non défini.
Héritage
Lorsque une autorisation est Non défini pour un utilisateur ou à un groupe, l'utilisateur ou le groupe peut être affecté par l'état d'autorisation explicite défini pour les groupes auxquels il appartient étant donné que les autorisations dans TFS sont héritées. Par exemple, lorsque vous examinez les autorisations pour un utilisateur ou un groupe, les options Autoriser et Autoriser l'héritage peuvent toutes deux être définies pour les autorisations. La dernière autorisation est héritée d'un autre groupe auquel l'utilisateur ou le groupe appartient. Dans cet exemple, un utilisateur peut appartenir à un groupe au niveau du projet et à un groupe au niveau de la collection dans un projet. Si l'un de ces groupes a une autorisation définie explicitement sur Autoriser et que l'autre groupe dispose de la même autorisation Non défini, l'utilisateur aura l'autorisation Autoriser l'héritage pour exécuter les actions contrôlées par cette autorisation. L'utilisateur hérite des autorisations des deux groupes, et l'autorisation Autoriser est prioritaire sur l'autorisation Non défini.
Pour comprendre pourquoi une autorisation est héritée, vous pouvez pointer sur le paramètre de l'autorisation et choisir Pourquoi ?. Une nouvelle fenêtre s'ouvre. Elle affiche les informations d'héritage pour cette autorisation.
Certaines boîtes de dialogue Sécurité de niveau objet proposent une option Héritage activé/désactivé. Utilisez cette option afin de désactiver l'héritage pour des dossiers, des requêtes partagées et d'autres objets.
Choses à faire et à ne pas faire lors de l'assignation d'autorisations :
À faire :
Utilisez des groupes Windows pour la gestion de nombreux utilisateurs.
Envisagez d'accorder les autorisations Collaboration aux utilisateurs ou aux groupes qui ont besoin de pouvoir créer et partager des requêtes d'élément de travail pour le projet.
Lors de l'ajout de nombreuses équipes, envisagez de créer un groupe Administrateurs d'équipe dans TFS auquel vous allouez un sous-ensemble des autorisations disponibles pour le groupe Project Administrators.
Lors de l'ajout d'équipes, réfléchissez aux autorisations que vous voulez affecter aux responsables d'équipe, ScrumMasters et aux autres membres de l'équipe qui peuvent avoir besoin de créer et de modifier des chemins de zone, des chemins d'itération et des requêtes.
À ne pas faire :
N'ajoutez pas de comptes au groupe Readers que vous avez ajouté au groupe Project Administrators. Si vous le faites, l'état Refuser est affecté à plusieurs autorisations.
Ne modifiez pas les affectations par défaut d'un groupe d'utilisateurs autorisés. Si vous supprimez ou affectez à l'autorisation Afficher les informations au niveau de l'instance la valeur Refuser pour l'un des groupes d'utilisateurs valides, aucun utilisateur du groupe ne pourra accéder au projet d'équipe, à la collection ou au déploiement, selon le groupe défini.
N'affectez pas des autorisations notées comme « Affecter uniquement aux comptes de service » à des comptes d'utilisateur.
Autorisations au niveau du serveur
Les autorisations de niveau serveur accordent des autorisations qui peuvent affecter chaque projet et collection du déploiement. Vous pouvez définir les autorisations de niveau serveur à partir de la Console Administration Team Foundation ou à l'aide de l'outil en ligne de commande TFSSecurity.
Vous pouvez définir les autorisations pour les serveurs et groupes de niveau serveur, comme Team Foundation Administrators, et pour les groupes personnalisés de niveau serveur que vous ajoutez.
Nom de l'autorisation |
Action TFSSecurity |
Espace de noms TFSSecurity |
Description |
SharePoint Web Application Services |
Team Foundation Administrators |
Team Foundation Service Accounts |
---|---|---|---|---|---|---|
Administrer l'entrepôt (remarque 1) |
Administrer |
Entrepôt |
Peut traiter ou modifier des paramètres pour l'entrepôt de données ou le cube SQL Server Analysis à l'aide du service web de contrôle d'entrepôt. |
|||
Créer une collection de projets d'équipe |
CreateCollection |
CollectionManagement |
Peut créer et administrer des collections de projets d'équipe. |
|||
Supprimer une collection de projets d'équipe (Remarque 2) |
DeleteCollection |
CollectionManagement |
Peut supprimer une collection de projets d'équipes d'un déploiement. |
|||
Modifier les informations au niveau de l'instance (remarque 3) |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Serveur |
Peut modifier les autorisations de niveau serveur pour les utilisateurs ou groupes TFS, et ajouter ou supprimer des groupes de niveau serveur dans la collection. |
|||
Faire des demandes pour le compte de tiers |
Impersonate |
Serveur |
Peut réaliser des opérations au nom d'autres utilisateurs ou services. Affecter uniquement aux comptes de service. |
|||
Déclencher des événements |
TRIGGER_EVENT |
Serveur |
Peut déclencher des événements d'alerte TFS. Affecter uniquement aux comptes de service et aux membres du groupe Team Foundation Administrators. |
|||
Utiliser les fonctionnalités d'accès total Web Access (remarque 4) |
FullAccess |
Serveur |
Peut utiliser toutes les fonctionnalités TWA. |
|||
Afficher les informations au niveau de l'instance (remarque 5) |
GENERIC_READ |
Serveur |
Peut afficher les membres du groupe de niveau serveur et les autorisations de ces utilisateurs. |
Remarques :
Des autorisations supplémentaires peuvent être nécessaires pour traiter ou reconstruire entièrement l'entrepôt de données et le cube Analysis.
Le fait de supprimer une collection de projets d'équipe ne supprime pas la base de données de collections de SQL Server.
L'autorisation Modifier les informations au niveau de l'instance permet d'effectuer les taches suivantes pour tous les projets d'équipe définis dans toutes les collections de projets définies pour l'instance :
Ajouter et administrer des équipes et toutes les fonctionnalités liées aux équipes
Créer et modifier des zones et des itérations
Modifier les stratégies d'archivage
Modifier les requêtes d'éléments de travail partagées
Modifier les listes de contrôle d'accès d'autorisations au niveau du projet et au niveau de la collection
Créer et modifier des listes globales
Modifier des abonnements à des événements (messagerie électronique ou SOAP).
Lorsqu'elle est définie via les menus, l'autorisation Modifier les informations au niveau de l'instance permet également de manière implicite à l'utilisateur de modifier des autorisations de contrôle de version. Pour accorder toutes ces autorisations depuis une invite de commandes, vous devez utiliser la commande tf.exe Permission pour accorder les autorisations AdminConfiguration et AdminConnections en plus de GENERIC_WRITE.
Si l'autorisation Utiliser les fonctionnalités d'accès total Web Access a la valeur Refuser, l'utilisateur verra uniquement les fonctionnalités autorisées pour le groupe Limité (voir Modifier les niveaux d'accès). Une autorisation ayant la valeur Refuser substituera toute autorisation implicite, même pour les comptes qui sont membres de groupes d'administration, par exemple Team Foundation Administrators.
L'autorisation Afficher les informations au niveau de l'instance est également assignée au groupe Team Foundation Valid Users.
Autorisations au niveau de la collection
Les autorisations de niveau collection donnent accès aux tâches affectant une collection, que vous pouvez définir pour les utilisateurs et groupes suivants :
Les utilisateurs et les groupes au niveau de la collection tels que le groupe Project Collection Administrators
Groupes de niveau projet que vous ajoutez à une collection.
Groupes personnalisés que vous ajoutez à une collection.
Vous pouvez définir des autorisations de niveau collection à partir de la page d'administration de TWA ou de la Console Administration Team Foundation, ou encore à l'aide de l'outil en ligne de commande TFSSecurity ou de l'outil en ligne de commande tf. Toutes les autorisations se limitent à la collection spécifique pour laquelle elles sont définies.
Nom de l'autorisation |
Action TFSSecurity |
Espace de noms TFSSecurity |
Description |
Project Collection Service Accounts |
Project Collection Build Service Accounts |
Project Collection Build Administrators |
Administrateurs de collections de projets (Remarque 1) |
---|---|---|---|---|---|---|---|
Administrer les autorisations de ressources de builds |
AdministerBuildResourcePermissions |
BuildAdministration |
Peut modifier les autorisations pour les ressources de build. |
||||
Administrer l'intégration Project Server |
Administrer Project Server |
ProjectServerAdministration |
Peut configurer l'intégration de TFS et Project Server pour permettre la synchronisation de données entre les deux produits serveur. |
||||
Administrer les modifications réservées |
AdminShelvesets tf: AdminShelvesets |
VersionControlPrivileges |
Peut supprimer des jeux de réservations créés par d'autres utilisateurs. |
||||
Administrer les espaces de travail |
AdminWorkspaces tf: AdminWorkspaces |
VersionControlPrivileges |
Peut créer des espaces de travail pour les autres utilisateurs et supprimer les espaces de travail créés par d'autres utilisateurs. |
||||
Modifier les paramètres de suivi |
DIAGNOSTIC_TRACE |
Collection |
Peut modifier les paramètres de suivi afin de collecter des informations de diagnostic plus détaillées sur les services web TFS. |
||||
Créer un espace de travail (remarque 2) |
tf: CreateWorkspace |
VersionControlPrivileges |
Peut créer un espace de travail de contrôle de version. |
||||
Créer des projets (remarque 3) |
CREATE_PROJECTS |
Collection |
Peut créer des projets dans la collection de projets d'équipe. |
||||
Supprimer un projet d'équipe (remarque 4) |
Supprimer |
Project |
Peut supprimer des projets d'équipe. |
||||
Modifier les informations au niveau de la collection (remarque 5) |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Collection VersionControlPrivileges |
Peut ajouter des utilisateurs et des groupes, et modifier les autorisations de niveau collection pour les utilisateurs et les groupes. |
||||
Faire des demandes pour le compte de tiers |
Impersonate |
Serveur |
Peut réaliser des opérations au nom d'autres utilisateurs ou services. Affecter uniquement aux comptes de service. |
||||
Gérer les ressources de build |
ManageBuildResources |
BuildAdministration |
Peut gérer les ordinateurs, agents et contrôleurs de build. |
||||
Gérer le modèle de processus |
MANAGE_TEMPLATE |
Collection |
Peut télécharger, créer, modifier et transférer des modèles de processus. |
||||
Gérer les contrôleurs de test |
MANAGE_TEST_CONTROLLERS |
Collection |
Peut enregistrer et annuler l'enregistrement de contrôleurs de test. |
||||
Déclencher des événements (remarque 6) |
TRIGGER_EVENT |
Collection |
Peut déclencher des événements d'alerte de projet dans la collection. Affecter uniquement aux comptes de service. |
||||
Utiliser les ressources de build |
UseBuildResources |
BuildAdministration |
Peut réserver et allouer des agents de build. Affecter uniquement aux comptes de service pour les services de build. |
||||
Afficher les ressources de build |
ViewBuildResources |
BuildAdministration |
Peut consulter mais ne pas utiliser, les contrôleurs de build et agents de build configurés pour la collection. |
||||
Afficher les informations au niveau de la collection |
GENERIC_READ |
Collection |
Peut afficher les membres du groupe de niveau collection et les autorisations. |
||||
Afficher les informations de synchronisation système |
SYNCHRONIZE_READ |
Collection |
Peut appeler les interfaces de programmation d'applications de synchronisation. Affecter uniquement aux comptes de service. |
Remarques :
Par ailleurs, les autorisations par défaut suivantes sont affectées aux groupes TFS :
Groupe Utilisateurs autorisés de la collection de projets : Créer un espace de travail, Afficher les ressources de build et Afficher les informations au niveau de la collection.
Comptes de service proxy de la collection de projets : Créer un espace de travail, Afficher les ressources de build et Afficher les informations au niveau de la collection.
Comptes de service test de la collection de projets : Créer un espace de travail, Gérer les contrôleurs de test, Afficher les ressources de build et Afficher les informations au niveau de la collection.
L'autorisation Créer un espace de travail est accordée à tous les utilisateurs qui sont membres du groupe Utilisateurs autorisés de la collection de projets.
Des autorisations supplémentaires peuvent être requises en fonction de votre déploiement. Par ailleurs, vous devez exécuter Visual Studio ou Team Explorer en tant qu'administrateur pour réaliser l'Assistant Nouveau projet d'équipe.
La suppression d'un projet d'équipe supprimera toutes les données associées au projet. Vous ne pouvez pas annuler la suppression d'un projet d'équipe sauf en restaurant la collection à un point avant la suppression du projet.
L'autorisation Modifier les informations au niveau de la collection permet d'effectuer les taches suivantes pour tous les projets d'équipe définis dans une collection :
Ajouter et administrer des équipes et toutes les fonctionnalités liées aux équipes
Créer et modifier des zones et des itérations
Modifier les stratégies d'archivage
Modifier les requêtes d'éléments de travail partagées
Modifier les listes de contrôle d'accès d'autorisations au niveau du projet et au niveau de la collection
Créer et modifier des listes globales
Modifier des abonnements à des événements (messagerie électronique ou SOAP) sur des événements au niveau du projet ou de la collection.
Lorsque vous définissez Modifier les informations au niveau de la collection sur Autoriser par le biais de TWA, les utilisateurs peuvent ajouter ou supprimer des groupes TFS de niveau collection et ces utilisateurs sont implicitement autorisés à modifier les autorisations de contrôle de version. Pour accorder toutes ces autorisations depuis une invite de commandes, vous devez utiliser la commande tf.exe Permission pour accorder les autorisations AdminConfiguration et AdminConnections en plus de GENERIC_WRITE.
Les utilisateurs disposant de cette autorisation ne peuvent pas supprimer les groupes de niveau collection intégrés comme Administrateurs de la collection de projets.
L'ajout de cette autorisation à d'autres utilisateurs peut susciter d'éventuelles attaques par déni de service.
Autorisations de niveau projet, test et objet
Les autorisations au niveau du projet sont spécifiques aux utilisateurs et aux groupes d'un projet unique. Au sein d'un projet, vous pouvez définir des autorisations sur les objets créés pour ce projet, comme les zones, les itérations, les dossiers de contrôle du code source, les requêtes et les dossiers de requêtes, et les définitions de build. Vous pouvez définir des autorisations de niveau projet et objet pour les utilisateurs et les groupes que vous ajoutez à un projet d'équipe ou une collection.
De nombreuses autorisations par défaut sont affectées aux groupes de niveau collection et de niveau projet intégrés suivants :
Groupes de niveau projet : Builders, Contributors, Project Administrators et Readers
Groupes de niveau collection : Administrateurs de la collection de projets, Comptes de service de build de la collection de projets, Comptes de service proxy de la collection de projets et Comptes de service test de la collection de projets
Autorisations de niveau projet et test
Vous pouvez définir des autorisations au niveau du projet à partir de la page d'administration TWA du projet ou à l'aide de l'outil en ligne de commande TFSSecurity. Toutes les autorisations de niveau projet autorisent les utilisateurs pour le projet d'équipe spécifique pour lequel elles sont définies.
Nom de l'autorisation |
Action TFSSecurity |
Espace de noms TFSSecurity |
Description |
Administrateurs de build, Collaborateurs et Équipes |
Project Administrators (remarque 1) |
---|---|---|---|---|---|
Créer une définition de balise |
Créer |
Étiquetage |
Peut ajouter des balises via un formulaire d'élément de travail. |
||
Créer des séries de tests |
PUBLISH_TEST_RESULTS |
Project |
Peut ajouter et supprimer des résultats de test et ajouter ou modifier des séries de tests. |
||
Supprimer le projet d'équipe |
SUPPR |
Project |
Peut supprimer le projet d'équipe de TFS. |
||
Supprimer des séries de tests |
DELETE_TEST_RESULTS |
Project |
Peut supprimer un test planifié. |
||
Modifier les informations au niveau du projet (remarque 2) |
GENERIC_WRITE |
Project |
Peut modifier les autorisations de niveau projet pour les utilisateurs et les groupes. |
||
Gérer des configurations de test |
MANAGE_TEST_CONFIGURATIONS |
Project |
Peut créer et supprimer des configurations de test. |
||
Gérer les environnements de test |
MANAGE_TEST_ENVIRONMENTS |
Project |
Les utilisateurs disposant de cette autorisation peuvent créer et supprimer des environnements de test. |
||
Afficher les informations au niveau du projet |
GENERIC_READ |
Project |
Peut afficher les membres du groupe de niveau projet et les autorisations. |
||
Afficher les séries de tests |
VIEW_TEST_RESULTS |
Project |
Peut afficher les plans de test dans le chemin de zone du projet d'équipe. |
Remarques :
Par ailleurs, les autorisations par défaut suivantes sont affectées aux groupes TFS :
Readers : Créer la définition de balise, Afficher les informations au niveau du projet et Afficher des séries de tests.
Administrateurs de la collection de projets : mêmes autorisations que Project Administrators, sauf pour Supprimer des séries de tests.
Administrateurs de build de la collection de projets : mêmes autorisations que Project Administrators, sauf pour Supprimer des séries de tests.
Comptes de service de build de la collection de projets : Créer des séries de tests, Gérer les configurations de test, Gérer les environnements de test, Afficher les informations au niveau du projet, Afficher des séries de tests.
Comptes de service de test de la collection de projets : Créer des séries de tests, Gérer les configurations de test, Gérer les environnements de test, Afficher les informations au niveau du projet.
L'autorisation Modifier les informations au niveau du projet permet d'effectuer les taches suivantes pour le projet d'équipe :
Ajouter et administrer des équipes et toutes les fonctionnalités liées aux équipes
Créer et modifier des zones et des itérations
Modifier les stratégies d'archivage
Modifier les requêtes d'éléments de travail partagées
Modifier les listes de contrôle d'accès de niveau projet
Créer et modifier des listes globales
Modifier des abonnements à des événements (messagerie électronique ou SOAP) sur des événements au niveau du projet.
Autorisations au niveau de la build
Vous pouvez définir des autorisations au niveau de la build pour toutes les build ou pour une définition de build à partir du menu contextuel de la définition de build dans TWA ou Team Explorer, ou à l'aide de l'outil en ligne de commande TFSSecurity.
Nom de l'autorisation (IU) |
Action TFSSecurity |
Espace de noms TFSSecurity |
Description |
Contributors |
Auteurs ou générateurs de la définition de build |
Administrateurs de build |
Project Administrators (remarque 1) |
---|---|---|---|---|---|---|---|
Administrer les autorisations de builds |
AdministerBuildPermissions |
Build |
Peut administrer les autorisations de build pour les autres utilisateurs. |
||||
Supprimer la définition de build |
DeleteBuildDefinition |
Build |
Peut supprimer des définitions de build pour ce projet. |
||||
Supprimer les builds |
DeleteBuilds |
Build |
Peut supprimer une build terminée. |
||||
Détruire les builds |
DestroyBuilds |
Build |
Peut supprimer de manière définitive une build terminée. |
||||
Modifier la définition de build (Remarque 2) |
EditBuildDefinition |
Build |
Peut créer ou modifier des définitions de build pour ce projet. |
||||
Modifier la qualité de build |
EditBuildQuality |
Build |
Peut ajouter des informations sur la qualité de la build via Team Explorer ou Team Web Access. |
||||
Gérer les qualités de build |
ManageBuildQualities |
Build |
Peut ajouter ou supprimer des qualités de build. |
||||
Gérer la file d'attente de builds |
ManageBuildQueue |
Build |
Peut annuler, redéfinir la priorité ou retarder des builds en file d'attente. |
||||
Remplacer la validation de l'archivage par build (remarque 3) |
OverrideBuildCheckInValidation |
Build |
Peut valider un ensemble de modifications qui affecte une définition de build contrôlée sans que cela déclenche par le système la réservation et la génération en premier lieu des modifications le concernant. |
||||
Mettre les builds en file d'attente |
QueueBuilds |
Build |
Peut mettre une build en file d'attente via l'interface de Team Foundation Build ou à une invite de commandes. Ils peuvent également arrêter les builds qu'ils ont mises en file d'attente. |
||||
Conserver indéfiniment |
RetainIndefinitely |
Build |
Peut marquer une build de sorte qu'elle ne soit pas supprimée automatiquement par toute stratégie de rétention applicable. |
||||
Arrêter les builds |
StopBuilds |
Build |
Peut arrêter une build en cours, y compris les builds mises en file d'attente et démarrées par un autre utilisateur. |
||||
Mettre à jour les informations de build |
UpdateBuildInformation |
Build |
Peut ajouter des nœuds d'informations de build au système et ajouter des informations sur la qualité d'une build. Affecter uniquement aux comptes de service. |
||||
Afficher la définition de build |
ViewBuildDefinition |
Build |
Peut afficher les définitions de build qui ont été créées pour le projet d'équipe. |
||||
Afficher les builds |
ViewBuilds |
Build |
Peut afficher les builds mises en file d'attente et terminées pour ce projet d'équipe. |
Remarques :
De plus, les assignations par défaut suivantes sont effectuées pour ces groupes intégrés :
Readers : Afficher la définition de build et Afficher les builds.
Administrateurs de la collection de projets : toutes les autorisations à l'exception de Mettre à jour les informations de build.
Administrateurs de build de la collection de projets : toutes les autorisations à l'exception de Remplacer la validation de l'archivage par build et Mettre à jour les informations de build.
Comptes de service de build de la collection de projets : Modifier la qualité de build, Gérer la file d'attente de builds, Mettre à jour les informations de build, Remplacer la validation de l'archivage par build, Mettre les builds en file d'attente, Afficher les définitions de build et Afficher les builds.
Comptes de service de test de la collection de projets : Mettre à jour les informations de build, Afficher les définitions de build et Afficher les builds.
Vous désactivez l'héritage pour une définition de build quand vous souhaitez contrôler les autorisations pour des définitions de builds spécifiques.
Quand l'héritage est activé, la définition de build respecte les autorisations de builds définies au niveau du projet pour un groupe ou un utilisateur. Par exemple, pour un groupe Responsables de builds personnalisé, les autorisations sont définies de façon à mettre manuellement en file d'attente une build pour le projet Fabrikam. Toute définition de build avec l'héritage activé pour le projet Fabrikam autoriserait un membre du groupe Responsable de builds à mettre manuellement en file d'attente une build.
Toutefois, en désactivant l'héritage pour le projet, vous pouvez définir des autorisations qui autorisent uniquement les Administrateurs de projet à mettre manuellement en file d'attente une build pour une définition de build spécifique. Vous pourriez alors définir des autorisations spécifiquement pour cette définition de build.
Affectez l'autorisation Remplacer la validation de l'archivage par build uniquement aux comptes de service pour les services de build et aux administrateurs de build chargés de la qualité du code. Pour plus d'informations, consultez Archiver des modifications en attente contrôlées par une build d'archivage contrôlé.
Autorisations de requêtes d'élément de travail
Vous pouvez définir les autorisations de requêtes d'élément de travail à partir du menu contextuel de Requêtes partagées dans TWA ou Team Explorer ou à l'aide de l'outil en ligne de commande TFSSecurity. Toutes les autorisations se limitent à la requête ou au dossier de requête spécifique pour lequel elles sont définies.
Envisagez d'accorder les autorisations Collaboration aux utilisateurs ou aux groupes qui ont besoin de pouvoir créer et partager des requêtes d'élément de travail pour le projet. Pour créer des graphiques de requêtes vous avez besoin d'un accès Avancé.
Nom de l'autorisation |
Action TFSSecurity |
Espace de noms TFSSecurity |
Description |
Readers, Contributors, Administrateurs de build |
Créateur, Propriétaires, Project Administrators, Administrateurs de la collection de projets |
---|---|---|---|---|---|
Collaboration |
COLLABORATION |
WorkItemQueryFolders |
Peut afficher et modifier cette requête ou ce dossier de requête. |
||
Supprimer |
SUPPR |
WorkItemQueryFolders |
Peut supprimer une requête ou un dossier de requête et son contenu. |
||
Gérer les autorisations |
Gérer les autorisations |
Peut gérer les autorisations pour cette requête ou ce dossier de requête. |
|||
Lecture |
READ |
WorkItemQueryFolders |
Peut afficher et utiliser la ou les requêtes contenues dans un dossier, mais ne peut pas modifier la requête ou le contenu du dossier de requête. |
||
FullControl |
WorkItemQueryFolders |
Peut afficher, modifier, supprimer et gérer les autorisations pour une requête ou un dossier de requête et son contenu. |
Balisage des autorisations
Les balises permettent de rapidement regrouper ou classer les éléments de travail. Les autorisations de balisage sont disponibles dans les déploiements locaux de TFS avec TFS 2013.2 ou version ultérieure installé. Vous pouvez définir l'autorisation Créer la définition de balise à partir de la page de sécurité d'administration de TWA. Pour définir toutes les autorisations restantes, utilisez l'outil en ligne de commande TFSSecurity.
Nom de l'autorisation |
Action TFSSecurity |
Espace de noms TFSSecurity |
Description |
Readers |
Contributors |
Project Administrators (remarque 1) |
---|---|---|---|---|---|---|
Créer la définition de balise (remarque 2) |
CREATE |
Étiquetage |
Peut créer des balises et les appliquer aux éléments de travail. Les utilisateurs qui n'ont pas cette autorisation peuvent uniquement choisir dans le jeu existant de balises pour le projet de l'équipe. |
|||
Supprimer la définition de balise (remarques 3 et 4) |
SUPPR |
Étiquetage |
Peut supprimer une balise de la liste des balises disponibles pour ce projet. |
|||
Énumérer les définitions de balises (Remarques 4 et 5) |
ENUMERATE |
Étiquetage |
Peut afficher la liste des balises disponibles pour l'élément de travail dans le projet d'équipe. Les utilisateurs qui n'ont pas cette autorisation n'ont pas de liste de balises disponibles à partir de laquelle choisir le formulaire d'élément de travail ou l'éditeur de requête. |
|||
Mettre à jour la définition de balise (remarque 4) |
UPDATE |
Étiquetage |
Peut renommer une balise à l'aide de l'API REST. |
Remarques :
De plus, toutes les autorisations de balisage sont assignées de manière explicite au groupe Comptes de service de la collection de projets.
Les Lecteurs et Collaborateurs héritent de l'autorisation Créer la définition de balise, car elle est définie de manière explicite sur Autoriser pour le groupe Utilisateurs valides du projet.
Bien que l'autorisation Créer une définition de balise s'affiche dans les paramètres de sécurité au niveau du projet d'équipe, les autorisations de balises sont en fait des autorisations au niveau de la collection qui sont étendues au projet lorsqu'elles apparaissent dans l'interface utilisateur. Pour limiter les autorisations de balisage à un seul projet d'équipe à l'aide de la commande TFSSecurity, vous devez fournir le GUID du projet dans la syntaxe de la commande. Sinon, la modification s'applique à la collection de projets d'équipe entière. Gardez cela à l'esprit lors de la modification ou de la définition de ces autorisations.
Aucune interface utilisateur n'est prise en charge pour la suppression d'une balise. Pour supprimer une balise, supprimez les affectations associées à cette balise. TFS supprime automatiquement les balises non affectées après 3 jours de non-utilisation.
N'apparaît pas dans l'interface utilisateur ; peut uniquement être définie à l'aide de la commande TFSSecurity.
L'autorisation Afficher les informations au niveau du projet définie sur Autoriser pour les Lecteurs et les Collaborateurs autorise de manière implicite les utilisateurs de ces groupes à afficher les balises existantes (autorisation Énumérer les définitions de balises).
Autorisations au niveau de la zone pour le suivi des éléments de travail
Les autorisations de niveau zone accordent ou refusent l'accès aux éléments de travail définis pour un projet en fonction de leur emplacement dans leur arborescence de zone.
Vous pouvez définir les autorisations de niveau zone à partir de la page d'administration de TWA relative aux zones ou à l'aide de l'outil en ligne de commande TFSSecurity. Toutes les autorisations se limitent au chemin de zone spécifique pour lequel elles sont définies.
Nom de l'autorisation |
Action TFSSecurity |
Espace de noms TFSSecurity |
Description |
Contributors |
Administrateurs de build |
Comptes de service de build de la collection de projets (Remarque 1) |
---|---|---|---|---|---|---|
Créer des nœuds enfants (remarque 2) |
CREATE_CHILDREN |
CSS |
Peut créer de nœuds de zone. Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud peuvent déplacer ou réorganiser des nœuds de zone enfants. |
|||
Supprimer ce nœud (remarque 2) |
SUPPR |
CSS |
Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud pour un autre nœud peuvent supprimer des nœuds de zone et reclasser des éléments de travail existants à partir du nœud supprimé. Si le nœud supprimé a des nœuds enfants, ces nœuds sont également supprimés. |
|||
Modifier ce nœud (remarque 2) |
GENERIC_WRITE |
CSS |
Peut définir les autorisations pour ce nœud et renommer les nœuds de zone. |
|||
Modifier les éléments de travail dans ce nœud (remarque 3) |
WORK_ITEM_WRITE |
CSS |
Peut modifier les éléments de travail dans ce nœud de zone. |
|||
Gérer les plans de test (remarque 4) |
MANAGE_TEST_PLANS |
CSS |
Peut modifier les propriétés de plan de test comme les paramètres de build et de test. |
|||
Gérer les suites de tests (remarque 4) |
MANAGE_TEST_SUITES |
CSS |
Peut créer et supprimer des suites de tests, ajouter et supprimer des cas de test dans des suites de tests, modifier les configurations de test associées à des suites de tests et modifier la hiérarchie des suites (déplacer une suite de tests). |
|||
Afficher les autorisations pour ce nœud |
GENERIC_READ |
CSS |
Peut afficher les paramètres de sécurité de ce nœud. |
|||
Afficher les éléments de travail dans ce nœud (remarque 5) |
WORK_ITEM_READ |
CSS |
Peut afficher, mais pas modifier, les éléments de travail dans ce nœud de zone. |
Remarques :
De plus, les assignations par défaut suivantes sont effectuées pour ces groupes intégrés :
Readers : autorisations Afficher pour ce nœud et autorisations Affichage uniquement.
Comptes de service test de la collection de projets : autorisations Affichage uniquement.
Administrateurs Team Foundation, Administrateurs de collections de projets et Administrateurs de projet : toutes les autorisations CSS. Tout utilisateur ou groupe qui dispose de l'autorisation Modifier les informations au niveau de l'instance, Modifier les informations au niveau de la collection ou Modifier les informations au niveau du projet peut créer et gérer des nœuds de zone.
Les membres des groupes Utilisateurs autorisés de la collection de projets et Utilisateurs valides du projet ou tout utilisateur ou groupe disposant de l'autorisation Afficher les informations au niveau de la collection ou Afficher les informations au niveau du projet peut afficher les autorisations de n'importe quel nœud de zone.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement pour lequel vous pourriez avoir besoin de supprimer, d'ajouter ou de renommer des nœuds de zone.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement pour lequel vous pourriez avoir besoin de modifier des éléments de travail sous ce nœud de zone.
L'autorisation Gérer les suites de tests a été ajoutée avec la mise à jour TFS 2013.3. Envisagez d'ajouter ces autorisations à tout utilisateur ou groupe ajouté manuellement pour lequel vous pourriez avoir besoin de gérer les plans de test ou les suites de tests sous ce nœud de zone.
Si dans ce nœud, vous définissez l'autorisation Afficher les éléments de travail sur Refuser, l'utilisateur ne sera pas en mesure d'afficher les éléments de travail dans ce nœud de zone. Une autorisation ayant la valeur Refuser substituera toute autorisation implicite, même pour les comptes qui sont membres de groupes d'administration, par exemple Team Foundation Administrators.
Autorisations au niveau de l'itération pour le suivi des éléments de travail
Les autorisations de niveau itération accordent ou refusent l'accès pour la création et la gestion des chemins d'itération.
Vous pouvez définir les autorisations de niveau itération pour les utilisateurs et les groupes que vous ajoutez au projet d'équipe ou à la collection à l'aide de la page d'administration de TWA pour les itérations ou de l'outil en ligne de commande TFSSecurity. Toutes les autorisations se limitent au chemin d'itération spécifique pour lequel elles sont définies.
Certaines opérations de suivi des éléments de travail requièrent plusieurs autorisations. Par exemple, vous avez besoin de plusieurs autorisations pour supprimer un nœud.
Envisagez d'accorder aux administrateurs d'équipe, ScrumMasters ou responsables d'équipe les autorisations de créer, modifier ou supprimer des nœuds.
Nom de l'autorisation |
Action TFSSecurity |
Espace de noms TFSSecurity |
Description |
Project Administrators (remarque 1) |
---|---|---|---|---|
Créer des nœuds enfants (remarque 2) |
CREATE_CHILDREN |
Itération |
Peut créer de nœuds d'itération. Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud peuvent déplacer ou réorganiser des nœuds d'itération enfants. |
|
Supprimer ce nœud (remarque 2) |
SUPPR |
Itération |
Les utilisateurs qui ont cette autorisation et l'autorisation Modifier ce nœud pour un autre nœud peuvent supprimer des nœuds d'itération et reclasser des éléments de travail existants à partir du nœud supprimé. Si le nœud supprimé a des nœuds enfants, ces nœuds sont également supprimés. |
|
Modifier ce nœud (remarque 2) |
GENERIC_WRITE |
Itération |
Peut définir les autorisations pour ce nœud et renommer les nœuds d'itération. |
|
Afficher les autorisations pour ce nœud (Remarque 3) |
GENERIC_READ |
Itération |
Peut afficher les paramètres de sécurité de ce nœud. |
Remarques :
toutes les autorisations d'itération sont accordées aux Administrateurs Team Foundation et aux Administrateurs de collections de projets. Tout utilisateur ou groupe qui dispose de l'autorisation Modifier les informations au niveau de l'instance, Modifier les informations au niveau de la collection ou Modifier les informations au niveau du projet peut créer et gérer des nœuds d'itération.
Vous pouvez ajouter cette autorisation à un utilisateur ou à un groupe ajouté manuellement susceptible de devoir supprimer, ajouter ou renommer des nœuds d'itération.
Les membres des groupes Utilisateurs autorisés de la collection de projets et Utilisateurs valides du projet ou tout utilisateur ou groupe disposant de l'autorisation Afficher les informations au niveau de la collection ou Afficher les informations au niveau du projet peut afficher les autorisations de n'importe quel nœud d'itération.
Autorisations de contrôle de version Team Foundation (TFVC)
Vous pouvez définir des autorisations sur des dossiers et fichiers de code source TFVC à partir du menu contextuel de la définition de dossier ou de fichier dans TWA ou Team Explorer, ou à l'aide de l'outil en ligne de commande tf permission. Ces autorisations apparaissent uniquement pour un projet d'équipe configuré pour utiliser TFVC comme système de contrôle du code source.
Dans les autorisations de contrôle de version, un refus explicite est prioritaire sur les autorisations du groupe d'administrateurs.
Nom de l'autorisation |
Action TFSSecurity et tf perm |
Espace de noms TFSSecurity |
Description |
Contributors |
Administrateurs de build |
Project Collection Build Service Accounts |
Project Administrators (remarque 1) |
---|---|---|---|---|---|---|---|
Administrer les étiquettes |
tf: LabelOther |
VersionControlItems |
Peut modifier ou supprimer des étiquettes créées par un autre utilisateur. |
||||
Archiver (voir remarque 2) |
tf: Checkin |
VersionControlItems |
Peut archiver des éléments et réviser tout commentaire sur un ensemble de modifications validé. Les modifications en attente sont validées lors de l'archivage. |
||||
Archiver les modifications des autres utilisateurs |
tf: CheckinOther |
VersionControlItems |
Peut archiver les modifications qui ont été apportées par d'autres utilisateurs. Les modifications en attente sont validées lors de l'archivage. |
||||
Extraire (voir remarque 2) |
tf: PendChange |
VersionControlItems |
Peut extraire ou appliquer une modification en attente aux éléments d'un dossier. Les exemples de modification en attente incluent l'ajout, la modification, le changement de nom, la suppression, la restauration, le branchement et la fusion d'un fichier. Les modifications en attente doivent être archivées, les utilisateurs ont donc également besoin de l'autorisation Archiver pour partager leurs modifications avec l'équipe. |
||||
Étiquette |
tf: Label |
VersionControlItems |
Peut appliquer une étiquette aux éléments. |
||||
Verrouiller |
tf: Lock |
VersionControlItems |
Peut verrouiller et déverrouiller des dossiers et des fichiers. |
||||
Gérer la branche |
tf: ManageBranch |
VersionControlItems |
Peut convertir en branche tout dossier sous ce chemin et effectuer les actions suivantes sur la branche : modifier ses propriétés, lui affecter un nouveau parent et la convertir en dossier. Les utilisateurs qui ont cette autorisation peuvent ramifier cette branche seulement s'ils possèdent également l'autorisation Fusionner pour le chemin cible. Les utilisateurs ne peuvent pas créer de branches à partir d'une branche pour laquelle ils n'ont pas l'autorisation Gérer la branche. |
||||
Gérer les autorisations (remarque 3) |
tf: AdminProjectRights |
VersionControlItems |
Peut gérer les autorisations d'autres utilisateurs pour les dossiers et les fichiers dans le contrôle de version. |
||||
Fusionner (remarque 4) |
tf: Merge |
VersionControlItems |
Peut fusionner les modifications dans ce chemin. |
||||
Lecture |
tf: Read |
VersionControlItems |
Pour lire le contenu d'un fichier ou d'un dossier. Si un utilisateur possède les autorisations Lire pour un dossier, il peut consulter le contenu du dossier et les propriétés des fichiers, même s'il n'a pas d'autorisation pour ouvrir les fichiers. |
||||
Réviser les modifications des autres utilisateurs (remarque 5) |
tf: ReviseOther |
VersionControlItems |
Peut modifier les commentaires sur les fichiers archivés, même si un autre utilisateur a archivé le fichier. |
||||
Annuler les modifications des autres utilisateurs Fusionner (remarque 5) |
tf: UndoOther |
VersionControlItems |
Peut annuler une modification en attente apportée par un autre utilisateur. |
||||
Déverrouiller les modifications des autres utilisateurs (remarque 5) |
tf: UnlockOther |
VersionControlItems |
Peut déverrouiller les fichiers verrouillés par d'autres utilisateurs. |
Remarques :
Par ailleurs, toutes les autorisations sont définies sur Autoriser l'héritage pour les groupes Administrateurs de la collection de projets et Comptes de service de la collection de projets.
Le groupe Readers dispose d'autorisations limitées à l'affichage : Lire.
Envisagez d'ajouter ces autorisations à tout utilisateur ou groupe ajouté manuellement qui collabore au développement du projet, de même qu'à tout utilisateur qui doit être en mesure d'archiver et d'extraire des modifications, d'apporter des modifications en attente aux éléments d'un dossier ou de réviser tout commentaire sur un ensemble de modifications validé.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement qui collabore au développement du projet et qui doit être en mesure de créer des branches privées, sauf si le projet est soumis à des pratiques de développement plus restrictives.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement qui collabore au développement du projet et qui doit être en mesure de fusionner des fichiers source, sauf si le projet est soumis à des pratiques de développement plus restrictives.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement chargé de la gestion ou de la surveillance du projet et qui devra modifier les commentaires sur les fichiers archivés, même si un autre utilisateur a archivé le fichier.
Autorisations de référentiel Git
Vous pouvez définir des autorisations sur un projet, un référentiel ou une branche Git à partir du menu contextuel ou de la page d'administration dans TWA, ou bien à l'aide de l'outil en ligne de commande TFSSecurity. Ces autorisations apparaissent uniquement pour un projet d'équipe configuré pour utiliser Git comme système de contrôle du code source.
Vous pouvez définir toutes les autorisations pour un projet ou référentiel. Vous pouvez définir les autorisations Administrer, Collaboration et Réécrire et détruire l'historique (opération push forcée) pour une branche. Les référentiels et les branches héritent les autorisations des affectations effectuées au niveau du projet.
Par défaut, les groupes Lecteurs au niveau du projet et au niveau de la collection ne disposent que d'autorisations de lecture.
Nom de l'autorisation |
Action TFSSecurity |
Espace de noms TFSSecurity |
Description |
Contributors |
Administrateurs de build |
Project Administrators (remarque 1) |
---|---|---|---|---|---|---|
Administrer (remarque 2) |
Administrer |
GitRepositories |
Peut renommer le référentiel, ajouter des référentiels supplémentaires, vérifier la base de données et définir des autorisations pour la branche. Les utilisateurs qui ont cette autorisation peuvent supprimer le référentiel, à condition d'avoir également l'autorisation Forcer. Au niveau de la branche, peut définir des autorisations pour la branche et supprimer la branche. |
|||
Création de branche |
CreateBranch |
GitRepositories |
Peut publier des branches dans le référentiel. L'absence de cette autorisation n'empêche pas les utilisateurs de créer des branches dans leur référentiel local ; elle les empêche simplement de publier les branches locales sur le serveur. Lorsqu'un utilisateur crée une branche sur le serveur, il dispose par défaut des autorisations Administrer, Collaboration et Forcer pour cette branche. |
|||
Collaboration |
GenericContribute |
GitRepositories |
Peut effectuer une transmission de type push des modifications au référentiel. Au niveau de la branche, peut effectuer une transmission de type push des modifications à la branche. |
|||
Gestion des notes |
ManageNote |
GitRepositories |
Peut effectuer une transmission de type push et modifier les remarques Git dans le référentiel. Peut également supprimer les remarques des éléments si l'utilisateur dispose également de l'autorisation Forcer. Pour plus d'informations sur les remarques, consultez http://git-scm.com/2010/08/25/notes.html. |
|||
Lecture |
GenericRead |
GitRepositories |
Peut cloner, récupérer, extraire et explorer le contenu du référentiel, mais ne peut émettre aucune modification effectuée sur le référentiel. |
|||
Réécrire et détruire l'historique (opération push forcée) |
ForcePush |
GitRepositories |
Peut forcer une mise à jour, laquelle peut écraser ou ignorer les validations de n'importe quel utilisateur. La suppression de validations modifie l'historique. Sans cette autorisation, les utilisateurs ne peuvent pas ignorer leurs propres modifications. L'autorisation Réécrire et détruire l'historique est également requise pour supprimer une branche. Étant donné que l'autorisation Réécrire et détruire l'historique permet aux utilisateurs de modifier l'historique ou de supprimer une validation de l'historique, les utilisateurs qui ont cette autorisation peuvent supprimer une modification et son historique du serveur. Ils peuvent également modifier l'historique de validation du référentiel du serveur. Au niveau de la branche, peut réécrire et détruire l'historique de la branche. |
|||
Création de balise |
CreateTag |
GitRepositories |
Peut émettre des balises sur le référentiel et modifier ou supprimer les balises des éléments si l'utilisateur dispose également de l'autorisation Forcer. |
Remarques :
Pour les Administrateurs de la collection de projets et les Comptes de service de la collection de projets, toutes les autorisations sont définies sur Autoriser l'héritage.
Les groupes Readers et Comptes de service de build de la collection de projets disposent d'autorisations limitées à l'affichage : Lire.
Envisagez d'ajouter toutes les autorisations à tout utilisateur ou groupe ajouté manuellement qui collabore au développement du projet.
Autorisations Lab Management
Les autorisations Visual Studio Lab Management sont spécifiques aux ordinateurs virtuels, aux environnements et aux autres ressources. Toutes les autorisations sur cet objet sont aussi accordées automatiquement au créateur d'un objet dans Lab Management. Vous pouvez définir ces autorisations à l'aide de l'outil en ligne de commande TFSLabConfig.
Par défaut, les groupes Lecteurs au niveau du projet et au niveau de la collection ne disposent que d'autorisations Affichage des ressources de laboratoire (Lecture).
Nom de l'autorisation |
TFSLabConfig perm |
Description |
Contributors (remarque 1) |
Project Administrators |
Compte de service de build de la collection de projets |
Team Foundation Administrators, Project Collection Administrators |
---|---|---|---|---|---|---|
Supprimer l'environnement et les ordinateurs virtuels |
Supprimer |
Peut supprimer des environnements et des modèles. L'autorisation est activée pour l'objet en cours de suppression. |
||||
Supprimer des emplacements de laboratoire |
DeleteLocation |
Peut supprimer les emplacements des ressources Lab Management qui incluent des groupes hôtes de collection, des partages de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet. Pour supprimer un emplacement, vous devez avoir l'autorisation Supprimer un emplacement de laboratoire pour cet emplacement. |
||||
Modifier l'environnement et les ordinateurs virtuels |
Modifier |
Peut modifier des environnements et des modèles. L'autorisation est activée pour l'objet en cours de modification. |
||||
Opérations d'environnement |
EnvironmentOps |
Peut démarrer, arrêter, suspendre et gérer des instantanés, ainsi que réaliser d'autres opérations sur un environnement. |
||||
Importer l'ordinateur virtuel |
Créer |
Peut importer un ordinateur virtuel à partir d'un partage de bibliothèque VMM. Cette autorisation diffère de l'autorisation Écrire car elle crée seulement un objet dans Lab Management et n'écrit aucune donnée dans le partage de bibliothèque ou le groupe hôte Virtual Machine Manager. |
||||
Gérer les autorisations enfants |
ManageChildPermissions |
Peut modifier les autorisations de tous les objets Lab Management enfants. Par exemple, si un utilisateur a l'autorisation Gérer des autorisations enfants pour un groupe hôte de projet d'équipe, l'utilisateur peut modifier les autorisations pour tous les environnements sous ce groupe hôte de projet d'équipe. |
||||
Gérer des emplacements de laboratoire |
ManageLocation |
Peut modifier les emplacements des ressources Lab Management qui incluent des groupes hôtes de collection, des partages de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet. Pour modifier un emplacement spécifique, vous devez avoir l'autorisation Gérer un emplacement de laboratoire pour cet emplacement. Cette autorisation pour les emplacements au niveau de la collection (groupes hôtes de collection et partages de bibliothèque de collection) vous permet également de créer des emplacements au niveau du projet (groupe hôte de projet et partage de bibliothèque de projet). |
||||
Gérer les autorisations |
ManagePermissions |
Peut modifier les autorisations d'un objet Lab Management. Cette autorisation est activée pour l'objet dont les autorisations sont modifiées. |
||||
Gérer les instantanés |
ManageSnapshots |
Peut effectuer toutes les tâches de gestion des instantanées pour un environnement, qui incluent la prise d'un instantané, la restauration d'un instantané, le changement de son nom, sa suppression et sa lecture. |
||||
Suspendre un environnement |
Suspendre |
Peut suspendre un environnement. |
||||
Démarrer |
Démarrer |
Peut démarrer un environnement. |
||||
Arrêter |
Arrêter |
Peut arrêter un environnement. |
||||
Consulter des ressources de laboratoire |
Lecture |
Peut afficher les informations pour les différentes ressources Lab Management qui incluent des groupes hôtes de collection, des groupes hôtes de projet et l'environnement. Pour consulter les informations sur une ressource de laboratoire spécifique, vous devez avoir l'autorisation Consulter des ressources de laboratoire pour cette ressource. |
||||
Écrire dans l'environnement et les ordinateurs virtuels |
Écrire |
Peut créer des environnements pour un groupe hôte de projet. Les utilisateurs qui ont cette autorisation pour un partage de bibliothèque de projet peuvent stocker des environnements et des modèles. |
Remarques :
- Le groupe Readers dispose d'autorisations limitées à l'affichage : Lire.
Autorisations Release Management
Dans Release Management, vous pouvez affecter des autorisations en fonction du rôle affecté à un utilisateur, des autorisations fonctionnelles explicites affectées à des groupes ou des autorisations attribuées à des instances spécifiques d'un objet de version. En outre, vous pouvez affecter des approbateurs et des validateurs à des étapes spécifiques dans un chemin d'accès de version pour garantir que les applications déployées sont conformes aux normes de qualité.
Basée sur les rôles : les deux rôles sont Gestionnaire de versions et Utilisateur du service. Les gestionnaires de versions peuvent gérer toutes les fonctions, indépendamment des groupes auxquels ils sont liés. L'utilisateur du service correspond à un rôle de compte de service. Pour limiter l'accès utilisateur, ne les affectez pas à un rôle. Faites-les plutôt hériter des autorisations affectées au groupe auquel ils sont liés.
Groupe : pour restreindre l'accès aux zones fonctionnelles spécifiques, vous devez affecter les autorisations permises par ce groupe. Les membres de ce groupe héritent des autorisations affectées au groupe. La restriction de l'accès requiert que vous modifiez les autorisations accordées au groupe Tout le monde, qui par défaut a toutes les autorisations.
Objet : outre les rôles et les groupes, vous pouvez limiter l'accès à la modification, à l'affichage et à la gestion de la sécurité des chemins d'accès de version et des modèles de version. Vous devez effectuer cette opération dans l'onglet Sécurité sur le chemin d'accès de version et via la page Propriétés pour un modèle de version.
Approbateurs et validateurs : les approbateurs et les validateurs doivent se déconnecter à chaque étape d'une version. Vous devez affecter des approbateurs et des validateurs lorsque vous configurez un chemin d'accès de version. Tous les approbateurs et les validateurs doivent être ajoutés en tant qu'utilisateurs ou membre du groupe dans Release Management.
Release Management définit un seul groupe par défaut, Tout le monde, auquel appartiennent tous les comptes que vous ajoutez dans Release Management. De plus, des autorisations spécifiques sont allouées aux rôles Gestionnaire de contenu et Utilisateur du service.
Vous devez gérer les autorisations Release Management à partir du client Release Management. Vous pouvez définir ces autorisations en ouvrant le sous-menu indiqué dans la colonne Où définir. Pour en savoir plus sur la façon de définir ces autorisations, consultez Ajouter des utilisateurs, des groupes et le contrôle d'accès à Release Management. Pour installer Release Management, allez ici.
Nom de l'autorisation ou rôle d'utilisateur |
Où définir |
Description |
Tout le monde |
Rôle Gestionnaire de versions |
Rôle d'utilisateur du service |
---|---|---|---|---|---|
Release Manager |
Page Administration > Mon profil et Nouvel utilisateur |
Peut administrer le serveur Release Management, gérer la connexion entre TFS et Release Management, et gérer les objets suivants :
Envisagez d'ajouter : les utilisateurs qui administreront le serveur Release Management. |
|||
Utilisateur du service |
Page Administration > Mon profil et Nouvel utilisateur |
Peut gérer des déploiements ou des pools d'applications web. Envisagez d'ajouter : les ID de compte de service affectés à l'exécution des pools d'applications serveur, le service Windows de l'agent de déploiement et la surveillance de Release Management des services Windows. |
|||
Vue |
Configurer les applications > Modèle de version > Propriétés Configurer les chemins d'accès > Chemins d'accès à la version finale |
Peut afficher des modèles de version ou des chemins d'accès à la version finale et assigner sélectivement à certains utilisateurs un accès en lecture à des modèles de version et des chemins d'accès à la version finale spécifiques. Envisagez d'ajouter : les utilisateurs ou les groupes qui ont besoin d'afficher des modèles de version ou des chemins d'accès à la version finale spécifiques, sans les modifier. |
|||
Modifier |
Configurer les applications > Modèle de version > Propriétés Configurer les chemins d'accès > Chemins d'accès à la version finale |
Peut modifier des modèles de version ou des chemins d'accès à la version finale et choisir quels utilisateurs peuvent modifier des modèles de version et des chemins d'accès à la version finale spécifiques. Envisagez d'ajouter : les utilisateurs ou les groupes qui ont besoin de modifier des modèles de version et des chemins d'accès à la version finale spécifiques. |
|||
Peut créer une version |
Configurer les applications > Modèle de version > Propriétés |
Peut lancer une version et spécifier quels utilisateurs peuvent lancer une version à partir des modèles de version qu'ils peuvent consulter. Envisagez d'ajouter : les utilisateurs ou les groupes qui initialiseront une version. Avec cette autorisation, vous pouvez spécifier quels utilisateurs peuvent lancer une version à partir des modèles de version qu'ils peuvent consulter. |
|||
Gérer la sécurité |
Configurer les applications > Modèle de version > Propriétés Configurer les chemins d'accès > Chemins d'accès à la version finale |
Peut gérer quels groupes sont autorisés à afficher, modifier ou gérer des modèles de version ou des chemins d'accès à la version finale. Envisagez d'ajouter : les utilisateurs ou les groupes qui décideront quels groupes sont autorisés à afficher, modifier ou gérer des modèles de version ou des chemins d'accès à la version finale. Avec cette autorisation, les créateurs de modèles de version et les chemins d'accès de version peuvent contrôler qui peut afficher, modifier, ou libérer les modèles spécifiques ou les chemins d'accès. |
|||
Peut créer un modèle de version |
Configurer les applications > Modèle de version |
Peut définir des modèles de version. Sans cette autorisation, le bouton Nouveau de l'onglet Configurer les applications > Modèle de version est masqué. Envisagez d'ajouter : les utilisateurs ou les groupes qui ont besoin de créer, démarrer ou approuver une version. |
|||
Peut créer un chemin d'accès à la version finale |
Configurer les chemins d'accès > Chemins d'accès à la version finale |
Peut définir les étapes, le processus d'approbation et la sécurité des chemins d'accès à la version finale. Sans cette autorisation, le bouton Nouveau de l'onglet de Configurer les chemins d'accès > Chemins d'accès à la version finale est masqué. Envisagez d'ajouter : les utilisateurs ou les groupes qui ont besoin de gérer la configuration release utilisée dans le déploiement d'applications. |
|||
Peut gérer l'environnement |
Configurer les chemins d'accès > Environnements |
Peut définir les étapes qui composent un chemin d'accès à la version finale, ainsi que les serveurs et la sécurité pour chaque étape. Sans cette autorisation, l'onglet Configurer les chemins d'accès > Environnements est masqué. Envisagez d'ajouter : les utilisateurs ou les groupes qui ont besoin de gérer les serveurs et les environnements utilisés pour définir les chemins d'accès à la version finale. |
|||
Peut gérer le serveur |
Configurer les chemins d'accès > Serveur |
Peut définir les chemins d'accès à la version finale pour le déploiement d'applications dans votre système. Cette autorisation prend en charge l'accès à la définition des serveurs à utiliser pour déployer des applications pour tester et organiser les serveurs de production et y accéder. Sans cette autorisation, l'onglet Configurer les chemins d'accès > Serveur est masqué. Envisagez d'ajouter : les utilisateurs ou les groupes qui définiront les chemins d'accès à la version finale pour le déploiement d'applications dans votre système. Cette autorisation prend en charge l'accès à la définition des serveurs utilisée pour déployer des applications pour tester, organiser et accéder aux serveurs de production. |
|||
Peut gérer les stocks |
Stock > Actions et outils |
Peut définir des outils ou actions personnalisés pour le déploiement d'applications dans votre système. Avec cette autorisation ils peuvent afficher, modifier, et créer des actions et des outils. Consultez Libérer des actions pour déployer une application destinée à Release Management. Sans cette autorisation, l'onglet Stock est masqué. Envisagez d'ajouter : les utilisateurs ou les groupes qui définiront des outils ou actions personnalisés pour le déploiement d'applications dans votre système. Avec cette autorisation, ils peuvent afficher, modifier et créer les actions et les outils utilisés dans les applications de déploiement. |
|||
Peut utiliser un outil personnalisé dans les actions et les composants |
Configurer les applications > Composant > Déploiement Configurer les applications > Modèle de version > Composant > Déploiement |
Peut modifier les champs Commande et Arguments lorsque Aucun outil est sélectionné. Sans cette autorisation, ils ne peuvent pas modifier ces champs. Envisagez d'ajouter : les utilisateurs ou les groupes qui définiront les chemins d'accès à la version finale ou les modèles de version, ou qui initialiseront des versions. Cela leur permet de modifier les champs Commande et Arguments lorsque Aucun outil est sélectionné. |
|||
Modifier les valeurs et les serveurs cibles |
Configurer les applications > Modèle de version |
Peut modifier la séquence de déploiement et les variables de configuration pour des versions ou des étapes spécifiques. Sans cette autorisation, les informations sur la phase sont en lecture seule. Envisagez d'ajouter : les utilisateurs ou les groupes qui définiront les chemins d'accès à la version finale ou les modèles de version, ou qui initialiseront des versions. Cela leur permet de modifier la séquence de déploiement et les variables de configuration pour des versions ou des étapes spécifiques. |
|||
Modifier les approbations et l'environnement |
Configurer les chemins d'accès > Chemin d'accès à la version finale > Étapes |
Peut modifier les approbations et les environnements pour une étape spécifique. Sans cette autorisation, les informations sur la phase sont en lecture seule. Envisagez d'ajouter : les utilisateurs ou les groupes qui définiront les chemins d'accès à la version finale ou les modèles de version. Cela leur permet de modifier des approbations et des environnements pour une étape spécifique. Sans cette autorisation, des informations sur l'étape sont en lecture seule. |
Q et R
Q : Quelle est la différence entre les autorisations et les niveaux d'accès ?
R : Certaines fonctionnalités de TFS sont uniquement disponibles pour les utilisateurs qui ont un niveau de licence approprié pour ces fonctionnalités. L'accès à ces fonctionnalités n'est pas contrôlé par les autorisations mais par l'appartenance aux groupes de licence de Team Web Access. Consultez Modifier les niveaux d'accès.
Q : Quelles autorisations sont affectées aux administrateurs d'équipe ?
R : Plusieurs autorisations basées sur les rôles sont accordées aux administrateurs d'équipe. Elles sont décrites ici.
Q : Quelles sont les autorisations associées aux alertes ?
R : Aucune autorisation d'interface utilisateur n'est associée aux alertes auxquelles vous pouvez vous abonner par l'intermédiaire de TWA.
Par défaut, tous les Collaborateurs peuvent s'abonner eux-mêmes à des alertes. Les Administrateurs de collections de projets et les Administrateurs de projet ou les utilisateurs ou membres de groupes qui disposent de l'autorisation Modifier les informations au niveau de la collection ou Modifier les informations au niveau du projet peuvent définir des alertes pour d'autres personnes ou pour une équipe.
Vous pouvez gérer les autorisations d'alerte à l'aide de TFSSecurity au niveau de la collection. Le Service d'événements de Team Foundation Server est conçu pour être flexible et extensible.
Action TFSSecurity |
Espace de noms TFSSecurity |
Description |
Administrateurs de la collection de projets et Comptes de service de la collection de projets |
---|---|---|---|
CREATE_SOAP_SUBSCRIPTION |
EventSubscription |
Peut créer un abonnement à un service web SOAP. |
|
GENERIC_READ |
EventSubscription |
Peut afficher des événements d'abonnements définis pour un projet d'équipe. |
|
GENERIC_WRITE |
EventSubscription |
Peut créer des alertes pour d'autres utilisateurs ou pour une équipe. |
|
UNSUBSCRIBE |
EventSubscription |
Peut annuler l'abonnement à un événement. |
Q : Quels outils ou fonctionnalités supplémentaires font référence à des groupes ?
R : Les fonctionnalités suivantes font référence à des groupes TFS intégrés et personnalisés (ceux que vous créez) :
Requêtes d'élément de travail : opérateur Dans le groupe, Pas dans le groupe
Champ (Définition) - Attribut d'élément XML enfant : attributs for et not
Champ (Flux de travail) - Attribut d'élément XML enfant : attributs for et not
Q : Qu'est-ce qu'un utilisateur autorisé ?Comment sont remplis les groupes d'utilisateurs autorisés ?
R : lorsque vous ajoutez des comptes d'utilisateur directement dans un groupe TFS ou via un groupe Windows, ils sont automatiquement ajoutés à l'un des groupes d'utilisateurs autorisés.
serveur\Team Foundation Valid Users : tous les membres ajoutés aux groupes de niveau serveur.
NomCollectionProjets\Team Foundation Valid Users : tous les membres ajoutés aux groupes de niveau collection de projets.
NomProjetÉquipe\Project Valid Users : tous les membres ajoutés aux groupes de niveau projet.
Les autorisations par défaut affectées à ces groupes sont essentiellement limitées à un accès en lecture, comme Afficher les ressources de build, Afficher les informations au niveau du projet et Afficher les informations au niveau de la collection.
Cela signifie que tous les utilisateurs que vous ajoutez à un projet d'équipe peuvent afficher les objets d'autres projets d'équipe au sein d'une collection. Si vous avez besoin de limiter l'accès en lecture, vous pouvez définir des restrictions via le nœud du chemin de zone. Pour connaître d'autres méthodes, consultez Restreindre l'accès à des fonctions et tâches.
Si vous supprimez ou affectez à l'autorisation Afficher les informations au niveau de l'instance la valeur Refuser pour l'un des groupes d'utilisateurs valides, aucun utilisateur du groupe ne pourra accéder au projet d'équipe, à la collection ou au déploiement, selon le groupe défini.
Par ailleurs, l'élément VALIDUSER peut être utilisé afin d'autoriser ou de limiter l'accès pour le suivi des éléments de travail.
Q : Comment puis-je gérer les autorisations pour accéder aux rapports et au portail du projet ?
R : Pour plus d'informations sur la façon de définir des autorisations dans Reporting Services et Produits SharePoint pour les utilisateurs de TFS, consultez Définir les autorisations d'administrateur pour les collections de projets d'équipe et Définir les autorisations d'administrateur pour Team Foundation Server.
Pour obtenir des exemples pas à pas sur la création de groupes personnalisés, la configuration d'autorisations pour contrôler l'accès aux ressources et d'autres options, consultez Restreindre l'accès à des fonctions et tâches.