Condividi tramite


Riferimento allo spazio dei nomi e all'autorizzazione di sicurezza per Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Questo articolo descrive gli spazi dei nomi di sicurezza validi, elenca le autorizzazioni associate e fornisce collegamenti ad altre informazioni. Gli spazi dei nomi di sicurezza archiviano gli elenchi di controllo di accesso (ACL) nei token, determinando il livello di accesso di varie entità devono eseguire azioni specifiche su risorse specifiche. Queste entità includono:

  • Utenti di Azure DevOps
  • Proprietari dell'organizzazione di Azure DevOps
  • Membri dei gruppi di sicurezza di Azure DevOps
  • Account del servizio Azure DevOps
  • Entità servizio di Azure DevOps

Ogni famiglia di risorse, ad esempio gli elementi di lavoro o i repository Git, viene protetta tramite uno spazio dei nomi univoco. Ogni spazio dei nomi di sicurezza contiene zero o più ACL. Un ACL include un token, un flag di ereditarietà e un set di zero o più voci di controllo di accesso (ACL). Ogni ACE è costituito da un descrittore di identità, una maschera di bit delle autorizzazioni consentite e una maschera di bit delle autorizzazioni negate. I token sono stringhe arbitrarie che rappresentano le risorse in Azure DevOps.

Nota

Gli spazi dei nomi e i token sono validi per tutte le versioni di Azure DevOps. Quelli elencati di seguito sono validi per Azure DevOps 2019 e versioni successive. Gli spazi dei nomi sono soggetti a modifiche nel tempo. Per ottenere l'elenco più recente di spazi dei nomi, eseguire uno degli strumenti da riga di comando o dell'API REST. Alcuni spazi dei nomi sono stati deprecati come elencati nella sezione Spazi dei nomi deprecati e di sola lettura più avanti in questo articolo. Per altre informazioni, vedere Query sugli spazi dei nomi di sicurezza

Strumenti di gestione delle autorizzazioni

Il metodo consigliato per la gestione delle autorizzazioni è tramite il portale Web. Tuttavia, per impostare le autorizzazioni non disponibili tramite il portale o per gestire autorizzazioni granulari, usare gli strumenti da riga di comando o l'API REST:

  • Per Azure DevOps Services, usare i az devops security permission comandi.
  • Per Azure DevOps Server, usare i comandi TFSSecurity.
  • Per i repository Git di Azure DevOps, usare lo strumento della riga di comando tf per l'autorizzazione git.
  • Per i repository controllo della versione di Team Foundation (TFVC), usare lo strumento da riga di comando delle autorizzazioni TFVC.

Per tutte le istanze di Azure DevOps, è anche possibile usare l'API REST di sicurezza.

Spazi dei nomi di sicurezza e i relativi ID

Molti spazi dei nomi di sicurezza corrispondono alle autorizzazioni impostate tramite una pagina del portale Web Sicurezza o Autorizzazioni . Altri spazi dei nomi o autorizzazioni specifiche non sono visibili tramite il portale Web e concedono l'accesso per impostazione predefinita ai membri dei gruppi di sicurezza o delle entità servizio di Azure DevOps. Questi spazi dei nomi sono raggruppati nelle categorie seguenti in base alla modalità di gestione tramite il portale Web:

  • Livello oggetto
  • A livello di progetto
  • Organizzazione o livello di raccolta
  • A livello di server (solo locale)
  • Basati sui ruoli
  • Solo interno

Gerarchia e token

Uno spazio dei nomi di sicurezza può essere gerarchico o flat. In uno spazio dei nomi gerarchico i token esistono in una gerarchia in cui le autorizzazioni valide vengono ereditate dai token padre ai token figlio. Al contrario, i token in uno spazio dei nomi flat non hanno alcun concetto di relazione padre-figlio tra due token.

I token in uno spazio dei nomi gerarchico hanno una lunghezza fissa per ogni parte del percorso o lunghezza variabile. Se i token hanno parti di percorso a lunghezza variabile, viene usato un carattere separatore per distinguere dove termina una parte del percorso e un'altra inizia.

I token di sicurezza non fanno distinzione tra maiuscole e minuscole. Esempi di token per spazi dei nomi diversi sono disponibili nelle sezioni seguenti.

Spazi dei nomi e autorizzazioni a livello di oggetto

Nella tabella seguente vengono descritti gli spazi dei nomi che gestiscono le autorizzazioni a livello di oggetto. La maggior parte di queste autorizzazioni viene gestita tramite la pagina del portale Web per ogni oggetto. Le autorizzazioni vengono impostate a livello di progetto e ereditate a livello di oggetto, a meno che non vengano modificate in modo esplicito.


Spazio dei nomi

Autorizzazioni

Descrizione


AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

Gestisce le autorizzazioni delle visualizzazioni di Analisi a livello di progetto e a livello di oggetto per leggere, modificare, eliminare e generare report. È possibile gestire queste autorizzazioni per ogni visualizzazione di analisi dall'interfaccia utente.

Formato del token per le autorizzazioni a livello di progetto: $/Shared/PROJECT_ID
Esempio: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: d34d3680-dfe5-4cc6-a949-7d9c68f73cba


Build

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Gestisce le autorizzazioni di compilazione a livello di progetto e a livello di oggetto.

Formato del token per le autorizzazioni di compilazione a livello di progetto: PROJECT_ID
Se è necessario aggiornare le autorizzazioni per un ID di definizione di compilazione specifico, ad esempio 12, il token di sicurezza per tale definizione di compilazione è simile all'esempio seguente:
Formato del token per le autorizzazioni di compilazione specifiche a livello di progetto: PROJECT_ID/12
Esempio: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

ID: 33344d9c-fc72-4d6f-aba5-fa317101a7e9


CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Gestisce le autorizzazioni a livello di oggetto percorso dell'area per creare, modificare ed eliminare nodi figlio e impostare le autorizzazioni per visualizzare o modificare gli elementi di lavoro in un nodo. Per altre informazioni, vedere Impostare le autorizzazioni e l'accesso per il rilevamento del lavoro, Creare nodi figlio, modificare gli elementi di lavoro in un percorso di area.
Esempio di formato token: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID: 83e28ad4-2d72-4ceb-97b0-c7726d5502c3


DashboardPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Gestisce le autorizzazioni a livello di oggetto del dashboard per modificare ed eliminare dashboard e gestire le autorizzazioni per un dashboard del progetto. È possibile gestire queste autorizzazioni tramite l'interfaccia utente dei dashboard.

ID: 8adf73b7-389a-4276-b638-fe1653f7efc7


Repository Git

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Gestisce le autorizzazioni del repository Git a livello di progetto e a livello di oggetto. È possibile gestire queste autorizzazioni tramite le impostazioni del progetto, l'interfaccia amministrativa Repository.

L'autorizzazione Administer è stata suddivisa in diverse autorizzazioni più granulari nel 2017 e non devono essere usate.
Formato del token per le autorizzazioni a livello di progetto: repoV2/PROJECT_ID
È necessario aggiungere RepositoryID per aggiornare le autorizzazioni a livello di repository.

Formato del token per le autorizzazioni specifiche del repository: repoV2/PROJECT_ID/REPO_ID

Il formato del token per le autorizzazioni a livello di ramo è descritto in Token repository Git per il servizio di sicurezza.

ID: 2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87


Iterazione

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Gestisce le autorizzazioni a livello di oggetto percorso di iterazione per creare, modificare ed eliminare nodi figlio e visualizzare le autorizzazioni dei nodi figlio. Per gestire tramite il portale Web, vedere Impostare le autorizzazioni e l'accesso per il rilevamento del lavoro, Creare nodi figlio.
Formato token: 'vstfs:///Classification/Node/Iteration_Identifier/'
Si supponga di avere le iterazioni seguenti configurate per il team.
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

Per aggiornare le autorizzazioni per ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1, il token di sicurezza è simile all'esempio seguente:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

ID: bf7bfa03-b2b7-47db-8113-fa2e002cc5b1


MetaTask

Administer
Edit
Delete

Gestisce le autorizzazioni del gruppo di attività per modificare ed eliminare i gruppi di attività e amministrare le autorizzazioni del gruppo di attività. Per gestire tramite il portale Web, vedere Autorizzazioni della pipeline e ruoli di sicurezza, Autorizzazioni del gruppo di attività.

Formato del token per le autorizzazioni a livello di progetto: PROJECT_ID
Formato del token per le autorizzazioni a livello di metaTask: PROJECT_ID/METATASK_ID

Se MetaTask ha parentTaskId, il token di sicurezza sarà simile all'esempio seguente:
Formato token: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

ID: f6a4de49-dbe2-4704-86dc-f8ec1a294436


Piano

View
Edit
Delete
Manage

Gestisce le autorizzazioni per i piani di recapito per visualizzare, modificare, eliminare e gestire i piani di recapito. È possibile gestire queste autorizzazioni tramite il portale Web per ogni piano.

ID: bed337f8-e5f3-4fb9-80da-81e17d06e7a8


ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Gestisce le autorizzazioni di definizione di versione a livello di progetto e oggetto.

Formato del token per le autorizzazioni a livello di progetto: PROJECT_ID
Esempio: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Se è necessario aggiornare le autorizzazioni per un ID di definizione di versione specifico, ad esempio 12, il token di sicurezza per tale definizione di versione è simile al seguente:

Formato del token per autorizzazioni specifiche per la definizione di versione: PROJECT_ID/12
Esempio: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Se l'ID definizione di versione si trova in una cartella, i token di sicurezza sono simili ai seguenti:
Formato token: PROJECT_ID/{folderName}/12
Per le fasi, i token sono simili a: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}.

ID: c788c23e-1b46-4162-8f5e-d7585343b5de


WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Gestisce le autorizzazioni per le query degli elementi di lavoro e le cartelle di query. Per gestire queste autorizzazioni tramite il portale Web, vedere Impostare le autorizzazioni per le query o le cartelle di query. Esempio di formato token: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
ID: 71356614-aad7-4757-8f2c-0fb3bff6f680


Spazi dei nomi e autorizzazioni a livello di progetto

Nella tabella seguente vengono descritti gli spazi dei nomi che gestiscono le autorizzazioni a livello di progetto. La maggior parte delle autorizzazioni elencate viene gestita tramite il contesto di amministrazione del portale Web. Agli amministratori del progetto vengono concesse tutte le autorizzazioni a livello di progetto, mentre altri gruppi a livello di progetto dispongono di assegnazioni di autorizzazioni specifiche.


Spazio dei nomi

Autorizzazioni

Descrizione


Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Gestisce le autorizzazioni a livello di progetto.
L'autorizzazione AGILETOOLS_BACKLOG gestisce l'accesso ai backlog di Azure Boards. Questa impostazione è un'impostazione di autorizzazione interna e non deve essere modificata.

Formato del token radice: $PROJECT
Token per proteggere le autorizzazioni per ogni progetto nell'organizzazione.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Si supponga di avere un progetto denominato Test Project 1.
È possibile ottenere l'ID progetto per questo progetto usando il az devops project show comando .
az devops project show --project "Test Project 1"
Il comando restituisce un ID progetto, xxxxxxxx-a1de-4bc8-b751-188eea17c3baad esempio .
Di conseguenza, il token per proteggere le autorizzazioni correlate al progetto per Test Project 1 è:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ID: 52d39943-cb85-4d7f-8fa8-c6baac873819


Tagging

Enumerate
Create
Update
Delete

Gestisce le autorizzazioni per creare, eliminare, enumerare e usare i tag degli elementi di lavoro. È possibile gestire l'autorizzazione Crea definizione tag tramite l'interfaccia amministrativa delle autorizzazioni.

Formato del token per le autorizzazioni a livello di progetto: /PROJECT_ID
Esempio: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: bb50f182-8e5e-40b8-bc21-e8752a1e7ae2


VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Gestisce le autorizzazioni per un repository di controllo della versione di Team Foundation (TFVC). È disponibile un solo repository TFVC per un progetto. È possibile gestire queste autorizzazioni tramite l'interfaccia amministrativa dei repository.

ID: a39371cf-0841-4c16-bbd3-276e341bc052


Spazi dei nomi e autorizzazioni a livello di organizzazione

Nella tabella seguente vengono descritti gli spazi dei nomi che gestiscono le autorizzazioni a livello di organizzazione. La maggior parte delle autorizzazioni elencate viene gestita tramite il contesto delle impostazioni dell'organizzazione del portale Web. Al proprietario dell'organizzazione e ai membri del gruppo Project Collection Administrators viene concessa la maggior parte di queste autorizzazioni. Per altre informazioni, vedere Modifica autorizzazioni a livello di raccolta di progetti.

Spazi dei nomi e autorizzazioni a livello di raccolta

Nella tabella seguente vengono descritti gli spazi dei nomi che gestiscono le autorizzazioni a livello di organizzazione. La maggior parte delle autorizzazioni elencate viene gestita tramite il contesto delle impostazioni della raccolta del portale Web. La maggior parte di queste autorizzazioni viene concessa ai membri del gruppo Project Collection Administrators . Per altre informazioni, vedere Modifica autorizzazioni a livello di raccolta di progetti.


Spazio dei nomi

Autorizzazioni

Descrizione


AuditLog

Read
Write
Manage_Streams
Delete_Streams

Gestisce le autorizzazioni di controllo per leggere o scrivere nel log di controllo e gestire o eliminare flussi di controllo.

Formato token: /AllPermissions
ID: a6cc6381-a1ca-4b36-b3c1-4e65211e82b6


BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies


Raccolta

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Gestisce le autorizzazioni a livello di organizzazione o raccolta.

ID: 3e65f728-f8bc-4ecd-8764-7e378b19bfa7


Processo

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions


Aree di lavoro

Read
Use
Checkin
Administer

Gestisce le autorizzazioni per amministrare modifiche, aree di lavoro e la possibilità di creare un'area di lavoro a livello di organizzazione o raccolta. Lo spazio dei nomi Workspaces si applica al repository TFVC.

Formato del token radice: /
Formato del token per un'area di lavoro specifica: /{workspace_name};{owner_id}

ID: 93bafc04-9075-403a-9367-b7164eac6b5c


VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Gestisce le autorizzazioni per il repository di controllo della versione di Team Foundation (TFVC).

L'autorizzazione AdminConfiguration concede agli utenti la possibilità di modificare le autorizzazioni a livello di server per utenti e gruppi. L'autorizzazione AdminConnections concede agli utenti la possibilità di leggere il contenuto di un file o di una cartella di un repository locale a livello di server.

ID: 66312704-deb5-43f9-b51c-ab4ff5e351c3


Spazi dei nomi e autorizzazioni a livello di server

La tabella seguente descrive gli spazi dei nomi e le autorizzazioni di sicurezza definiti per le istanze locali di Azure DevOps Server. È possibile gestire queste autorizzazioni, concesse ai membri del gruppo Amministratori di Team Foundation, tramite la console di amministrazione di Azure DevOps Server. Per le descrizioni di queste autorizzazioni, vedere Autorizzazioni e gruppi, autorizzazioni a livello di server.


Spazio dei nomi

Autorizzazioni

Descrizione


CollectionManagement

CreateCollection
DeleteCollection

Gestisce le autorizzazioni impostate a livello di server per creare ed eliminare raccolte di progetti.

ID: 52d39943-cb85-4d7f-8fa8-c6baac873819


Server

GenericRead
GenericWrite
Impersonate
TriggerEvent

Gestisce le autorizzazioni impostate a livello di server. Include le autorizzazioni per modificare le informazioni a livello di istanza, effettuare richieste per conto di altri utenti e attivare eventi.

ID: 1f4179b3-6bac-4d01-b421-71ea09171400


Magazzino

Administer

Concede l'autorizzazione per elaborare o modificare le impostazioni per il data warehouse o il cubo SQL Server Analysis usando il servizio Web controllo warehouse.

ID: b8fbab8b-69c8-4cd9-98b5-873656788efb


Spazi dei nomi e autorizzazioni basati su ruoli

Nella tabella seguente vengono descritti gli spazi dei nomi e le autorizzazioni di sicurezza usati per gestire la sicurezza basata sui ruoli. È possibile gestire le assegnazioni di ruolo tramite il portale Web per le risorse della pipeline, come descritto Autorizzazioni della pipeline e ruoli di sicurezza.


Spazio dei nomi

Autorizzazioni

Descrizione


DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Gestisce le autorizzazioni per accedere alle risorse del pool di agenti. Per impostazione predefinita, i ruoli e le autorizzazioni seguenti vengono assegnati a livello di progetto e ereditati per ogni pool di agenti creato:

  • Ruolo lettore (View solo autorizzazioni) per tutti i membri del gruppo Project Valid Users
  • Ruolo di amministratore (tutte le autorizzazioni) ai membri dei gruppi Amministratori di compilazione, Amministratori progetto e Amministratori versione.
  • Ruolo utente (View, Usee Create autorizzazioni) per tutti i membri del gruppo Collaboratore
  • Ruolo creatore (View, Usee Create autorizzazioni) per tutti i membri del gruppo Collaboratore

    ID: 101eae8c-1709-47f9-b228-0e476c35b3ba

Ambiente

View
Manage
ManageHistory
Administer
Use
Create

Gestisce le autorizzazioni per creare e gestire ambienti. Per impostazione predefinita, vengono assegnate le autorizzazioni seguenti:

  • Ruolo lettore (View solo autorizzazioni) per tutti i membri del gruppo Project Valid Users
  • Ruolo creatore (View, Usee Create autorizzazioni) per tutti i membri del gruppo Collaboratore
  • Ruolo creatore (View, Usee Create autorizzazioni) per tutti i membri del gruppo Project Administrators
  • Ruolo di amministratore (tutte le autorizzazioni) per l'utente che ha creato un ambiente specifico.

    ID: 83d4c2e6-e57d-4d6e-892b-b87222b7ad20

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Il ruolo Manager è l'unico ruolo usato per gestire la sicurezza delle estensioni del Marketplace. I membri del ruolo Manager possono installare le estensioni e rispondere alle richieste di installazione delle estensioni. Le altre autorizzazioni vengono assegnate automaticamente ai membri dei gruppi di sicurezza predefiniti e delle entità servizio. Per aggiungere utenti al ruolo Manager, vedere Gestire le autorizzazioni di estensione.

ID: 5d6d7b80-3c63-4ab0-b699-b6a5910f8029


Library

View
Administer
Create
ViewSecrets
Use
Owner

Gestisce le autorizzazioni per creare e gestire gli elementi della libreria, inclusi file protetti e gruppi di variabili. Le appartenenze ai ruoli per i singoli elementi vengono ereditate automaticamente dalla libreria. Per impostazione predefinita, vengono assegnate le autorizzazioni seguenti:

  • Ruolo lettore (View solo autorizzazioni) per tutti i membri del gruppo Project Valid Users e l'account del servizio di compilazione raccolta progetti
  • Ruolo creatore (View, Usee Create autorizzazioni) per tutti i membri del gruppo Collaboratori
  • Ruolo creatore (View, Use, Createe Owner autorizzazioni) al membro che ha creato l'elemento della libreria
  • Ruolo di amministratore (tutte le autorizzazioni) ai membri dei gruppi Amministratori di compilazione, Amministratori progetto e Amministratori versione.
    Per altre informazioni, vedere Ruoli di sicurezza degli asset di libreria.

    ID: b7e84409-6553-448a-bbb2-af228e07cbeb

Endpoint servizio

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Gestisce le autorizzazioni per creare e gestire le connessioni al servizio. Le appartenenze ai ruoli per i singoli elementi vengono ereditate automaticamente dai ruoli a livello di progetto. Per impostazione predefinita, vengono assegnati i ruoli seguenti:

  • Ruolo lettore (View solo autorizzazioni) per tutti i membri del gruppo Project Valid Users e l'account del servizio di compilazione raccolta progetti
  • Ruolo creatore (View, Usee Create autorizzazioni) ai membri del gruppo di sicurezza Endpoint Creators Service.
  • Ruolo di amministratore (tutte le autorizzazioni) ai membri del gruppo di sicurezza del servizio Endpoint Administrators.
    I ruoli vengono assegnati tramite i ruoli di sicurezza della connessione del servizio.

    ID: 49b48001-ca20-4adc-8111-5b60c903a50c

Spazi dei nomi e autorizzazioni interni

La tabella seguente descrive gli spazi dei nomi e le autorizzazioni di sicurezza che non vengono visualizzati tramite il portale Web. Vengono usati principalmente per concedere l'accesso ai membri dei gruppi di sicurezza predefiniti o alle risorse interne. È consigliabile non modificare queste impostazioni di autorizzazione in alcun modo.


Spazio dei nomi

Autorizzazioni

Descrizione


AccountAdminSecurity

Read
Create
Modify

Gestisce le autorizzazioni per leggere o modificare il proprietario dell'account dell'organizzazione. Queste autorizzazioni vengono assegnate al proprietario dell'organizzazione e ai membri del gruppo Amministratore raccolta progetti.

ID: 11238e09-49f2-40c7-94d0-8f0307204ce4


Analisi

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Gestisce le autorizzazioni per leggere, amministrare le autorizzazioni ed eseguire query sul servizio Analisi.

Formato del token per le autorizzazioni a livello di progetto: $/PROJECT_ID
Esempio: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: 58450c49-b02d-465a-ab12-59ae512d6531


BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Imposta le autorizzazioni per leggere, eliminare, creare e gestire la sicurezza dell'archivio dati. Queste autorizzazioni vengono assegnate a diverse entità servizio di Azure DevOps.

ID: 19F9F97D-7CB7-45F7-8160-DD308A6BD48E


Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Gestisce le autorizzazioni e l'accesso alle bacheche.

ID: 251e12d9-bea3-43a8-bfdb-901b98c0125e


BoardsExternalIntegration

Read
Write

Gestisce le autorizzazioni di lettura/scrittura di integrazioni esterne con Azure Boards.

ID: 5ab15bc8-4ea1-d0f3-8344-cab8fe976877


Chat

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Gestisce le autorizzazioni per i servizi di chat integrati con Azure DevOps, ad esempio Slack e Microsoft Teams. Per altre informazioni, vedere Azure Boards con Slack, Azure Boards con Microsoft Teams, Azure Pipelines con Slack, Azure Pipelines con Microsoft Teams, Azure Repos con Slack e Azure Repos con Microsoft Teams.

ID: bc295513-b1a2-4663-8d1a-7017fd760d18


Thread di discussione

Administer
GenericRead
GenericContribute
Moderate

Gestisce le autorizzazioni per visualizzare, gestire, moderare e contribuire alla revisione del codice della configurazione delle discussioni per Azure Pipelines.

ID: 0d140cae-8ac1-4f48-b6d1-c93ce0301a12


EventPublish

Read
Write

Concede l'accesso in lettura e scrittura per il gestore delle notifiche.

ID: 7cd317f2-adc6-4b6c-8d99-6074faeaf173


EventSubscriber

GENERIC_READ
GENERIC_WRITE

Concede l'accesso in lettura e scrittura per i sottoscrittori di notifica.

ID: 2bf24a2b-70ba-43d3-ad97-3d9e1f75622f


EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Gestisce le autorizzazioni dei membri per visualizzare, modificare e annullare la sottoscrizione alle notifiche o creare una sottoscrizione SOAP.

ID: 58b176e7-3411-457a-89d0-c6d0ccb3c52b

Identità

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Gestisce le autorizzazioni per leggere, scrivere ed eliminare le informazioni sull'identità dell'account utente; gestire l'appartenenza ai gruppi e creare e ripristinare gli ambiti di identità. L'autorizzazione ManageMembership viene concessa automaticamente ai membri dei gruppi Project Administrators e Project Collection Administrators.

Formato del token per le autorizzazioni a livello di progetto: PROJECT_ID
Esempio: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Per modificare le autorizzazioni a livello di gruppo per l'ID origine gruppo [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Token: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

ID: 5a27515b-ccd7-42c9-84f1-54c998f03866


Licenze

Read
Create
Modify
Delete
Assign
Revoke

Gestisce la possibilità di visualizzare, aggiungere, modificare e rimuovere i livelli di licenza. Queste autorizzazioni vengono concesse automaticamente ai membri dei gruppi Amministratori raccolta progetti.

ID: 453e2db3-2e81-474f-874d-3bf51027f2ee


PermissionLevel

Read
Create
Update
Delete

Gestisce la possibilità di creare e scaricare report sulle autorizzazioni.

ID: 25fb0ed7-eb8f-42b8-9a5e-836a25f67e37


OrganizationLevelData

Project-Scoped Users

Applica un'autorizzazione di negazione a livello di sistema per lo spazio dei nomi , che supporta il gruppo di utenti con ambito progetto. I membri del gruppo ricevono visibilità limitata ai dati a livello di organizzazione. Per altre informazioni, vedere Gestire l'organizzazione, Limitare la visibilità degli utenti per i progetti e altro ancora.
ID: F0003BCE-5F45-4F93-A25D-90FC33FE3AA9


PipelineCachePrivileges

Read
Write

Gestisce le autorizzazioni per leggere e scrivere voci della cache della pipeline. Queste autorizzazioni vengono assegnate solo ai principi interni del servizio Azure DevOps.
ID: 62a7ad6b-8b8d-426b-ba10-76a7090e94d5


ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Gestisce l'accesso agli elementi dell'interfaccia utente di Release Management.

ID: 7c7d32f7-0e86-4cd6-892e-b35dbba870bd


SearchSecurity

ReadMembers ReadAnonymous

Questo spazio dei nomi di sicurezza viene usato per sapere se un utente è valido o anonimo/pubblico.

ID: ca535e7e-67ce-457f-93fe-6e53aa4e4160


ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Gestisce le autorizzazioni per visualizzare, modificare ed eliminare le sottoscrizioni hook del servizio e pubblicare eventi hook del servizio. Queste autorizzazioni vengono assegnate automaticamente ai membri del gruppo Project Collection Administrators. DeleteSubscriptions non viene più usato; EditSubscriptions può eliminare gli hook del servizio.

ID: cb594ebe-87dd-4fc9-ac2c-6a10a4c92046


UtilizationPermissions

QueryUsageSummary

Gestisce le autorizzazioni per l'utilizzo delle query. Per impostazione predefinita, a tutti i membri dei gruppi Amministratori raccolta progetti e agli utenti a cui è concesso l'accesso agli stakeholder viene concessa l'autorizzazione per eseguire query sul riepilogo dell'utilizzo per tutti. Per altre informazioni, vedere Limiti di frequenza.

Formato token: /
ID: 83abde3a-4593-424e-b45f-9898af99034d


WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

Gestisce le autorizzazioni per l'amministrazione del rilevamento del lavoro e l'eliminazione degli allegati.
ID: 445d2788-c5fb-4132-bbef-09c4045ad93f


WorkItemTrackingProvision

Administer
ManageLinkTypes

Gestisce le autorizzazioni per la modifica dei processi di rilevamento del lavoro e la gestione dei tipi di collegamento. Lo spazio dei nomi WorkItemTrackingProvision è uno spazio dei nomi di sicurezza precedente usato principalmente per le versioni locali precedenti. Lo spazio dei nomi Process sostituisce questo spazio dei nomi per la gestione dei processi in Azure DevOps Server 2019 e versioni successive.

Formato del token radice: /$
Formato del token per un progetto specifico: $/PROJECT_ID

ID: 5a6cd233-6615-414d-9393-48dbb252bd23


Spazi dei nomi deprecati e di sola lettura

Gli spazi dei nomi seguenti sono deprecati o di sola lettura. Non dovresti usarli.

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration