Condividi tramite

Opzioni di autenticazione dell'agente self-hosted

  • Articolo

Azure Pipelines offre una scelta di diverse opzioni di autenticazione che è possibile usare quando si registra un agente. Questi metodi di autenticazione vengono usati solo durante la registrazione dell'agente. Per informazioni dettagliate sul modo in cui gli agenti comunicano dopo la registrazione, vedere Agents communication.

Metodo di registrazione dell'agente Azure DevOps Services Azure DevOps Server & TFS
token di accesso personale (PAT) Sostenuto Supportato quando il server è configurato con HTTPS
entità servizio (SP) Sostenuto Attualmente non supportato
flusso di codice del dispositivo (ID Microsoft Entra) Sostenuto Attualmente non supportato
integrato Non supportato Solo agenti Windows
Negoziare Non supportato Solo agenti Windows
Alternativo (ALT) Non supportato Supportato quando il server è configurato con HTTPS

Token di accesso personale

Specificare PAT come tipo di autenticazione durante la configurazione dell'agente per utilizzare un token di accesso personale per l'autenticazione durante la registrazione dell'agente. Successivamente, specificare un token di accesso personale con ambito "pool di agenti" (lettura, gestione) oppure con ambito "gruppo di distribuzione" (lettura, gestione) per un agente del gruppo di distribuzione . Questi token possono essere utilizzati per la registrazione dell'agente.

Per altre informazioni, vedere Registrare un agente usando un token di accesso personale (PAT)

Principale del Servizio

Specificare SP per il tipo di autenticazione durante la configurazione dell'agente per usare un principale del servizio per l'autenticazione durante la registrazione dell'agente.

Per ulteriori informazioni, vedere Registrare un agente usando un Principale del Servizio.

Flusso del codice del dispositivo

Specificare AAD per il tipo di autenticazione durante la configurazione dell'agente per usare il flusso del codice del dispositivo per l'autenticazione durante la registrazione dell'agente.

Per altre informazioni, vedere Registrare un agente usando il flusso del codice del dispositivo.

Integrato

L'autenticazione integrata di Windows per la registrazione dell'agente è disponibile solo per la registrazione dell'agente Windows in Azure DevOps Server e TFS.

Specificare Integrato come tipo di autenticazione nella configurazione dell'agente per usare l'autenticazione Windows integrata durante la registrazione dell'agente.

Connettere un agente di Windows a TFS usando le credenziali dell'utente connesso tramite uno schema di autenticazione di Windows, ad esempio NTLM o Kerberos.

Per usare questo metodo di autenticazione, è prima necessario configurare il server TFS.

  1. Accedere al computer in cui si esegue TFS.

  2. Avvia la Gestione di Internet Information Services (IIS). Selezionare il sito TFS e assicurarsi che l'autenticazione di Windows sia abilitata con un provider valido, ad esempio NTLM o Kerberos.

Screenshot della configurazione dell'autenticazione Windows di IIS TFS.

Screenshot dell'autenticazione di Windows di TFS IIS con la configurazione del provider NTLM.

Negoziare

Il metodo di autenticazione negoziata per la registrazione dell'agente è disponibile solo per la registrazione dell'agente Windows in Azure DevOps Server e TFS.

Connettersi a TFS come utente diverso dall'utente connesso tramite uno schema di autenticazione di Windows, ad esempio NTLM o Kerberos.

Per usare questo metodo di autenticazione, è prima necessario configurare il server TFS.

  1. Accedere al computer in cui si esegue TFS.

  2. Avvia Internet Information Services (IIS) Manager. Selezionare il sito TFS e assicurarsi che l'autenticazione di Windows sia abilitata con il provider Negotiate e con un altro metodo, ad esempio NTLM o Kerberos.

Screenshot della configurazione dell'autenticazione Windows di IIS TFS.

Screenshot dell'autenticazione Windows di IIS TFS con la configurazione del provider per negotiate e NTLM.

Alternativo (ALT)

Il metodo di autenticazione alternativo (di base) per la registrazione dell'agente è disponibile solo in Azure DevOps Server e TFS.

Connettersi a TFS usando l'autenticazione di base. Per usare questo metodo, è prima necessario configurare HTTPS in TFS.

Per usare questo metodo di autenticazione, è necessario configurare il server TFS come indicato di seguito:

  1. Accedere al computer in cui si esegue TFS.

  2. Configurare l'autenticazione di base. Vedi Utilizzare tfx contro Team Foundation Server 2015 utilizzando l'autenticazione di base.

Nota

Per la progettazione del prodotto, per il funzionamento dell'autenticazione OAuth è necessaria l'autenticazione anonima IIS. Questa autenticazione OAuth viene usata da Azure DevOps per l'agente e la funzionalità della pipeline. Per questo motivo, anche se sono già configurati agenti, tali agenti diventano inutilizzabili se si disabilita l'autenticazione anonima. I prodotti Azure DevOps hanno già un approccio di sicurezza eccellente. L'applicazione server TFS/Azure DevOps in IIS non consentirà alle richieste non autenticate. Questo permette semplicemente di far passare attraverso la porta principale IIS all'applicazione, che applica OAuth. Ad esempio, in un'esecuzione della pipeline, il server di compilazione genera un token OAuth per ogni compilazione, che ha come ambito la compilazione e scade dopo la compilazione. Quindi, anche se il token viene sorvegliato, se trapelato, è inutile dopo il build, a differenza di un'identità. Il token OAuth non è disponibile neppure per il codice eseguito dal processo di compilazione (unit test inseriti dagli sviluppatori). Se si basa sull'identità di Windows come eseguita dal servizio Windows, gli sviluppatori che eseguono unit test nell'integrazione continua potrebbero ottenere accesso elevato o eliminare il codice per cui non hanno le autorizzazioni.