Ambiti granulari per Azure Active Directory OAuth

È in corso il supporto per ambiti Di Azure DevOps granulari che possono essere usati per limitare il comportamento delle applicazioni OAuth di Azure Active Directory che si integrano con Azure DevOps.

Impostando gli ambiti in un'applicazione, è possibile limitare le operazioni (ad esempio, la scrittura in elementi di lavoro, la visualizzazione del codice sorgente, la configurazione di pipeline e così via) che un'applicazione può eseguire per la connessione ad Azure DevOps per conto dell'utente. Le app che usano un singolo ambito di rappresentazione utente generale che consente all'app di eseguire tutte le operazioni consentite all'utente sottostante possono ora usare gli ambiti granulari per limitarne il comportamento. Ad esempio, a un'app che legge solo gli elementi di lavoro può essere assegnato solo un ambito workitem_read in modo che non possa eseguire alcuna operazione al di fuori di questo comportamento intenzionalmente o in altro modo.

L'aggiunta di ambiti a un'applicazione richiederà che tutte le applicazioni integrate con debbano prima dichiarare ciò che stanno tentando di eseguire definendo questi ambiti in anticipo. Questi ambiti saranno disponibili per la revisione prima di acconsentire all'autorizzazione dell'app per eseguire azioni per conto dell'utente. Ciò garantisce una maggiore visibilità sulle operazioni eseguite da un'applicazione con le risorse a cui si ha accesso.

In qualità di sviluppatore di applicazioni, ciò consentirà di limitare il vettore di rischio se un token rilasciato dall'applicazione cade in mani errate.