Microsoft Entra を使用して Azure DevOps で認証する

Microsoft Entra ID は、独自のプラットフォームを持つ個別の Microsoft 製品です。 主要な ID およびアクセス管理 (IAM) プロバイダーとして、Microsoft Entra ID は、チーム メンバーを管理し、会社のリソースを保護する必要がある企業のニーズに焦点を当てています。 Microsoft では、Azure DevOps 組織を Microsoft Entra ID テナントに接続する機能を提供しており、この機能が企業に多くのメリットをもたらす可能性があります。

接続されると、Microsoft Entra ID の上にある Microsoft ID アプリケーション プラットフォームには、アプリ開発者や組織管理者にとって魅力的な利点がいくつかあります。 Microsoft Entra では、Azure テナントにアクセスするためのアプリケーションを登録し、Azure リソースから必要なアクセス許可を定義できます。その中で、Azure DevOps は 1 つと見なされます。 Azure DevOps は、Azure テナントのコンストラクトの外部に存在します。

Microsoft Entra アプリと Azure DevOps アプリは、互いに知識のない個別のエンティティです。 アプリケーションを認証する手段は、Microsoft Entra OAuth と Azure DevOps OAuth とは異なります。 たとえば、Microsoft Entra ID OAuth アプリでは、Azure DevOps アクセス トークンではなく Microsoft Entra トークンが発行されます。 これらのトークンには、有効期限が切れる前の標準の 1 時間の期間があります。

Microsoft Entra での Azure DevOps アプリの開発

Microsoft Entra で利用できる新機能と、セットアップ時に されるさまざまな期待 を理解するには、Microsoft Entra のドキュメントを十分に読むことをお勧めします。

アプリの開発をサポートするためのガイダンスが用意されています。

• ユーザーの同意を得てその代理としてアクションを実行するアプリ用の Microsoft Entra OAuth アプリ (ユーザーの代理アプリ)
• チーム内で自動化されたツールを実行するアプリの Microsoft Entra サービス プリンシパルとマネージド ID (それ自体の代理アプリ)

PAT を Microsoft Entra トークンに置き換える

個人用アクセス トークン (AT)、Azure DevOps ユーザーにとって最も一般的な認証形式の 1 つであり、作成と使用が容易です。 ただし、PAT の管理とストレージが不十分な場合、Azure DevOps 組織に不正アクセスする可能性があります。 PAT を長期間存続させたり、オーバースコーピングしたりすると、漏洩した PAT が損害を受けるリスクも高まります。

Microsoft Entra トークンは、更新する必要がある前に 1 時間しか続かないため、魅力的な代替手段を提供します。 Entra トークンを生成するための認証プロトコルは、より堅牢で安全です。 トークンの盗難やリプレイ攻撃から保護 条件付きアクセス ポリシーなどのセキュリティ対策。 現在一般的に使用されている PAT の代わりに、より多くのユーザーに Microsoft Entra トークンを検討してもらいたいと考えています。 このワークフローで PAT を Entra トークンに置き換えることができる最も一般的な PAT のユース ケースと方法をいくつか共有します。

Azure DevOps REST API へのアドホック要求

Azure CLI を使用して、ユーザーが Azure DevOps REST APIを呼び出すための Microsoft Entra ID アクセス トークンを取得することもできます。 Entra アクセス トークンは 1 時間のみ有効であるため、永続的なトークンを必要としない API 呼び出しなど、1 回限りの迅速な操作に最適です。

Azure CLI でユーザー トークンを取得する

これらの手順のクレジットは、Databricks ドキュメントに帰属します。

1. az login コマンドを使用して Azure CLI にサインインし、画面の指示に従います。
2. これらの bash コマンドを使用して、サインインしているユーザーに適切なサブスクリプションを設定します。 Azure サブスクリプション ID が、アクセスしようとしている Azure DevOps 組織に接続されているテナントに関連付けられていることを確認します。 サブスクリプション ID がわからない場合は、Azure portalで確認できます。 bash az account set -s <subscription-id>
3. Azure DevOps リソース ID az account get-access-token を使用して Microsoft Entra ID アクセス トークンを生成します:499b84ac-1321-427f-aa17-267ca6975798。 bash az account get-access-token \ --resource 499b84ac-1321-427f-aa17-267ca6975798 \ --query "accessToken" \ -o tsv

Azure CLI でサービス プリンシパル トークンを取得する

サービス プリンシパルは、アドホック操作にアドホック Microsoft Entra ID アクセス トークンを使用することもできます。 実行方法については、サービス プリンシパルと管理対象IDのガイドのこのセクションで説明します。

Git Credential Manager を使用した Git 操作

Microsoft Entra トークンを使用して Git 操作を実行することもできます。 Git リポジトリに定期的にプッシュする場合、Git Credential Manager を使用する は、既定の として が設定されている限り、Microsoft Entra OAuth トークン資格情報を要求および管理する簡単な方法を提供します。