Azure Active Directory OAuth の詳細なスコープ

Azure DevOps と統合する Azure Active Directory OAuth アプリケーションの動作を制限するために使用できる詳細な Azure DevOps スコープのサポートが提供されています。

アプリケーションにスコープを設定することで、ユーザーの代わりに Azure DevOps に接続するときにアプリケーションで実行できる操作 (作業項目への書き込み、ソース コードの表示、パイプラインの構成など) を制限できます。 基になるユーザーが許可されている操作をアプリが実行できるようにする、1 つの広範なユーザー偽装スコープを使用するアプリで、詳細なスコープを使用してその動作を制限できるようになりました。 たとえば、作業項目のみを読み取るアプリにはworkitem_readスコープのみを指定できるため、この動作の外部で意図的に、またはその他の方法で何も実行できなくなります。

アプリケーションにスコープを追加するには、統合するすべてのアプリケーションで、事前にこれらのスコープを定義して、何をしようとしているかを最初に宣言する必要があります。 これらのスコープは、このアプリがユーザーに代わってアクションを実行することを承認することに同意する前に確認できます。 これにより、アクセス権を持つリソースでアプリケーションが何を行っているかをより詳細に把握できます。

アプリケーション開発者は、アプリケーションによって発行されたトークンが間違った手に入った場合にリスク ベクトルを制限するのに役立ちます。