Azure Active Directory OAuth에 대한 세분화된 범위

Azure DevOps와 통합되는 Azure Active Directory OAuth 애플리케이션의 동작을 제한하는 데 사용할 수 있는 세분화된 Azure DevOps 범위에 대한 지원을 제공합니다.

애플리케이션에서 범위를 설정하여 사용자를 대신하여 Azure DevOps에 연결할 때 애플리케이션이 수행할 수 있는 작업(예: 작업 항목에 쓰기, 소스 코드 보기, 파이프라인 구성 등)을 제한할 수 있습니다. 앱이 기본 사용자가 수행할 수 있는 모든 작업을 수행할 수 있도록 하는 단일 광범위한 사용자 가장 범위를 사용하는 앱은 이제 세분화된 범위를 사용하여 동작을 제한할 수 있습니다. 예를 들어 작업 항목만 읽는 앱은 workitem_read 범위만 제공되므로 이 동작 외부에서는 의도적으로 또는 다른 작업을 수행할 수 없습니다.

애플리케이션에 범위를 추가하려면 통합하는 모든 애플리케이션이 먼저 이러한 범위를 미리 정의하여 사용자가 수행하려는 작업을 선언해야 합니다. 이러한 범위는 이 앱이 사용자 대신 작업을 수행하도록 권한을 부여하는 데 동의하기 전에 검토할 수 있습니다. 이렇게 하면 액세스 권한이 있는 리소스를 사용하여 애플리케이션이 수행하는 작업을 더 잘 볼 수 있습니다.

애플리케이션 개발자는 애플리케이션에서 발급한 토큰이 잘못된 손에 넘어가면 위험 벡터를 제한하는 데 도움이 됩니다.