Verifiëren met Azure DevOps met Microsoft Entra
Microsoft Entra ID is een afzonderlijk Microsoft-product met een eigen platform. Als toonaangevende IAM-provider (identity and access management) Microsoft Entra ID is gericht op de behoeften van bedrijven die teamleden moeten beheren en bedrijfsbronnen moeten beveiligen. We bieden de mogelijkheid om uw Azure DevOps-organisatie te verbinden met een Microsoft Entra ID-tenant, en er kunnen veel voordelen zijn voor uw bedrijf.
Zodra er verbinding is gemaakt, biedt het Microsoft Identity-toepassingsplatform boven op Microsoft Entra ID enkele voordelen die het aantrekkelijk maakt voor app-ontwikkelaars en organisatiebeheerders. In Microsoft Entra kunt u een toepassing registreren voor toegang tot Azure-tenants en machtigingen definiëren die nodig zijn voor Azure-resources, waarvan Azure DevOps als één wordt beschouwd. Azure DevOps bestaat buiten de constructie van Azure-tenants.
Microsoft Entra-apps en Azure DevOps-apps zijn afzonderlijke entiteiten zonder kennis van elkaar. De middelen voor het verifiëren van uw toepassing verschillen van Microsoft Entra OAuth naar Azure DevOps OAuth. Ten eerste ontvangen Microsoft Entra ID OAuth-apps Microsoft Entra-tokens, niet Azure DevOps-toegangstokens. Deze tokens hebben een standaardduur van één uur vóór de vervaldatum.
Azure DevOps-apps ontwikkelen in Microsoft Entra
We raden u aan de Microsoft Entra-documentatie grondig te lezen om inzicht te hebben in de nieuwe functionaliteit die beschikbaar is via Microsoft Entra en de verschillende verwachtingen van u tijdens de installatie.
We hebben richtlijnen voor het ondersteunen van uw app-ontwikkeling voor:
- Microsoft Entra OAuth-apps (namens gebruikers-apps) voor apps die acties uitvoeren namens toestemmende gebruikers
- Microsoft Entra-serviceprincipals en beheerde identiteiten (apps die namens zichzelf werken) voor apps die geautomatiseerde tools binnen een team uitvoeren
PAT's vervangen door Microsoft Entra-tokens
Persoonlijke toegangstokens (PAT's) zijn een van de populairste verificatievormen voor Azure DevOps-gebruikers vanwege hun gebruiksgemak. Slecht PAT-beheer en -opslag kunnen echter leiden tot onbevoegde toegang tot uw Azure DevOps-organisaties. Het geven van PAT's een lange levensduur of het vergroten van hun bereik kan ook het risico verhogen op de schade die een gelekte PAT kan veroorzaken.
Microsoft Entra-tokens bieden een aantrekkelijk alternatief, omdat ze slechts één uur duren voordat ze moeten worden vernieuwd. De verificatieprotocollen voor het genereren van Entra-tokens zijn robuuster en veiliger. Beveiligingsmaatregelen zoals voorwaardelijke toegangsbeleid beschermen tegen diefstal van tokens en replay-aanvallen. We hopen meer gebruikers te betrekken bij het verkennen met behulp van Microsoft Entra-tokens, waar ook tegenwoordig mogelijk PAT's worden gebruikt. We delen enkele van de populairste PAT-use cases en manieren waarop u de PAT kunt vervangen door een Entra-token in deze werkstroom.
Ad-hocaanvragen voor Azure DevOps REST API's
U kunt ook de Azure CLI- gebruiken om toegangstokens voor Microsoft Entra ID op te halen, zodat gebruikers de Azure DevOps REST API'skunnen aanroepen. Omdat Entra-toegangstokens slechts één uur live zijn, zijn ze ideaal voor snelle eenmalige bewerkingen, zoals API-aanroepen die geen permanent token nodig hebben.
Tokens voor gebruikers verkrijgen in Azure CLI
De eer voor deze instructies gaat naar de Databricks documentatie.
- Meld u aan bij de Azure CLI met behulp van de opdracht
az loginen volg de instructies op het scherm. - Stel het juiste abonnement in voor de aangemelde gebruiker met deze bash-opdrachten. Zorg ervoor dat de Azure-abonnements-id is gekoppeld aan de tenant die is verbonden met de Azure DevOps-organisatie waartoe u toegang probeert te krijgen. Als u uw abonnements-id niet weet, kunt u deze vinden in de Azure Portal.
bash az account set -s <subscription-id> - Genereer een Microsoft Entra ID-toegangstoken met de
az account get-access-tokende Azure DevOps-resource-id:499b84ac-1321-427f-aa17-267ca6975798.bash az account get-access-token \ --resource 499b84ac-1321-427f-aa17-267ca6975798 \ --query "accessToken" \ -o tsv
Service-principaltokens verkrijgen in Azure CLI
Service-principals kunnen ook ad-hoc Microsoft Entra ID-toegangstokens gebruiken voor ad-hocbewerkingen. In deze sectie vindt u instructies voor het van service-principals en beheerde identiteiten.
Git-bewerkingen met Git Credential Manager
Microsoft Entra-tokens kunnen ook worden gebruikt om Git-bewerkingen uit te voeren. Voor degenen die regelmatig pushen naar Git-opslagplaatsen, biedt het gebruik van de Git Credential Manager een eenvoudige manier om de Microsoft Entra OAuth-tokenreferenties aan te vragen en te beheren, zolang oauth als de standaard credential.azReposCredentialTypeis ingesteld.