Nieuw serviceverbindingstype voor pijplijnen voor verificatie met Azure DevOps

Taken in een pijplijn hebben toegang tot bronnen in Azure DevOps met behulp van een taaktoegangstoken, dat beschikbaar is via de ingebouwde variabele System.AccessToken. Een uitchecktaak maakt bijvoorbeeld gebruik van dit token om te verifiëren bij de opslagplaats. Op dezelfde manier kan een PowerShell-script dit token gebruiken om toegang te krijgen tot Azure DevOps REST API's. De machtigingen van dit token zijn echter gebaseerd op de Project Build Service-identiteit, wat betekent dat alle toegangstokens voor taken in een project identieke machtigingen hebben. Dit verleent overmatige toegang tot alle pijplijnen binnen het project.

Hiervoor wordt een nieuw serviceverbindingstype met de naam Azure DevOps Service Connection geïntroduceerd. Er wordt een Azure-service-principal gebruikt die kan worden toegevoegd als gebruiker in Azure DevOps met specifieke machtigingen. Hiermee kunt u authenticeren bij resources van een pijplijntaak met behulp van deze serviceverbinding en de toegang tot specifieke pijplijnen beperken.

We introduceren eerst het nieuwe verbindingstype en een paar taken die ermee werken. De lijst met taken die het verbindingstype in de loop van de tijd kunnen gebruiken, wordt geleidelijk uitgebreid.