Verificatie met Azure Repos

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Het selecteren van de juiste verificatiemethode is van cruciaal belang voor beveiligde toegang tot uw Azure-opslagplaatsen en Git-opslagplaatsen van Azure DevOps Server. Of u nu werkt vanaf een opdrachtprompt of een Git-client die HTTPS of SSH ondersteunt, het is belangrijk om referenties te kiezen die niet alleen de benodigde toegang bieden, maar ook het bereik beperken tot wat nodig is voor uw taken.

Trek altijd inloggegevens in wanneer deze niet meer nodig zijn om de beveiliging van uw opslagplaatsen te behouden. Deze aanpak zorgt ervoor dat u de flexibiliteit hebt om veilig en efficiënt met uw code te werken, terwijl u deze ook beschermt tegen onbevoegde toegang.

Verificatiemechanismen

Microsoft Entra OAuth-tokens

Gebruik Microsoft Entra- om tokens te genereren voor toegang tot REST API's. Microsoft Entra-tokens kunnen worden gebruikt waar persoonlijke toegangstokens worden gebruikt. Hier volgt een handige tip over het verkrijgen van een eenmalig toegangstoken van de Azure CLI om Git Fetch aan te roepen:

$accessToken = az account get-access-token --resource 499b84ac-1321-427f-aa17-267ca6975798 --query "accessToken" --output tsv
git -c http.extraheader="AUTHORIZATION: bearer $accessToken" clone https://dev.azure.com/{yourOrgName}/{yourProjectName}/_git/{yourRepoName}

Hint

Bekijk in plaats daarvan de Git Credential Manager (GCM) om te voorkomen dat u uw referenties telkens invoert. Gebruik GCM met het standaardreferentietype als Oauth om Microsoft Entra-tokens te genereren.

Persoonlijke toegangstokens

persoonlijke toegangstokens (PAT's) toegang bieden tot Azure DevOps zonder uw gebruikersnaam en wachtwoord rechtstreeks te gebruiken. Deze tokens verlopen en stellen u in staat om het bereik van de gegevens te beperken die ze kunnen openen.

Gebruik PAT's om te authenticeren als u geen SSH-sleutels op uw systeem hebt ingesteld of als u de machtigingen wilt beperken die zijn verleend door de inloggegevens.

Git-interacties vereisen een gebruikersnaam, wat alles kan zijn behalve een lege tekenreeks. Gebruik een PAT met HTTP-basisverificatie, Base64-encode je $MyPat, zoals weergegeven in het volgende codeblok.

Windows

Voer in PowerShell de volgende code in.

$MyPat = 'yourPat'
$headerValue = "Authorization: Basic " + [Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes(":" + $MyPat))
$env:GIT_AUTH_HEADER = $headerValue

git --config-env=http.extraheader=GIT_AUTH_HEADER clone https://dev.azure.com/yourOrgName/yourProjectName/_git/yourRepoName

Linux/macOS

Voer in Bash de volgende code in.

MY_PAT=yourPAT # replace "yourPAT" with "PatStringFromWebUI"
export HEADER_VALUE=$(echo -n "Authorization: Basic "$(printf ":%s" "$MY_PAT" | base64))

git --config-env=http.extraheader=HEADER_VALUE clone https://dev.azure.com/yourOrgName/yourProjectName/_git/yourRepoName

Hint

Als u regelmatig PAT's gebruikt, overweeg om de Git Credential Manager (GCM) te gebruiken om te voorkomen dat u telkens uw inloggegevens moet invoeren. Nog beter, verken het gebruik van GCM met standaardreferentietype als Oauth om Microsoft Entra-tokens te genereren in plaats van PAT's indien mogelijk.

SSH-sleutels

Sleutelverificatie met SSH werkt via een openbaar en persoonlijk sleutelpaar dat u op uw computer maakt. U koppelt de openbare sleutel aan uw gebruikersnaam van internet. Azure DevOps versleutelt de gegevens die met die sleutel naar u worden verzonden wanneer u met Git werkt. U ontsleutelt de gegevens op uw computer met de persoonlijke sleutel, die nooit via het netwerk wordt gedeeld of verzonden.

SSH is een uitstekende optie als u deze al op uw systeem hebt ingesteld. Voeg gewoon een openbare sleutel toe aan Azure DevOps en kloon uw opslagplaatsen met behulp van SSH. SSH heeft mogelijk de voorkeur voor degenen in Linux, macOS of Windows met Git voor Windows die geen Git-referentiebeheerders kunnen gebruiken of persoonlijke toegangstokens voor HTTPS-verificatie.

Zie SSH instellen met Azure DevOps voor meer informatie.

Git Credential Manager gebruiken om tokens te genereren

Gebruik de Git Credential Manager (GCM) om te voorkomen dat u telkens uw referenties moet invoeren en om uw token veiliger te houden bij het openen van Azure Repos. Meld u aan bij de webportal, genereer een token en gebruik het token als uw wachtwoord wanneer u verbinding maakt met Azure-opslagplaatsen. Microsoft Entra-tokens of PAT's worden op aanvraag gegenereerd wanneer u de referentiebeheerder lokaal hebt geïnstalleerd en opgeslagen voor gebruik met de Git-opdrachtregel of een andere client.

Bestaande opslagplaatsen

• Bestaande oorsprong verwijderen: Als u de oorsprong eerder hebt toegevoegd met behulp van een gebruikersnaam, verwijdert u deze door de volgende opdracht uit te voeren:

  git remote remove origin

• verifiëren met een PAT: Als u problemen ondervindt met standaardverificatie, voert u de volgende opdracht uit om te verifiëren via de opdrachtregel:

  git remote add origin https://dev.azure.com/<PAT>@<company_machineName>:/<project-name>/_git/<repo_name>

  git push -u origin --all

  De path to git repo = /_git/do verwijst naar de URL-padstructuur die wordt gebruikt in Azure DevOps voor Git-opslagplaatsen. Het /_git/-segment geeft aan dat u toegang hebt tot een Git-opslagplaats. Vervang do door de werkelijke naam van uw opslagplaats. Als uw opslagplaats bijvoorbeeld de naam my-repoheeft, is het pad/_git/my-repo.

• Opslagplaats klonen: Als u Git gebruikt en u moet zich authentiseren, voert u het volgende commando uit:

  git clone https://{organization}@dev.azure.com/{organization}/_git/{repository}

  Vervang {organization} door de naam van uw Azure DevOps-organisatie en {repository} door de naam van uw opslagplaats.

Verwante artikelen:

• Gebruik Git Credential Manager om je bij Azure Repos te authenticeren
• Over beveiliging, verificatie en autorisatie in Azure DevOps
• Over machtigingen en beveiligingsgroepen in Azure DevOps