Kompilowanie dla usługi Azure DevOps przy użyciu aplikacji Microsoft Entra OAuth
Ważne
Podczas tworzenia nowej aplikacji OAuth 2.0 rozpocznij tutaj od aplikacji Microsoft Entra OAuth, ponieważ w 2026 r. planowane jest wycofanie aplikacji OAuth usługi Azure DevOps. Dowiedz się więcej w naszym wpisie w blogu.
Microsoft Entra ID OAuth
Microsoft Entra ID to oddzielny produkt firmy Microsoft z własną platformą. W witrynie Microsoft Entra możesz zarejestrować aplikację w celu uzyskania dostępu do dzierżaw platformy Azure i zdefiniować wymagane uprawnienia z zasobów platformy Azure, z których usługa Azure DevOps jest uznawana za jedną.
Aplikacje Microsoft Entra i aplikacje Usługi Azure DevOps są oddzielnymi jednostkami bez znajomości siebie. Metody uwierzytelniania aplikacji różnią się od usługi Microsoft Entra OAuth do usługi Azure DevOps OAuth. Po pierwsze, aplikacje OAuth identyfikatora Entra firmy Microsoft są wystawiane tokeny microsoft Entra, a nie tokeny dostępu usługi Azure DevOps. Te tokeny mają standardowy czas trwania jednej godziny przed wygaśnięciem.
Zalecamy dokładne zapoznanie się z dokumentacją firmy Microsoft Entra, aby zrozumieć nowe funkcje dostępne za pośrednictwem firmy Microsoft Entra i różne oczekiwania użytkownika podczas instalacji.
Dlaczego warto wybrać firmę Microsoft Entra?
Jako wiodący dostawca zarządzania tożsamościami i dostępem (IAM) firma Microsoft Entra ID koncentruje się na potrzebach firm, które muszą zarządzać członkami zespołu i chronić zasoby firmy. Microsoft Entra ID oferuje wiele funkcji — tworzenie aplikacji i zarządzanie nimi jest jednym z nich. Model aplikacji Entra firmy Microsoft oferuje kilka zalet modelu aplikacji Azure DevOps OAuth, dzięki czemu są bardziej atrakcyjne dla deweloperów aplikacji.
1. Szerszy zasięg wewnątrz i poza firmą Microsoft
Tworząc aplikację w firmie Microsoft Entra, masz szerszy zasięg w pozostałej części ekosystemu firmy Microsoft. Jedna aplikacja Firmy Microsoft Entra może służyć do uzyskiwania dostępu do wielu produktów firmy Microsoft, dzięki czemu zarządzanie poświadczeniami aplikacji jest znacznie prostsze. Usługa Teams oferująca produkty SaaS może rozważyć utworzenie wstępnieintegrowej aplikacji, która jest wyświetlana wraz z innymi popularnymi aplikacjami w galerii aplikacji Microsoft Entra.
2. Większa widoczność, zgoda i zarządzanie administratorami
Zaufani administratorzy dzierżawy mogą zarządzać aplikacjami uzyskującymi dostęp do zasobów firmy, którzy w organizacji mogą korzystać z aplikacji oraz jak można uzyskać zgodę. Usługa Azure DevOps OAuth nie zna dzierżaw ani administratorów, opierając się wyłącznie na użytkownikach w celu autoryzowania dostępu do potencjalnie poufnych danych. Użytkownicy, którzy wcześniej autoryzowali dostęp do dawno zapomnianej aplikacji, opuszczają otwarte drzwi na potrzeby późniejszej potencjalnej infiltracji. Nadzór administratora zapewnia dodatkowy zestaw oczu z odpowiednimi procesami przeglądu i pomocnym czyszczeniem nieużywanych lub nieautoryzowanych aplikacji.
3. Ściślejsze mechanizmy kontroli dostępu warunkowego
Zasady dostępu warunkowego ułatwiają skonfigurowanie odpowiednich mechanizmów kontroli dostępu, na których użytkownicy mogą i nie mogą uzyskać dostępu do organizacji za pośrednictwem aplikacji Microsoft Entra. Aplikacja OAuth usługi Azure DevOps znajduje się poza ekosystemem firmy Microsoft Entra i nie jest zgodna ze wszystkimi zasadami dostępu warunkowego.
4. Samoobsługowa konfiguracja aplikacji
Zmiana zakresów aplikacji i własności aplikacji w aplikacji Microsoft Entra to względna bryza w porównaniu z aplikacjami OAuth usługi Azure DevOps. Deweloperzy aplikacji skontaktują się z naszym zespołem pomocy technicznej, aby wprowadzić zmiany w aplikacjach OAuth usługi Azure DevOps, ale w firmie Microsoft Entra możliwość zmiany zakresów jest zwracana do dewelopera. Własność aplikacji może być nawet współdzielona między wieloma użytkownikami, a nie ograniczona do jednego użytkownika, co może stanowić problem, jeśli powiedział, że użytkownik opuści firmę w przyszłości.
5. Dostępne dzienniki logowania
Firma Microsoft Entra rejestruje wszystkie "logowania" do dzierżawy platformy Azure, która obejmuje wewnętrzne aplikacje i zasoby. Te dodatkowe informacje mogą zawierać więcej informacji na temat tego, kto korzysta z Twoich aplikacji, które nie są dostępne za pośrednictwem naszej inspekcji.
Przydatne zasoby
Budowanie na nowej platformie może być przytłaczające. Udostępniamy kilka przydatnych linków, które uważamy za przydatne w procesie tworzenia aplikacji OAuth w firmie Microsoft Entra. W przypadku deweloperów przechodzących z usługi Azure DevOps OAuth do protokołu Microsoft Entra OAuth udostępniamy przydatne wskazówki, które należy wziąć pod uwagę podczas migracji.
Dobre zasoby dla deweloperów
- przepływ Platforma tożsamości Microsoft i OAuth 2.0 On-Behalf-Of
- Opis dostępu delegowanego
- Szybki start: Rejestrowanie aplikacji za pomocą platformy tożsamości firmy Microsoft
- Dodawanie uprawnień dostępu do programu Microsoft Graph: przydatne dowiesz się, jak dodawać delegowane uprawnienia z zasobu platformy Azure. Zamiast programu Microsoft Graph wybierz
Azure DevOpsz listy zasobów. - Zakresy i uprawnienia w Platforma tożsamości Microsoft: odczyt w
.defaultzakresie. Zobacz zakresy dostępne dla usługi Azure DevOps na naszej liście zakresów. - Żądanie uprawnień za pośrednictwem zgody
- Biblioteki uwierzytelniania i przykłady kodu
- Zarządzanie osobistymi tokenami dostępu za pośrednictwem interfejsu API: korzystanie z interfejsów API zarządzania cyklem życia pat wymaga tokenów firmy Microsoft Entra i naszych dokumentów oraz skojarzonej przykładowej aplikacji może być przydatnym przykładem konfigurowania aplikacji Microsoft Entra do korzystania z interfejsów API REST usługi Azure DevOps.
- Opcje pomocy technicznej i pomocy dla deweloperów
Dobre zasoby dla administratorów
- Co to jest zarządzanie aplikacjami w identyfikatorze Entra firmy Microsoft?
- Szybki start: dodawanie aplikacji dla przedsiębiorstw
- Środowisko wyrażania zgody dla aplikacji w identyfikatorze Entra firmy Microsoft
Kompilowanie i migrowanie porad
Uwaga
Aplikacje Microsoft Entra OAuth nie obsługują natywnie użytkowników MSA dla interfejsów API REST usługi Azure DevOps. Jeśli tworzysz aplikację, która musi obsługiwać użytkowników MSA lub obsługuje zarówno użytkowników microsoft Entra, jak i MSA, aplikacje OAuth usługi Azure DevOps pozostają najlepszą opcją. Obecnie pracujemy nad natywną obsługą użytkowników MSA za pośrednictwem protokołu Microsoft Entra OAuth.
- Dobrze znane identyfikatory usługi Azure DevOps:
- Identyfikator zasobu Entra firmy Microsoft:
499b84ac-1321-427f-aa17-267ca6975798 - Identyfikator URI zasobu:
https://app.vssps.visualstudio.com .defaultUżyj zakresu podczas żądania tokenu ze wszystkimi zakresami, dla których aplikacja ma uprawnienia.
- Identyfikator zasobu Entra firmy Microsoft:
- Podczas migrowania istniejącej aplikacji możesz użyć identyfikatorów użytkowników usługi Azure DevOps, które nie istnieją w usłudze Microsoft Entra. Interfejs API readIdentities umożliwia rozpoznawanie i dopasowywanie różnych tożsamości używanych przez każdego dostawcę tożsamości.
Przepływy tylko do aplikacji w usłudze Microsoft Entra
Microsoft Entra OAuth to zalecane rozwiązanie do tworzenia aplikacji w celu uzyskiwania dostępu do usług Azure DevOps w imieniu użytkownika wyrażającego zgodę.
Jeśli chcesz utworzyć aplikację, która będzie działać w imieniu siebie, zapoznaj się z naszą dokumentacją dotyczącą obsługi jednostki usługi. W tych dokumentach bardziej szczegółowo omówiono sposób konfigurowania jednostki usługi lub tożsamości zarządzanej, która nie polega na uprawnieniach użytkowników do działania na zasobach organizacji, zamiast tego polegać wyłącznie na własnych uprawnieniach. Ten mechanizm uwierzytelniania jest zalecanym uwierzytelnianiem do tworzenia zautomatyzowanych narzędzi dla zespołów.