Uwierzytelnianie w usłudze Azure DevOps za pomocą usługi Microsoft Entra

Microsoft Entra ID to oddzielny produkt firmy Microsoft z własną platformą. Jako wiodący dostawca zarządzania tożsamościami i dostępem (IAM), microsoft Entra ID koncentruje się na zarządzaniu członkami zespołu i zabezpieczaniu zasobów firmy. Możesz połączyć organizację usługi Azure DevOps z dzierżawą usługi Microsoft Entra ID, która oferuje wiele korzyści dla twojej firmy.

Po nawiązaniu połączenia platforma aplikacji Microsoft Identity na podstawie identyfikatora Entra firmy Microsoft zapewnia kilka zalet dla deweloperów aplikacji i administratorów organizacji. Możesz zarejestrować aplikację w celu uzyskania dostępu do dzierżaw platformy Azure i zdefiniować wymagane uprawnienia z zasobów platformy Azure, w tym usługi Azure DevOps, która istnieje poza konstrukcją dzierżawy platformy Azure.

Aplikacje Microsoft Entra i aplikacje Usługi Azure DevOps są oddzielnymi jednostkami bez znajomości siebie. Metody uwierzytelniania różnią się: firma Microsoft Entra używa protokołu OAuth, a usługa Azure DevOps używa własnego protokołu OAuth. aplikacje OAuth Microsoft Entra ID wystawiają tokeny firmy Microsoft Entra, a nie tokeny dostępu Azure DevOps. Te tokeny mają standardowy czas trwania jednej godziny przed wygaśnięciem.

Tworzenie aplikacji usługi Azure DevOps w usłudze Microsoft Entra

Zapoznaj się dokładnie z dokumentacją firmy Microsoft Entra, aby zrozumieć nowe funkcje i różne oczekiwania podczas konfiguracji.

Wspieramy tworzenie Twojej aplikacji, udzielając wskazówek dotyczących:

• aplikacje OAuth Microsoft Entra (działające w imieniu użytkowników) dla aplikacji wykonujących działania w imieniu użytkowników wyrażających zgodę.
• zasady usługi Microsoft Entra i zarządzane tożsamości (aplikacje działające w imieniu własnym) dla aplikacji, które realizują zautomatyzowane zadania w zespole.

Zastąp tokeny PAT tokenami Microsoft Entra

Tokeny dostępu osobistego (PATs) są popularne w uwierzytelnianiu Azure DevOps ze względu na łatwość ich tworzenia i używania. Jednak słabe zarządzanie tokenami dostępu osobistego (PAT) i przechowywaniem może prowadzić do nieautoryzowanego dostępu do twoich organizacji w Azure DevOps. Długotrwałe lub nadmiernie rozciągnięte PAT zwiększają ryzyko uszkodzenia spowodowanego wyciekiem PAT.

Tokeny Microsoft Entra oferują bezpieczną alternatywę, działając przez tylko jedną godzinę, przed koniecznością odświeżenia. Protokoły uwierzytelniania do generowania tokenów Entra są bardziej niezawodne i bezpieczne. Środki zabezpieczeń, takie jak zasady dostępu warunkowego, chronią przed kradzieżą tokenu i atakami powtarzania. Zachęcamy użytkowników do rozważenia używania tokenów Microsoft Entra zamiast PATs. Udostępniamy popularne przypadki użycia tokenów PAT oraz sposoby ich zastępowania tokenami Entra w tym przepływie pracy.

Żądania ad hoc do interfejsów API REST usługi Azure DevOps

Możesz również użyć interfejsu wiersza polecenia platformy Azure, aby uzyskać tokeny dostępu Microsoft Entra ID dla użytkowników, aby mogli wywoływać REST API usługi Azure DevOps. Ponieważ tokeny dostępu Entra ważne są tylko przez jedną godzinę, są idealne do szybkich jednorazowych operacji, takich jak wywołania interfejsu API, które nie wymagają tokenu stałego.

---

Uzyskiwanie tokenów użytkownika

Azure CLI

1. Zaloguj się do interfejsu wiersza polecenia platformy Azure przy użyciu polecenia az login i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.

2. Ustaw poprawną subskrypcję dla zalogowanego użytkownika za pomocą tych poleceń bash. Upewnij się, że identyfikator subskrypcji Azure jest powiązany z dzierżawcą połączonym z organizacją Azure DevOps, do której próbujesz uzyskać dostęp. Jeśli nie znasz identyfikatora subskrypcji, możesz go znaleźć w witrynie Azure Portal.

   az account set -s <subscription-id>
   

3. Wygeneruj token dostępu Microsoft Entra ID, korzystając z polecenia az account get-access-token i identyfikatora zasobu Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.

   az account get-access-token \
   --resource 499b84ac-1321-427f-aa17-267ca6975798 \
   --query "accessToken" \
   -o tsv
   

Azure PowerShell

1. Zaloguj się do programu Azure PowerShell przy użyciu polecenia Connect-AzAccount i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.

2. Ustaw poprawną subskrypcję zalogowanego użytkownika przy użyciu tych poleceń programu PowerShell. Upewnij się, że identyfikator subskrypcji Azure jest powiązany z dzierżawcą połączonym z organizacją Azure DevOps, do której próbujesz uzyskać dostęp. Jeśli nie znasz identyfikatora subskrypcji, możesz go znaleźć w witrynie Azure Portal.

   Set-AzContext -Subscription <subscriptionID>
   

3. Wygeneruj token dostępu Microsoft Entra ID za pomocą polecenia Get-AzAccessToken używając identyfikatora zasobu Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.

   Get-AzAccessToken -ResourceUrl '499b84ac-1321-427f-aa17-267ca6975798'
   

Jeśli chcesz uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Databricks.

Uzyskiwanie tokenów jednostki usługi w interfejsie wiersza polecenia platformy Azure

Obiekty usługi mogą również używać tokenów dostępu ad hoc Microsoft Entra ID do operacji ad hoc. Aby uzyskać więcej informacji, zobacz Service principals and managed identities/Uzyskaj token Microsoft Entra ID za pomocą Azure CLI.

Operacje usługi Git za pomocą menedżera poświadczeń usługi Git

Tokeny microsoft Entra można również używać do wykonywania operacji usługi Git. Jeśli regularnie wypychasz do repozytoriów git, używaj narzędzia Git Credential Manager, aby łatwo żądać poświadczeń tokenu OAuth firmy Microsoft i nimi zarządzać, pod warunkiem że oauth jest ustawione jako domyślne credential.azReposCredentialType.

Powiązane artykuły

• tworzenie integracji usługi Azure DevOps z aplikacjami Microsoft Entra OAuth
• Używanie jednostek usługi & tożsamości zarządzanych w usłudze Azure DevOps