Informacje o przestrzeni nazw zabezpieczeń i uprawnieniu dla usługi Azure DevOps
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
W tym artykule opisano prawidłowe przestrzenie nazw zabezpieczeń, wymieniono skojarzone uprawnienia i podano linki do dodatkowych informacji. Przestrzenie nazw zabezpieczeń przechowują listy kontroli dostępu (ACL) na tokenach, określając poziom dostępu do różnych jednostek, muszą wykonywać określone akcje dotyczące określonych zasobów. Te jednostki obejmują:
- Użytkownicy usługi Azure DevOps
- Właściciele organizacji usługi Azure DevOps
- Członkowie grup zabezpieczeń usługi Azure DevOps
- Konta usługi Azure DevOps
- Jednostki usługi Azure DevOps
Każda rodzina zasobów, takich jak elementy robocze lub repozytoria Git, jest zabezpieczona za pośrednictwem unikatowej przestrzeni nazw. Każda przestrzeń nazw zabezpieczeń zawiera zero lub więcej list ACL. Lista ACL zawiera token, flagę dziedziczą i zestaw zera lub większej liczby wpisów kontroli dostępu (ACL). Każda usługa ACE składa się z deskryptora tożsamości, dozwolonej maski bitów uprawnień i maski bitów odmowy uprawnień. Tokeny są dowolnymi ciągami reprezentującymi zasoby w usłudze Azure DevOps.
Uwaga
Przestrzenie nazw i tokeny są prawidłowe dla wszystkich wersji usługi Azure DevOps. Wymienione tutaj są prawidłowe dla usługi Azure DevOps 2019 i nowszych wersji. Przestrzenie nazw mogą ulec zmianie w czasie. Aby uzyskać najnowszą listę przestrzeni nazw, wykonaj jedną z narzędzi wiersza polecenia lub interfejsu API REST. Niektóre przestrzenie nazw zostały uznane za przestarzałe zgodnie z opisem w sekcji Przestarzałe i przestrzenie nazw tylko do odczytu w dalszej części tego artykułu. Aby uzyskać więcej informacji, zobacz Zapytanie dotyczące przestrzeni nazw zabezpieczeń
Narzędzia do zarządzania uprawnieniami
Zalecaną metodą zarządzania uprawnieniami jest portal internetowy. Jednak aby ustawić uprawnienia, które są niedostępne za pośrednictwem portalu lub do zarządzania szczegółowymi uprawnieniami, użyj narzędzi wiersza polecenia lub interfejsu API REST:
- W przypadku usług Azure DevOps Services użyj
az devops security permission
poleceń . - W przypadku usługi Azure DevOps Server użyj poleceń TFSSecurity.
- W przypadku repozytoriów Git usługi Azure DevOps użyj narzędzia wiersza polecenia uprawnienia tf git.
- W przypadku repozytoriów Kontrola wersji serwera Team Foundation (TFVC) użyj narzędzia wiersza polecenia uprawnień kontroli wersji serwera TEAMVC.
W przypadku wszystkich wystąpień usługi Azure DevOps można również użyć interfejsu API REST zabezpieczeń.
Przestrzenie nazw zabezpieczeń i ich identyfikatory
Wiele przestrzeni nazw zabezpieczeń odpowiada uprawnieniam ustawionym za pośrednictwem strony portalu internetowego Zabezpieczenia lub Uprawnienia . Inne przestrzenie nazw lub określone uprawnienia nie są widoczne w portalu internetowym i domyślnie udzielają dostępu członkom grup zabezpieczeń lub jednostkom usługi Azure DevOps. Te przestrzenie nazw są pogrupowane w następujące kategorie na podstawie sposobu zarządzania nimi za pośrednictwem portalu internetowego:
- Poziom obiektu
- Poziom projektu
- Poziom organizacji lub kolekcji
- Poziom serwera (tylko lokalnie)
- Oparte na rolach
- Tylko do użytku wewnętrznego
Hierarchia i tokeny
Przestrzeń nazw zabezpieczeń może być hierarchiczna lub płaska. W hierarchicznej przestrzeni nazw tokeny istnieją w hierarchii, w której skuteczne uprawnienia są dziedziczone z tokenów nadrzędnych do tokenów podrzędnych. Natomiast tokeny w płaskiej przestrzeni nazw nie mają pojęcia relacji nadrzędny-podrzędny między dwoma tokenami.
Tokeny w hierarchicznej przestrzeni nazw mają stałą długość dla każdej części ścieżki lub zmienną długość. Jeśli tokeny mają części ścieżki o zmiennej długości, znak separatora jest używany do odróżnienia, gdzie kończy się jedna część ścieżki, a druga rozpoczyna się.
Tokeny zabezpieczające nie są uwzględniane wielkości liter. Przykład tokenów dla różnych przestrzeni nazw przedstawiono w poniższych sekcjach.
Przestrzenie nazw i uprawnienia na poziomie obiektu
W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie obiektu. Większość tych uprawnień jest zarządzana za pośrednictwem strony portalu internetowego dla każdego obiektu. Uprawnienia są ustawiane na poziomie projektu i dziedziczone na poziomie obiektu, chyba że zostały jawnie zmienione.
Przestrzeń nazw
Uprawnienia
Opis
Read
Edit
Delete
Execute
ManagePermissions
Zarządza uprawnieniami widoków analizy na poziomie projektu i na poziomie obiektu, aby odczytywać, edytować, usuwać i generować raporty. Możesz zarządzać tymi uprawnieniami dla każdego widoku analizy z poziomu interfejsu użytkownika.
Format tokenu dla uprawnień na poziomie projektu: $/Shared/PROJECT_ID
Przykład: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
ID: d34d3680-dfe5-4cc6-a949-7d9c68f73cba
Kompilacja
ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions
Zarządza uprawnieniami kompilacji na poziomie projektu i obiektu.
Format tokenu dla uprawnień kompilacji na poziomie projektu: PROJECT_ID
Jeśli musisz zaktualizować uprawnienia dla określonego identyfikatora definicji kompilacji, na przykład 12, token zabezpieczający dla tej definicji kompilacji wygląda następująco:
Format tokenu dla poziomu projektu, określone uprawnienia kompilacji: PROJECT_ID/12
Przykład: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
ID: 33344d9c-fc72-4d6f-aba5-fa317101a7e9
CSS
GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES
Zarządza uprawnieniami na poziomie obiektu ścieżki obszaru, aby tworzyć, edytować i usuwać węzły podrzędne oraz ustawiać uprawnienia do wyświetlania lub edytowania elementów roboczych w węźle. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień i dostępu do śledzenia pracy, Tworzenie węzłów podrzędnych, modyfikowanie elementów roboczych w ścieżce obszaru.
Przykład formatu tokenu: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID: 83e28ad4-2d72-4ceb-97b0-c7726d5502c3
Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards
Zarządza uprawnieniami na poziomie obiektu pulpitu nawigacyjnego do edytowania i usuwania pulpitów nawigacyjnych oraz zarządzania uprawnieniami do pulpitu nawigacyjnego projektu. Te uprawnienia można zarządzać za pomocą interfejsu użytkownika pulpitów nawigacyjnych.
ID: 8adf73b7-389a-4276-b638-fe1653f7efc7
Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy
Zarządza uprawnieniami repozytorium Git na poziomie projektu i na poziomie obiektu. Te uprawnienia można zarządzać za pomocą ustawień projektu, interfejsu administracyjnego Repozytoria.
Uprawnienie Administer
zostało podzielone na kilka bardziej szczegółowych uprawnień w 2017 r. i nie powinno być używane.
Format tokenu dla uprawnień na poziomie projektu: repoV2/PROJECT_ID
Musisz dołączyć RepositoryID
polecenie , aby zaktualizować uprawnienia na poziomie repozytorium.
Format tokenu dla uprawnień specyficznych dla repozytorium: repoV2/PROJECT_ID/REPO_ID
Format tokenu uprawnień na poziomie gałęzi jest opisany w artykule Tokeny repozytorium Git dla usługi zabezpieczeń.
ID: 2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87
Iteracja
GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
Zarządza uprawnieniami na poziomie obiektu ścieżki iteracji w celu tworzenia, edytowania i usuwania węzłów podrzędnych oraz wyświetlania uprawnień węzła podrzędnego. Aby zarządzać za pośrednictwem portalu internetowego, zobacz Ustawianie uprawnień i dostępu do śledzenia pracy, Tworzenie węzłów podrzędnych.
Format tokenu: 'vstfs:///Classification/Node/Iteration_Identifier/'
Załóżmy, że masz następujące iteracji skonfigurowane dla zespołu.
— ProjectIteration1
TeamIteration1
— TeamIteration1ChildIteration1
— TeamIteration1ChildIteration2
— TeamIteration1ChildIteration3
TeamIteration2
— TeamIteration2ChildIteration1
— TeamIteration2ChildIteration2
Aby zaktualizować uprawnienia dla ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1
elementu , token zabezpieczający wygląda następująco:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier
ID: bf7bfa03-b2b7-47db-8113-fa2e002cc5b1
MetaTask
Administer
Edit
Delete
Zarządza uprawnieniami grupy zadań do edytowania i usuwania grup zadań oraz administrowania uprawnieniami grupy zadań. Aby zarządzać za pośrednictwem portalu internetowego, zobacz Uprawnienia potoku i role zabezpieczeń, Uprawnienia grupy zadań.
Format tokenu dla uprawnień na poziomie projektu: PROJECT_ID
Format tokenu dla uprawnień na poziomie metaTask: PROJECT_ID/METATASK_ID
Jeśli element MetaTask ma element parentTaskId, token zabezpieczeń wygląda jak w poniższym przykładzie:
Format tokenu: PROJECT_ID/PARENT_TASK_ID/METATASK_ID
ID: f6a4de49-dbe2-4704-86dc-f8ec1a294436
Planowanie
View
Edit
Delete
Manage
Zarządza uprawnieniami planów dostarczania , aby wyświetlać, edytować, usuwać i zarządzać planami dostarczania. Te uprawnienia można zarządzać za pośrednictwem portalu internetowego dla każdego planu.
ID: bed337f8-e5f3-4fb9-80da-81e17d06e7a8
ReleaseManagement
ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension
Zarządza uprawnieniami definicji wydania na poziomie projektu i obiektu.
Format tokenu dla uprawnień na poziomie projektu: PROJECT_ID
Przykład: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Jeśli musisz zaktualizować uprawnienia dla określonego identyfikatora definicji wydania, na przykład 12, token zabezpieczający dla tej definicji wydania wygląda następująco:
Format tokenu dla określonych uprawnień definicji wydania: PROJECT_ID/12
Przykład: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Jeśli identyfikator definicji wydania znajduje się w folderze, tokeny zabezpieczające wyglądają następująco:
Format tokenu: PROJECT_ID/{folderName}/12
W przypadku etapów tokeny wyglądają następująco: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}
.
ID: c788c23e-1b46-4162-8f5e-d7585343b5de
WorkItemQueryFolders
Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo
Zarządza uprawnieniami dla zapytań elementów roboczych i folderów zapytań. Aby zarządzać tymi uprawnieniami za pośrednictwem portalu internetowego, zobacz Ustawianie uprawnień dotyczących zapytań lub folderów zapytań.
Przykład formatu tokenu: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }
.
ID: 71356614-aad7-4757-8f2c-0fb3bff6f680
Przestrzenie nazw i uprawnienia na poziomie projektu
W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie projektu. Większość wymienionych uprawnień jest zarządzana za pośrednictwem kontekstu administracyjnego portalu internetowego. Administratorzy projektu otrzymują wszystkie uprawnienia na poziomie projektu, podczas gdy inne grupy na poziomie projektu mają określone przypisania uprawnień.
Przestrzeń nazw
Uprawnienia
Opis
Project
GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS
Zarządza uprawnieniami na poziomie projektu.
Uprawnienie AGILETOOLS_BACKLOG
zarządza dostępem do list prac usługi Azure Boards. To ustawienie jest ustawieniem uprawnień wewnętrznych i nie powinno być zmieniane.
Format tokenu głównego: $PROJECT
Token do zabezpieczania uprawnień dla każdego projektu w organizacji.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID
.
Załóżmy, że masz projekt o nazwie Test Project 1
.
Identyfikator projektu dla tego projektu można uzyskać przy użyciu az devops project show
polecenia .
az devops project show --project "Test Project 1"
Polecenie zwraca identyfikator projektu, na przykład xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
.
W związku z tym token do zabezpieczania uprawnień związanych z projektem dla Test Project 1
programu to:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ID: 52d39943-cb85-4d7f-8fa8-c6baac873819
Enumerate
Create
Update
Delete
Zarządza uprawnieniami do tworzenia, usuwania, wyliczania i używania tagów elementów roboczych. Uprawnienie Tworzenie definicji tagu można zarządzać za pomocą interfejsu administracyjnego uprawnień.
Format tokenu dla uprawnień na poziomie projektu: /PROJECT_ID
Przykład: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
ID: bb50f182-8e5e-40b8-bc21-e8752a1e7ae2
VersionControlItems
Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch
Zarządza uprawnieniami do repozytorium Kontrola wersji serwera Team Foundation (TFVC). Istnieje tylko jedno repozytorium TFVC dla projektu. Te uprawnienia można zarządzać za pomocą interfejsu administracyjnego repozytoriów.
ID: a39371cf-0841-4c16-bbd3-276e341bc052
Przestrzenie nazw i uprawnienia na poziomie organizacji
W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie organizacji. Większość wymienionych uprawnień jest zarządzana za pośrednictwem kontekstu ustawień organizacji portalu internetowego. Właściciel organizacji i członkowie grupy Administratorzy kolekcji projektów otrzymują większość tych uprawnień. Aby uzyskać więcej informacji, zobacz Zmiana uprawnień na poziomie kolekcji projektów.
Przestrzenie nazw i uprawnienia na poziomie kolekcji
W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie organizacji. Większość wymienionych uprawnień jest zarządzana za pośrednictwem kontekstu ustawień kolekcji portalu internetowego. Członkowie grupy Administratorzy kolekcji projektów otrzymują większość tych uprawnień. Aby uzyskać więcej informacji, zobacz Zmiana uprawnień na poziomie kolekcji projektów.
Przestrzeń nazw
Uprawnienia
Opis
Dziennik inspekcji
Read
Write
Manage_Streams
Delete_Streams
Zarządza uprawnieniami inspekcji w celu odczytu lub zapisu w dzienniku inspekcji oraz zarządzania lub usuwania strumieni inspekcji.
Format tokenu: /AllPermissions
ID: a6cc6381-a1ca-4b36-b3c1-4e65211e82b6
BuildAdministration
ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies
Zarządza dostępem do wyświetlania, zarządzania, używania lub administrowania uprawnieniami do zasobów kompilacji.
ID: 302acaca-b667-436d-a946-87133492041c
Kolekcja
GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES
Zarządza uprawnieniami na poziomie organizacji lub kolekcji.
ID: 3e65f728-f8bc-4ecd-8764-7e378b19bfa7
Przetwarzaj
Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions
Zarządza uprawnieniami do tworzenia, usuwania i administrowania procesami.
ID: 2dab47f9-bd70-49ed-9bd5-8eb051e59c02
Obszary robocze
Read
Use
Checkin
Administer
Zarządza uprawnieniami do administrowania zmianami, obszarami roboczymi i możliwością tworzenia obszaru roboczego na poziomie organizacji lub kolekcji. Przestrzeń nazw Obszarów roboczych ma zastosowanie do repozytorium TFVC.
Format tokenu głównego: /
Format tokenu dla określonego obszaru roboczego: /{workspace_name};{owner_id}
ID: 93bafc04-9075-403a-9367-b7164eac6b5c
VersionControlPrivileges
CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration
Zarządza uprawnieniami do repozytorium Kontrola wersji serwera Team Foundation (TFVC).
Uprawnienie
AdminConfiguration
umożliwia użytkownikom edytowanie uprawnień na poziomie serwera dla użytkowników i grup. UprawnienieAdminConnections
umożliwia użytkownikom odczytywanie zawartości pliku lub folderu lokalnego repozytorium na poziomie serwera.
ID: 66312704-deb5-43f9-b51c-ab4ff5e351c3
Przestrzenie nazw i uprawnienia na poziomie serwera
W poniższej tabeli opisano te przestrzenie nazw zabezpieczeń i uprawnienia zdefiniowane dla lokalnych wystąpień usługi Azure DevOps Server. Możesz zarządzać tymi uprawnieniami, które są przyznawane członkom grupy Administratorzy programu Team Foundation za pośrednictwem konsoli administracyjnej usługi Azure DevOps Server. Opisy tych uprawnień można znaleźć w temacie Uprawnienia i grupy, Uprawnienia na poziomie serwera.
Przestrzeń nazw
Uprawnienia
Opis
Zarządzanie kolekcją
CreateCollection
DeleteCollection
Zarządza uprawnieniami ustawionymi na poziomie serwera w celu tworzenia i usuwania kolekcji projektów.
ID: 52d39943-cb85-4d7f-8fa8-c6baac873819
Serwer
GenericRead
GenericWrite
Impersonate
TriggerEvent
Zarządza uprawnieniami ustawionymi na poziomie serwera. Obejmuje uprawnienia do edytowania informacji na poziomie wystąpienia, tworzenia żądań w imieniu innych osób i wyzwalania zdarzeń.
ID: 1f4179b3-6bac-4d01-b421-71ea09171400
Magazyn
Administer
Przyznaje uprawnienia do przetwarzania lub zmieniania ustawień magazynu danych lub modułu SQL Server Analysis przy użyciu usługi sieci Web Kontrola magazynu.
ID: b8fbab8b-69c8-4cd9-98b5-873656788efb
Przestrzenie nazw i uprawnienia oparte na rolach
W poniższej tabeli opisano przestrzenie nazw zabezpieczeń i uprawnienia używane do zarządzania zabezpieczeniami opartymi na rolach. Przypisania ról można zarządzać za pośrednictwem portalu internetowego dla zasobów potoku zgodnie z opisem Uprawnienia potoku i role zabezpieczeń.
Przestrzeń nazw
Uprawnienia
Opis
DistributedTask
View
Manage
Listen
AdministerPermissions
Use
Create
Zarządza uprawnieniami dostępu do zasobów puli agentów. Domyślnie następujące role i uprawnienia są przypisywane na poziomie projektu i dziedziczone dla każdej utworzonej puli agentów:
- Rola czytelnika (
View
tylko uprawnienia) do wszystkich członków grupy Project Valid Users - Rola administratora (wszystkie uprawnienia) do członków grup Administratorzy kompilacji, Administratorzy projektu i Administratorzy wydań.
- Rola użytkownika (
View
,Use
iCreate
uprawnienia) do wszystkich członków grupy Współautor - Rola twórcy (
View
,Use
iCreate
uprawnienia) do wszystkich członków grupy Współautor
ID:101eae8c-1709-47f9-b228-0e476c35b3ba
Środowisko
View
Manage
ManageHistory
Administer
Use
Create
Zarządza uprawnieniami do tworzenia środowisk i zarządzania nimi. Domyślnie przypisywane są następujące uprawnienia:
- Rola czytelnika (
View
tylko uprawnienia) do wszystkich członków grupy Project Valid Users - Rola twórcy (
View
,Use
iCreate
uprawnienia) do wszystkich członków grupy Współautor - Rola twórcy (
View
,Use
iCreate
uprawnienia) do wszystkich członków grupy Administratorzy projektu - Rola administratora (wszystkie uprawnienia) do użytkownika, który utworzył określone środowisko.
ID:83d4c2e6-e57d-4d6e-892b-b87222b7ad20
ExtensionManagement
ViewExtensions
ManageExtensions
ManageSecurity
Rola Menedżer jest jedyną rolą używaną do zarządzania zabezpieczeniami rozszerzeń witryny Marketplace. Członkowie roli Menedżer mogą instalować rozszerzenia i odpowiadać na żądania dotyczące instalowania rozszerzeń. Pozostałe uprawnienia są przypisywane automatycznie do członków domyślnych grup zabezpieczeń i jednostek usługi. Aby dodać użytkowników do roli Menedżer, zobacz Zarządzanie uprawnieniami rozszerzenia.
ID: 5d6d7b80-3c63-4ab0-b699-b6a5910f8029
Biblioteka
View
Administer
Create
ViewSecrets
Use
Owner
Zarządza uprawnieniami do tworzenia elementów biblioteki i zarządzania nimi, które obejmują bezpieczne pliki i grupy zmiennych. Członkostwo w rolach dla poszczególnych elementów jest automatycznie dziedziczone z biblioteki. Domyślnie przypisywane są następujące uprawnienia:
- Rola czytelnika (
View
tylko uprawnienia) do wszystkich członków grupy Project Valid Users i konta usługi Project Collection Build Service - Rola twórcy (
View
,Use
iCreate
uprawnienia) do wszystkich członków grupy Współautorzy - Rola twórcy (
View
,Use
,Create
i)Owner
do członka, który utworzył element biblioteki - Rola administratora (wszystkie uprawnienia) do członków grup Administratorzy kompilacji, Administratorzy projektu i Administratorzy wydań.
Aby uzyskać więcej informacji, zobacz Role zabezpieczeń zasobów biblioteki.
ID:b7e84409-6553-448a-bbb2-af228e07cbeb
ServiceEndpoints
Use
Administer
Create
ViewAuthorization
ViewEndpoint
Zarządza uprawnieniami do tworzenia połączeń usług i zarządzania nimi. Członkostwo w rolach dla poszczególnych elementów jest automatycznie dziedziczone z ról na poziomie projektu. Domyślnie są przypisywane następujące role:
- Rola czytelnika (
View
tylko uprawnienia) do wszystkich członków grupy Project Valid Users i konta usługi Project Collection Build Service - Rola twórcy (
View
,Use
iCreate
uprawnienia) do członków grupy zabezpieczeń usługi Endpoint Creators. - Rola administratora (wszystkie uprawnienia) do członków grupy zabezpieczeń usługi Administratorzy punktu końcowego.
Role są przypisywane za pośrednictwem ról zabezpieczeń połączenia usługi.
ID:49b48001-ca20-4adc-8111-5b60c903a50c
Wewnętrzne przestrzenie nazw i uprawnienia
W poniższej tabeli opisano przestrzenie nazw zabezpieczeń i uprawnienia, które nie są udostępniane za pośrednictwem portalu internetowego. Są one używane głównie do udzielania dostępu członkom domyślnych grup zabezpieczeń lub do zasobów wewnętrznych. Zdecydowanie zalecamy, aby nie zmieniać tych ustawień uprawnień w żaden sposób.
Przestrzeń nazw
Uprawnienia
Opis
AccountAdminSecurity
Read
Create
Modify
Zarządza uprawnieniami do odczytu lub modyfikowania właściciela konta organizacji. Te uprawnienia są przypisywane do właściciela organizacji i członków grupy Administrator kolekcji projektów.
ID: 11238e09-49f2-40c7-94d0-8f0307204ce4
Analiza
Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii
Zarządza uprawnieniami do odczytu, administrowania uprawnieniami i wykonywania zapytań względem usługi Analytics.
Format tokenu dla uprawnień na poziomie projektu: $/PROJECT_ID
Przykład: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
ID: 58450c49-b02d-465a-ab12-59ae512d6531
BlobStoreBlobPrivileges
Read
Delete
Create
SecurityAdmin
Ustawia uprawnienia do odczytu, usuwania, tworzenia i zarządzania zabezpieczeniami magazynu danych. Te uprawnienia są przypisywane do kilku jednostek usługi Azure DevOps.
ID: 19F9F97D-7CB7-45F7-8160-DD308A6BD48E
Boards
View
Create
ChangeMetadata
MoveCard
Delete
Manage
Zarządza uprawnieniami i dostępem do tablic.
ID: 251e12d9-bea3-43a8-bfdb-901b98c0125e
BoardsExternalIntegration
Read
Write
Zarządza uprawnieniami do odczytu/zapisu integracji zewnętrznych z usługą Azure Boards.
ID: 5ab15bc8-4ea1-d0f3-8344-cab8fe976877
Czat
ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions
Zarządza uprawnieniami dla usług czatów zintegrowanych z usługą Azure DevOps, takimi jak Slack i Microsoft Teams. Aby uzyskać więcej informacji, zobacz Azure Boards with Slack, Azure Boards with Microsoft Teams, Azure Pipelines with Slack, Azure Pipelines with Microsoft Teams, Azure Repos with Slack and Azure Repos with Microsoft Teams (Usługa Azure Boards with Slack, Azure Boards with Microsoft Teams, Azure Pipelines with Microsoft Teams), Azure Repos with Microsoft Teams (Azure Pipelines with Microsoft Teams), Azure Repos with Slack and Azure Repos with Microsoft Teams (Usługa Azure Boards with Microsoft Teams).
ID: bc295513-b1a2-4663-8d1a-7017fd760d18
Wątki dyskusji
Administer
GenericRead
GenericContribute
Moderate
Zarządza uprawnieniami do wyświetlania, moderowania i współtworzenia dyskusji dotyczących usługi Azure Pipelines oraz zarządzania nimi.
ID: 0d140cae-8ac1-4f48-b6d1-c93ce0301a12
EventPublish
Read
Write
Przyznaje dostęp do odczytu i zapisu dla programu obsługi powiadomień.
ID: 7cd317f2-adc6-4b6c-8d99-6074faeaf173
EventSubscriber
GENERIC_READ
GENERIC_WRITE
Przyznaje dostęp do odczytu i zapisu dla subskrybentów powiadomień.
ID: 2bf24a2b-70ba-43d3-ad97-3d9e1f75622f
EventSubscription
GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION
Zarządza uprawnieniami członków do wyświetlania, edytowania i anulowania subskrypcji powiadomień lub tworzenia subskrypcji protokołu SOAP.
ID: 58b176e7-3411-457a-89d0-c6d0ccb3c52b
Tożsamość
Read
Write
Delete
ManageMembership
CreateScope
RestoreScope
Zarządza uprawnieniami do odczytu, zapisu i usuwania informacji o tożsamości konta użytkownika; zarządzanie członkostwem w grupie i tworzenie i przywracanie zakresów tożsamości. Uprawnienie ManageMembership
jest automatycznie przyznawane członkom grup Administratorzy projektu i Administratorzy kolekcji projektów.
Format tokenu dla uprawnień na poziomie projektu: PROJECT_ID
Przykład: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Aby zmodyfikować uprawnienia na poziomie grupy dla identyfikatora źródła grupy [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Token: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b
ID: 5a27515b-ccd7-42c9-84f1-54c998f03866
Licencjonowanie
Read
Create
Modify
Delete
Assign
Revoke
Zarządza możliwością wyświetlania, dodawania, modyfikowania i usuwania poziomów licencji. Te uprawnienia są automatycznie przyznawane członkom grup Administratorzy kolekcji projektów.
ID: 453e2db3-2e81-474f-874d-3bf51027f2ee
PermissionLevel
Read
Create
Update
Delete
Zarządza możliwością tworzenia i pobierania raportów uprawnień.
ID: 25fb0ed7-eb8f-42b8-9a5e-836a25f67e37
OrganizationLevelData
Project-Scoped Users
Stosuje uprawnienie odmowy na poziomie systemu w przestrzeni nazw, która obsługuje grupę użytkowników o zakresie projektu. Członkowie grupy otrzymują ograniczoną widoczność danych na poziomie organizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie organizacją, Ograniczanie widoczności użytkowników dla projektów i nie tylko.
ID: F0003BCE-5F45-4F93-A25D-90FC33FE3AA9
PipelineCachePrivileges
Read
Write
Zarządza uprawnieniami do odczytu i zapisu wpisów pamięci podręcznej potoku. Te uprawnienia są przypisywane tylko do wewnętrznych zasad usługi Azure DevOps.
ID: 62a7ad6b-8b8d-426b-ba10-76a7090e94d5
ReleaseManagement
ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems
Zarządza dostępem do elementów interfejsu użytkownika usługi Release Management.
ID: 7c7d32f7-0e86-4cd6-892e-b35dbba870bd
Zabezpieczenia wyszukiwania
ReadMembers
ReadAnonymous
Ta przestrzeń nazw zabezpieczeń służy do sprawdzania, czy użytkownik jest prawidłowy lub anonimowy/publiczny.
ID: ca535e7e-67ce-457f-93fe-6e53aa4e4160
Elementy servicehook
ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents
Zarządza uprawnieniami do wyświetlania, edytowania i usuwania subskrypcji punktów zaczepienia usługi oraz publikowania zdarzeń punktu zaczepienia usługi. Te uprawnienia są automatycznie przypisywane do członków grupy Administratorzy kolekcji projektów. DeleteSubscriptions
nie jest już używany; EditSubscriptions
program może usuwać punkty zaczepienia usługi.
ID: cb594ebe-87dd-4fc9-ac2c-6a10a4c92046
UżyciePermisje
QueryUsageSummary
Zarządza uprawnieniami do wykonywania zapytań dotyczących użycia. Domyślnie wszyscy członkowie grup Administratorzy kolekcji projektów i użytkownicy, którym udzielono dostępu uczestnikom projektu, otrzymują uprawnienia do podsumowania użycia zapytań dla wszystkich użytkowników. Aby uzyskać więcej informacji, zobacz Limity szybkości.
Format tokenu: /
ID: 83abde3a-4593-424e-b45f-9898af99034d
WorkItemTrackingAdministration
ManagePermissions
DestroyAttachments
Zarządza uprawnieniami do śledzenia i niszczenia załączników przez administratora.
ID: 445d2788-c5fb-4132-bbef-09c4045ad93f
WorkItemTrackingProvision
Administer
ManageLinkTypes
Zarządza uprawnieniami do zmieniania procesów śledzenia pracy i zarządzania typami linków. Przestrzeń nazw WorkItemTrackingProvision to starsza przestrzeń nazw zabezpieczeń używana głównie w starszych wersjach lokalnych. Przestrzeń nazw Proces zastępuje tę przestrzeń nazw do zarządzania procesami w usłudze Azure DevOps Server 2019 i nowszych wersjach.
Format tokenu głównego: /$
Format tokenu dla określonego projektu: $/PROJECT_ID
ID: 5a6cd233-6615-414d-9393-48dbb252bd23
Przestarzałe i tylko do odczytu przestrzenie nazw
Następujące przestrzenie nazw są przestarzałe lub tylko do odczytu. Nie należy ich używać.
CrossProjectWidgetView
DataProvider
Favorites
Graph
Identity2
IdentityPicker
Job
Location
ProjectAnalysisLanguageMetrics
Proxy
Publish
Registry
Security
ServicingOrchestration
SettingEntries
Social
StrongBox
TeamLabSecurity
TestManagement
VersionControlItems2
ViewActivityPaneSecurity
WebPlatform
WorkItemsHub
WorkItemTracking
WorkItemTrackingConfiguration