Szczegółowe zakresy dla protokołu OAuth usługi Azure Active Directory

Udostępniamy obsługę szczegółowych zakresów usługi Azure DevOps, których można użyć do ograniczenia zachowania aplikacji OAuth usługi Azure Active Directory, które integrują się z usługą Azure DevOps.

Ustawiając zakresy w aplikacji, można ograniczyć operacje (np. zapisywanie w elementach roboczych, wyświetlanie kodu źródłowego, konfigurowanie potoków itp.) aplikacja może wykonywać podczas nawiązywania połączenia z usługą Azure DevOps w imieniu użytkownika. Aplikacje korzystające z jednego szerokiego zakresu personifikacji użytkownika, który umożliwia aplikacji wykonywanie wszelkich operacji, które użytkownik bazowy może wykonać, mogą teraz używać szczegółowych zakresów, aby ograniczyć jego zachowanie. Na przykład aplikacja, która odczytuje tylko elementy robocze, może mieć tylko zakres workitem_read, dzięki czemu nie może wykonywać żadnych czynności poza tym zachowaniem celowo lub w inny sposób.

Dodanie zakresów do aplikacji będzie wymagało, aby wszystkie integrowane z aplikacjami musiały najpierw zadeklarować, co próbują wykonać, definiując te zakresy przed upływem czasu. Te zakresy będą dostępne do przejrzenia przed wyrażeniem zgody na autoryzowanie tej aplikacji w celu wykonywania akcji w Twoim imieniu. Zapewnia to większą widoczność działania aplikacji z zasobami, do których masz dostęp.

Jako deweloper aplikacji pomoże to ograniczyć wektor ryzyka, jeśli token wystawiony przez aplikację wchodzi w błędne ręce.