Autentique-se no Azure DevOps usando o Microsoft Entra
O Microsoft Entra ID é um produto separado da Microsoft com sua própria plataforma. Como um provedor líder de IAM (gerenciamento de identidade e acesso), o Microsoft Entra ID se concentra no gerenciamento de membros da equipe e na proteção dos recursos da empresa. Você pode conectar sua organização do Azure DevOps a um locatário do Microsoft Entra ID, que proporciona muitos benefícios para sua empresa.
Uma vez conectada, a plataforma de aplicativos do Microsoft Identity sobre a ID do Microsoft Entra oferece várias vantagens para desenvolvedores de aplicativos e administradores da organização. Você pode registrar um aplicativo para acessar locatários do Azure e definir as permissões necessárias dos recursos do Azure, incluindo o Azure DevOps, que existe fora do constructo de locatário do Azure.
Aplicativos do Microsoft Entra e aplicativos do Azure DevOps são entidades separadas sem conhecimento uns dos outros. Os métodos de autenticação diferem: o Microsoft Entra usa o OAuth, enquanto o Azure DevOps usa seu próprio OAuth. Os aplicativos OAuth do Microsoft Entra ID emitem tokens do Microsoft Entra, não tokens de acesso do Azure DevOps. Esses tokens têm uma duração de uma hora padrão antes da expiração.
Desenvolver aplicativos do Azure DevOps no Microsoft Entra
Leia a documentação do Microsoft Entra com atenção para entender a nova funcionalidade e as diferentes expectativas durante a configuração.
Damos suporte ao desenvolvimento do aplicativo com diretrizes para:
- Aplicativos Microsoft Entra OAuth (aplicativos em nome do usuário) por aplicativos que executam ações em nome de usuários que consentem.
- Entidades de serviço e identidades gerenciadas do Microsoft Entra (em aplicativos próprios) para aplicativos que executam ferramentas automatizadas em uma equipe.
Substituir PATs por tokens do Microsoft Entra
Tokens de Acesso Pessoal (PATs) são populares para a autenticação do Azure DevOps devido à facilidade de criação e uso. No entanto, o gerenciamento e o armazenamento inadequados de PAT podem levar à possibilidade de acesso não autorizado às suas organizações do Azure DevOps. PATs com escopo excessivo ou de longa duração aumentam o risco de danos em caso de vazamento de um PAT.
Os tokens do Microsoft Entra oferecem uma alternativa segura, durando apenas uma hora antes de exigir uma atualização. Os protocolos de autenticação para gerar tokens do Entra são mais robustos e seguros. Medidas de segurança como políticas de acesso condicional proteger contra roubo de tokens e ataques de repetição. Incentivamos os usuários a explorar o uso de tokens do Microsoft Entra em vez de PATs. Compartilhamos casos de uso populares do PAT e maneiras de substituir PATs por tokens Entra neste fluxo de trabalho.
Solicitações ad hoc para APIs REST do Azure DevOps
Você também pode usar a CLI do Azure para obter tokens de acesso do Microsoft Entra ID para que os usuários possam chamar APIs REST do Azure DevOps. Como os tokens de acesso do Entra duram apenas uma hora, eles são ideais para operações pontuais rápidas, como chamadas à API que não precisam de um token persistente.
Adquirir tokens de usuário na CLI do Azure
- Entre na CLI do Azure usando o comando
az logine siga as instruções na tela. - Defina a assinatura correta para o usuário logado utilizando esses comandos bash. Verifique se a ID da assinatura do Azure está associada ao locatário conectado à organização do Azure DevOps que você está tentando acessar. Se você não souber sua ID de assinatura, poderá encontrá-la no portal do Azure.
az account set -s <subscription-id>
- Gere um token de acesso ao Microsoft Entra ID com a
az account get-access-tokenID do recurso do Azure DevOps:499b84ac-1321-427f-aa17-267ca6975798.
az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv
Para obter mais informações, consulte os documentos do Databricks.
Adquirir tokens de entidade de serviço na CLI do Azure
As entidades de serviço também podem usar tokens de acesso ad-hoc do Microsoft Entra ID para operações ad-hoc. Para obter mais informações, consulte Princípios de serviço e identidades gerenciadas/Obtenha um token de ID do Microsoft Entra com a CLI do Azure.
Operações do Git com o Git Credential Manager
Você também pode usar tokens do Microsoft Entra para executar operações do Git. Se você enviar por push regularmente para repositórios git, usar o Git Credential Manager para solicitar e gerenciar facilmente suas credenciais de token OAuth do Microsoft Entra, desde que oauth seja definido como o credential.azReposCredentialType padrão.