Novo tipo de conexão de serviço para pipelines para autenticação com o Azure DevOps

Tarefas em um pipeline acessam recursos no Azure DevOps usando um token de acesso de trabalho, disponível por meio da variável interna System.AccessToken. Por exemplo, uma tarefa de "checkout" usa esse token para realizar a autenticação no repositório. Da mesma forma, um script do PowerShell pode usar esse token para acessar AS APIs REST do Azure DevOps. No entanto, as permissões desse token são baseadas na identidade do Project Build Service, o que significa que todos os tokens de acesso ao trabalho em um projeto têm permissões idênticas. Isso concede acesso excessivo a todos os pipelines dentro do projeto.

Para resolver isso, um novo tipo de conexão de serviço chamado "Conexão de Serviço do Azure DevOps" está sendo introduzido. Ele usa uma entidade de serviço do Azure que pode ser adicionada como um usuário no Azure DevOps com permissões específicas. Isso permite que você se autentique em recursos de uma tarefa de pipeline usando essa conexão de serviço e restrinja o acesso a pipelines específicos.

Primeiro, apresentaremos o novo tipo de conexão e algumas tarefas que funcionam com ele. Expandiremos gradualmente a lista de tarefas que podem usar o tipo de conexão ao longo do tempo.