Escopos granulares para o OAuth do Azure Active Directory

Estamos trazendo suporte para escopos granulares do Azure DevOps que podem ser usados para limitar o comportamento dos aplicativos OAuth do Azure Active Directory que se integram ao Azure DevOps.

Ao definir escopos em um aplicativo, você pode limitar as operações (por exemplo, gravar em itens de trabalho, exibir código-fonte, configurar pipelines etc.) que um aplicativo pode fazer ao se conectar ao Azure DevOps em nome do usuário. Os aplicativos que usam um único escopo de representação de usuário amplo que permite que o aplicativo execute qualquer operação que o usuário subjacente tenha permissão para fazer agora podem usar os escopos granulares para limitar seu comportamento. Por exemplo, um aplicativo que está apenas lendo itens de trabalho pode receber apenas um escopo workitem_read para que ele não possa fazer nada fora desse comportamento intencionalmente ou de outra forma.

A adição de escopos a um aplicativo exigirá que todos os aplicativos com os quais você se integre devem primeiro declarar o que estão tentando fazer por você, definindo esses escopos com antecedência. Esses escopos estarão disponíveis para você revisar antes de consentir em autorizar este aplicativo a executar ações em seu nome. Isso garante que você tenha mais visibilidade sobre o que um aplicativo está fazendo com os recursos aos quais você tem acesso.

Como desenvolvedor de aplicativos, isso ajudará a limitar o vetor de risco se um token emitido por seu aplicativo cair em mãos erradas.