Escolher o mecanismo de autenticação certo
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Para aplicativos que fazem interface com os Serviços de DevOps do Azure, você deve autenticar para obter acesso a recursos como APIs REST. Este artigo fornece orientação para ajudá-lo a escolher o mecanismo de autenticação certo para seu aplicativo.
A tabela a seguir descreve os conceitos de autenticação sugeridos a serem considerados para diferentes cenários de aplicativos. Consulte as descrições, exemplos e exemplos de código que o acompanham para ajudá-lo a começar.
| Tipo de aplicação | Description | Exemplo | Mecanismo de autenticação | Amostras de código |
|---|---|---|---|---|
| Aplicativo interativo do lado do cliente (REST) | Aplicativo cliente que permite a interação do usuário chamando APIs REST dos Serviços de DevOps do Azure | Aplicativo de console enumerando projetos em uma organização | OAuth com a Biblioteca de Autenticação da Microsoft (MSAL) | amostra |
| Aplicativo interativo do lado do cliente (bibliotecas cliente) | Aplicativo cliente que permite a interação do usuário chamando os Serviços de DevOps do Azure bibliotecas de cliente | Aplicativo de console enumerando bugs atribuídos ao usuário atual | OAuth com bibliotecas de cliente | amostra |
| Aplicativo não interativo do lado do cliente | Aplicação do lado do cliente apenas texto sem cabeça | Aplicativo de console exibindo todos os bugs atribuídos a um usuário | OAuth com o fluxo de perfil de dispositivo | amostra |
| Token de acesso pessoal (PAT) | Token ao portador para aceder aos seus próprios recursos | Utilize o seu PAT em vez da sua palavra-passe para chamadas REST ad hoc. Não é ideal para aplicações. | PATs | exemplos |
| Aplicativo de servidor | Aplicativo Azure DevOps Server usando a biblioteca Client OM | Extensão do Azure DevOps Server exibindo painéis de bugs da equipe | Bibliotecas de clientes | amostra |
| Entidade de serviço ou identidade gerenciada | Aplicação com identidade própria | Função do Azure para criar itens de trabalho | Entidades de serviço e identidades gerenciadas | amostra |
| Extensão Web | Serviços de DevOps do Azure extensão | Extensão Agile Cards | SDK de extensão da Web VSS | amostra |
Dica
de autenticação baseada em Entra, é nossa recomendação para desenvolvedores que desejam integrar com os Serviços de DevOps do Azure, se você estiver interagindo com contas do Microsoft Entra. Os aplicativos de exemplo OAuth nesta tabela estão usando plataforma de identidade do Microsoft Entra para desenvolvimento de aplicativos.
Para autenticação com contas da Microsoft (MSA) ou usuários do Azure DevOps Server, consulte nossas bibliotecas de cliente ou PATs.
Leia mais em nosso blog sobre como estamos reduzindo o uso de PAT em nossa plataforma.
Perguntas mais frequentes (FAQ)
P: Por que minha conta de serviço não pode acessar a API REST do Azure DevOps?
R: A sua conta de serviço pode não ter "materializado". As contas de serviço sem permissões de início de sessão interativo não podem iniciar sessão. Para obter mais informações, consulte esta solução alternativa para obter uma solução.
P: Devo usar as Bibliotecas de Cliente dos Serviços de DevOps do Azure ou as APIs REST dos Serviços de DevOps do Azure para meu aplicativo interativo do lado do cliente?
R: Recomendamos usar as Bibliotecas de Cliente dos Serviços de DevOps do Azure em APIs REST para acessar os recursos dos Serviços de DevOps do Azure. Eles são mais simples e fáceis de manter quando as versões do ponto de extremidade REST mudam. Se as bibliotecas de cliente não tiverem determinadas funcionalidades, use o MSAL para autenticação com nossas APIs REST.
P: Esta orientação é apenas para os Serviços de DevOps do Azure ou também é relevante para utilizadores do Azure DevOps Server no local?
R: Esta orientação destina-se principalmente aos utilizadores dos Serviços de DevOps do Azure. Para usuários do Servidor Devops do Azure, recomendamos usar as Bibliotecas de Cliente, a Autenticação do Windows ou os Tokens de Acesso Pessoal (PATs) para autenticação.
P: E se eu quiser que meu aplicativo se autentique com o Servidor de DevOps do Azure e os Serviços de DevOps do Azure?
R: A prática recomendada é ter caminhos de autenticação separados para o Servidor de DevOps do Azure e os Serviços de DevOps do Azure. Você pode usar o requestContext para determinar qual serviço está acessando e, em seguida, aplicar o mecanismo de autenticação apropriado. Se preferir uma solução unificada, os PATs funcionam para ambos.