Autenticar no Azure DevOps com Microsoft Entra

O Microsoft Entra ID é um produto separado da Microsoft com sua própria plataforma. Como um provedor líder de gerenciamento de identidade e acesso (IAM), Microsoft Entra ID se concentra no gerenciamento de membros da equipe e na proteção dos recursos da empresa. Você pode conectar a sua organização do Azure DevOps a um locatário do Microsoft Entra ID, que oferece muitos benefícios para a sua empresa.

Uma vez conectada, a plataforma de aplicativos Microsoft Identity além do Microsoft Entra ID oferece várias vantagens para desenvolvedores de aplicativos e administradores de organizações. Você pode registrar um aplicativo para acessar locatários do Azure e definir as permissões necessárias a partir dos recursos do Azure, incluindo o Azure DevOps, que existe fora da construção do locatário do Azure.

Os aplicativos Microsoft Entra e os aplicativos Azure DevOps são entidades separadas sem conhecimento um do outro. Os métodos de autenticação diferem: o Microsoft Entra usa OAuth, enquanto o Azure DevOps usa seu próprio OAuth. aplicações OAuth do Microsoft Entra ID emitem tokens do Microsoft Entra, não tokens de acesso do Azure DevOps. Esses tokens têm uma duração padrão de uma hora antes da expiração.

Desenvolver aplicativos de DevOps do Azure no Microsoft Entra

Leia a documentação do Microsoft Entra cuidadosamente para entender a nova funcionalidade e diferentes expectativas durante a configuração.

Apoiamos o desenvolvimento da sua aplicação com orientações para:

• Aplicações OAuth do Microsoft Entra (aplicações em nome de utilizadores) para aplicações que executam ações em nome de utilizadores que deram consentimento.
• Entidades de serviço e identidades geridas do Microsoft Entra (aplicações que operam em nome próprio) para aplicações que realizam tarefas automatizadas dentro de uma equipa.

Substitua PATs por tokens Microsoft Entra

tokens de acesso pessoal (PATs) são populares para autenticação de DevOps do Azure devido à sua facilidade de criação e uso. No entanto, um gerenciamento e armazenamento de PAT deficientes podem levar ao acesso não autorizado às suas organizações de DevOps do Azure. Os PATs de longa duração ou com escopo excessivo aumentam o risco de danos causados por um PAT vazado.

Os tokens Microsoft Entra oferecem uma alternativa segura, durando apenas uma hora antes de exigir uma atualização. Os protocolos de autenticação para gerar tokens Entra são mais robustos e seguros. Medidas de segurança, como políticas de acesso condicional, protegem contra roubo de token e ataques de repetição. Incentivamos os usuários a explorar o uso de tokens Microsoft Entra em vez de PATs. Partilhamos casos de utilização PAT populares e formas de substituir PATs por tokens Entra neste fluxo de trabalho.

Solicitações ad-hoc para APIs REST do Azure DevOps

Você também pode usar o Azure CLI para obter tokens de acesso do Microsoft Entra ID para que os usuários chamem APIs REST do Azure DevOps. Como os tokens de acesso do Entra duram apenas uma hora, eles são ideais para operações pontuais rápidas, como chamadas de API que não precisam de um token persistente.

Adquirir tokens de usuário na CLI do Azure

1. Entre na CLI do Azure usando o comando az login e siga as instruções na tela.
2. Defina a assinatura correta para o usuário conectado com esses comandos bash. Verifique se a ID da assinatura do Azure está associada ao locatário conectado à organização do Azure DevOps que você está tentando acessar. Se não souber o seu ID de subscrição, pode encontrá-lo no portal do Azure.

  az account set -s <subscription-id>

3. Gere um token de acesso do Microsoft Entra ID com o az account get-access-token ID do recurso do Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.

az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv

Para obter mais informações, consulte os documentos do Databricks.

Adquirir tokens de entidade de serviço na CLI do Azure

As entidades de serviço também podem usar tokens de acesso temporários do Microsoft Entra ID para operações pontuais. Para mais informações, consulte Entidades de serviço e identidades geridas/Obter um token do Microsoft Entra ID com a Azure CLI.

Operações do Git com o Git Credential Manager

Você também pode usar tokens do Microsoft Entra para executar operações Git. Se você enviar regularmente para repositórios git, usar o do Git Credential Manager para solicitar e gerenciar facilmente suas credenciais de token OAuth do Microsoft Entra, desde que oauth esteja definido como o credential.azReposCredentialTypepadrão.

Artigos relacionados

• Criar integração do Azure DevOps com aplicativos Microsoft Entra OAuth
• Usar entidades de serviço & identidades geridas no Azure DevOps