Escopos granulares para o Azure Ative Directory OAuth

Estamos trazendo suporte para escopos granulares do Azure DevOps que podem ser usados para limitar o comportamento dos aplicativos OAuth do Azure Ative Directory que se integram ao Azure DevOps.

Ao definir escopos em um aplicativo, você pode limitar as operações (por exemplo, escrever em itens de trabalho, exibir código-fonte, configurar pipelines, etc.) que um aplicativo pode fazer ao se conectar ao Azure DevOps em nome do usuário. Os aplicativos que usam um único escopo amplo de representação de usuário que permite que o aplicativo execute quaisquer operações que o usuário subjacente tenha permissão para fazer agora podem usar os escopos granulares para limitar seu comportamento. Por exemplo, um aplicativo que está apenas lendo itens de trabalho pode receber apenas um escopo workitem_read para que ele não possa fazer nada fora desse comportamento intencionalmente ou de outra forma.

Adicionar escopos a um aplicativo exigirá que todos os aplicativos com os quais você se integre declarem primeiro o que estão tentando fazer por você, definindo esses escopos com antecedência. Esses escopos estarão disponíveis para você revisar antes de consentir em autorizar este aplicativo a executar ações em seu nome. Isso garante que você tenha mais visibilidade sobre o que um aplicativo está fazendo com os recursos aos quais você tem acesso.

Como desenvolvedor de aplicativos, isso ajudará a limitar o vetor de risco se um token emitido pelo seu aplicativo cair em mãos erradas.