Справочник по пространству имен безопасности и разрешениям для Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

В этой статье описываются допустимые пространства имен безопасности, перечислены связанные разрешения и приведены ссылки на дополнительные сведения. Пространства имен безопасности хранят списки управления доступом (списки управления доступом) на маркерах, определяя уровень доступа различных сущностей, должны выполнять определенные действия по определенным ресурсам. К этим сущностям относятся:

• Пользователи Azure DevOps
• Владельцы организации Azure DevOps
• Члены групп безопасности Azure DevOps
• Учетные записи службы Azure DevOps
• Субъекты-службы Azure DevOps

Каждое семейство ресурсов, таких как рабочие элементы или репозитории Git, защищается с помощью уникального пространства имен. Каждое пространство имен безопасности содержит ноль или несколько списков управления доступом. ACL содержит маркер, флаг наследования и набор записей управления доступом (ACEs). Каждый ACE состоит из дескриптора удостоверения, разрешенного битового маски разрешений и битовой маски запрещенных разрешений. Маркеры — это произвольные строки, представляющие ресурсы в Azure DevOps.

Примечание.

Пространства имен и маркеры действительны для всех версий Azure DevOps. Перечисленные здесь допустимы для Azure DevOps 2019 и более поздних версий. Пространства имен могут изменяться с течением времени. Чтобы получить последний список пространств имен, выполните одно из средств командной строки или REST API. Некоторые пространства имен устарели, как указано в нерекомендуемых и доступных только для чтения пространств имен далее в этой статье. Дополнительные сведения см. в запроса пространств имен безопасности

Средства управления разрешениями

Рекомендуемый метод управления разрешениями осуществляется через веб-портал. Однако чтобы задать разрешения, недоступные на портале или управлять подробными разрешениями, используйте средства командной строки или REST API:

• Для Azure DevOps Services используйте команды az devops security permission.
• Для Azure DevOps Server используйте команды TFSSecurity.
• Для репозиториев Azure DevOps Git используйте средство командной строки разрешенияtf git.
• Для репозиториев Управления версиями Team Foundation (TFVC) используйте средства командной строки разрешенияTFVC.

Для всех экземпляров Azure DevOps можно также использовать REST API безопасности.

Пространства имен безопасности и их идентификаторы

Многие пространства имен безопасности соответствуют разрешениям, заданным на странице безопасности или разрешениями веб-портале. Другие пространства имен или определенные разрешения не отображаются на веб-портале и предоставляют доступ по умолчанию членам групп безопасности или субъектам-службам Azure DevOps. Эти пространства имен группируются в следующие категории на основе того, как они управляются с помощью веб-портала:

• Уровень объекта
• Уровень проекта
• Организация или уровень сбора
• Уровень сервера (только в локальной среде)
• На основе ролей
• Только для внутреннего использования

Иерархия и маркеры

Пространство имен безопасности может быть иерархическим или неструктурированным. В иерархическом пространстве имен маркеры существуют в иерархии, где действующие разрешения наследуются от родительских маркеров к дочерним маркерам. В отличие от этого, маркеры в неструктурированном пространстве имен не имеют понятия отношения родительского-дочернего элемента между любыми двумя маркерами.

Маркеры в иерархическом пространстве имен имеют фиксированную длину для каждой части пути или переменной длины. Если маркеры имеют части пути переменной длины, то символ разделителя используется для различения того, где заканчивается одна часть пути, а другая начинается.

Маркеры безопасности не учитывает регистр. Пример маркеров для разных пространств имен приведен в следующих разделах.

Пространства имен уровня объекта и разрешения

В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне объектов. Большинство этих разрешений управляются на странице веб-портала для каждого объекта. Разрешения задаются на уровне проекта и наследуются на уровне объекта, если явно не изменено.

---

Пространство имен

Разрешения

Описание

---

AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

Управление разрешениями представления аналитики на уровне проекта и на уровне объектов для чтения, редактирования, удаления и создания отчетов. Эти разрешения можно управлять для каждого представления аналитики из пользовательского интерфейса.

формат маркера для разрешений уровня проекта: $/Shared/PROJECT_ID
Пример:$/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

идентификатор :d34d3680-dfe5-4cc6-a949-7d9c68f73cba

---

Строить

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Управляет разрешениями сборки на уровне проекта иуровня объектов.

формат маркера для разрешений сборки на уровне проекта: PROJECT_ID
Если необходимо обновить разрешения для определенного идентификатора определения сборки, например 12, маркер безопасности для этого определения сборки выглядит следующим образом:
формат маркера для разрешений на сборку на уровне проекта: PROJECT_ID/12
Пример:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

идентификатор :33344d9c-fc72-4d6f-aba5-fa317101a7e9

---

CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Управление разрешениями на уровне объекта на уровне области для создания, редактирования и удаления дочерних узлов и задания разрешений для просмотра или редактирования рабочих элементов в узле. Дополнительные сведения см. в разделе Установка разрешений и доступа для отслеживания работы, создание дочерних узлов, изменение рабочих элементов впути к области.
Пример формата маркера :POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
идентификатор :83e28ad4-2d72-4ceb-97b0-c7726d5502c3

---

панели мониторингаPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Управление разрешениями на уровне объектов панели мониторинга для редактирования и удаления панелей мониторинга и управления разрешениями для панели мониторинга проекта. Эти разрешения можно управлять с помощью панелей мониторинга пользовательского интерфейса.

идентификатор :8adf73b7-389a-4276-b638-fe1653f7efc7

---

Репозитории Git

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

управляет разрешениями репозитория Git на уровне проекта и на уровне объектов. Эти разрешения можно управлять с помощью параметров Проекта, административных интерфейсов репозиториев.

Разрешение Administer было разделено на несколько более подробных разрешений в 2017 годуи не следует использовать.
формат маркера для разрешений на уровне проекта: repoV2/PROJECT_ID
Необходимо добавить RepositoryID для обновления разрешений на уровне репозитория.

формат маркера для разрешений для конкретного репозитория: repoV2/PROJECT_ID/REPO_ID

формат маркера для разрешений на уровне ветви описан в маркерах репозитория Git дляслужбы безопасности.

идентификатор :2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87

---

Итерация

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Управление разрешениями на уровне объекта пути итерации для создания, редактирования и удаления дочерних узлов и просмотра разрешений дочерних узлов. Сведения об управлении с помощью веб-портала см. в статье Настройка разрешений и доступа для отслеживания работы, создание дочерних узлов.
формат маркера: 'vstfs:///Classification/Node/Iteration_Identifier/'
Предположим, у вас есть следующие итерации, настроенные для вашей команды.
— ProjectIteration1
  TeamIteration1
     — TeamIteration1ChildIteration1
     — TeamIteration1ChildIteration2
     — TeamIteration1ChildIteration3
  TeamIteration2
     — TeamIteration2ChildIteration1
     — TeamIteration2ChildIteration2

Чтобы обновить разрешения для ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1, маркер безопасности выглядит следующим образом:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

идентификатор :bf7bfa03-b2b7-47db-8113-fa2e002cc5b1

---

MetaTask

Administer
Edit
Delete

управление разрешениями группы задач для редактирования и удаления групп задач и администрирования разрешений группы задач. Сведения об управлении с помощью веб-портала см. в разделе Разрешения конвейера и роли безопасности, разрешения группы задач.

формат маркера для разрешений на уровне проекта: PROJECT_ID
формат маркера для разрешений уровня metaTask: PROJECT_ID/METATASK_ID

Если MetaTask имеет parentTaskId, маркер безопасности выглядит следующим образом:
формата маркеров: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

идентификатор :f6a4de49-dbe2-4704-86dc-f8ec1a294436

---

Планирование

View
Edit
Delete
Manage

Управление разрешениями для планов доставки для просмотра, изменения, удаления и управления планами доставки. Эти разрешения можно управлять с помощью веб-портала для каждого плана.

идентификатор :bed337f8-e5f3-4fb9-80da-81e17d06e7a8

---

ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Управление разрешениями определения выпуска науровня проекта и объекта.

формат маркера для разрешений на уровне проекта: PROJECT_ID
Пример:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Если необходимо обновить разрешения для определенного идентификатора определения выпуска, например 12, маркер безопасности для этого определения выпуска выглядит следующим образом:

формат маркера для определенных разрешений определения выпуска: PROJECT_ID/12
Пример:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Если идентификатор определения выпуска находится в папке, маркеры безопасности выглядят следующим образом:
формат маркера: PROJECT_ID/{folderName}/12
Для этапов маркеры выглядят следующим образом: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}.

идентификатор :c788c23e-1b46-4162-8f5e-d7585343b5de

---

WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Управляет разрешениями для запросов рабочих элементов и папок запросов. Сведения об управлении этими разрешениями на веб-портале см. в статье Настройка разрешений для запросов или папок запросов. Пример формата маркера :POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
идентификатор :71356614-aad7-4757-8f2c-0fb3bff6f680

---

Пространства имен и разрешения уровня проекта

В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне проекта. Большинство перечисленных разрешений управляются с помощью контекста администрирования веб-портала. Администраторы проектов предоставляют все разрешения на уровне проекта, а другие группы уровня проекта имеют определенные назначения разрешений.

---

Пространство имен

Разрешения

Описание

---

Проект

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

управляет разрешениями на уровне проекта.
Разрешение AGILETOOLS_BACKLOG управляет доступом к невыполненной работы в Azure Boards. Этот параметр является внутренним параметром разрешения и не должен быть изменен.

формат корневого маркера : $PROJECT
Маркер для защиты разрешений для каждого проекта в организации.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Предположим, что у вас есть проект с именем Test Project 1.
Идентификатор проекта можно получить с помощью команды az devops project show.
az devops project show --project "Test Project 1"
Команда возвращает идентификатор проекта, например xxxxxxxx-a1de-4bc8-b751-188eea17c3ba.
Таким образом, маркер для защиты разрешений, связанных с проектом, для Test Project 1:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
идентификатор :52d39943-cb85-4d7f-8fa8-c6baac873819

---

тег

Enumerate
Create
Update
Delete

Управляет разрешениями на создание, удаление, перечисление и использование тегов рабочих элементов. Вы можете управлять разрешением определения тегов с помощью административных интерфейсов разрешений.

формат маркера для разрешений на уровне проекта: /PROJECT_ID
Пример:/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

идентификатор :bb50f182-8e5e-40b8-bc21-e8752a1e7ae2

---

VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Управляет разрешениями для репозитория Team Foundation Version Control (TFVC). Для проекта существует только один репозиторий TFVC. Эти разрешения можно управлять с помощью репозиториев.

идентификатор :a39371cf-0841-4c16-bbd3-276e341bc052

---

Пространства имен уровня организации и разрешения

В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне организации. Большинство перечисленных разрешений управляются с помощью параметров организации контексте веб-портала. Владельцу организации и членам группы администраторов коллекции проектов предоставляются большинство этих разрешений. Дополнительные сведения см. в разделе Изменение разрешений на уровне коллекции проекта.

---

Пространство имен

Разрешения

Описание

---

AuditLog

Read
Write
Manage_Streams
Delete_Streams

Управление разрешениями аудита для чтения или записи в журнал аудита и управления или удаления потоков аудита.

формат маркера: /AllPermissions
идентификатор :a6cc6381-a1ca-4b36-b3c1-4e65211e82b6

---

СборкаAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies

управляет доступом к просмотру, управлению, использованию или администрированию разрешений для ресурсов сборки.

идентификатор :302acaca-b667-436d-a946-87133492041c

---

Коллекция

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Управляет разрешениями на уровне организации или коллекции.

идентификатор :3e65f728-f8bc-4ecd-8764-7e378b19bfa7

---

Процедура

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions

управление разрешениями для создания, удаления и администрирования процессов.
идентификатор :2dab47f9-bd70-49ed-9bd5-8eb051e59c02

---

Рабочие пространства

Read
Use
Checkin
Administer

Управляет разрешениями для администрирования изменений, рабочих областей и возможности создания рабочей области на уровне организации или коллекции. Пространство имен рабочих областей применяется к репозиторию TFVC.

формат корневого маркера : /
формат маркера для конкретной рабочей области: /{workspace_name};{owner_id}

идентификатор :93bafc04-9075-403a-9367-b7164eac6b5c

---

VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Управляет разрешениями для репозитория Team Foundation Version Control (TFVC).

идентификатор :66312704-deb5-43f9-b51c-ab4ff5e351c3

---

Пространства имен и разрешения на основе ролей

В следующей таблице описаны пространства имен безопасности и разрешения, используемые для управления безопасностью на основе ролей. Вы можете управлять назначениями ролей с помощью веб-портала для ресурсов конвейера, как описано, разрешения конвейера и роли безопасности.

---

Пространство имен

Разрешения

Описание

---

DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Управляет разрешениями для доступа к ресурсам пула агентов. По умолчанию на уровне проекта назначаются следующие роли и разрешения и наследуются для каждого созданного пула агентов:

• роль чтения (только разрешенияView) всем членам группы допустимых пользователей проекта
• роль администратора (все разрешения) членам групп администраторов сборки, администраторов проектов и администраторов выпуска.
• роль пользователя (View, Useи Create разрешения) всем членам группы участников
• роль создателя (View, Useи разрешения Create) всем членам группы участников
  
  идентификатор :101eae8c-1709-47f9-b228-0e476c35b3ba

---

Окружающая среда

View
Manage
ManageHistory
Administer
Use
Create

Управляет разрешениями для создания сред и управления ими. По умолчанию назначаются следующие разрешения:

• роль чтения (только разрешенияView) всем членам группы допустимых пользователей проекта
• роль создателя (View, Useи разрешения Create) всем членам группы участников
• роль Creator (View, Useи разрешения Create) всем членам группы "Администраторы проектов"
• роль администратора (все разрешения) пользователю, создавшему определенную среду.
  
  идентификатор :83d4c2e6-e57d-4d6e-892b-b87222b7ad20

---

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Роль диспетчера — единственная роль, используемая для управления безопасностью расширений Marketplace. Члены роли диспетчера могут устанавливать расширения и отвечать на запросы на установку расширений. Другие разрешения назначаются автоматически членам групп безопасности по умолчанию и субъектов-служб. Сведения о добавлении пользователей в роль диспетчера см. в статье Управление разрешениями расширения.

идентификатор :5d6d7b80-3c63-4ab0-b699-b6a5910f8029

---

Библиотека

View
Administer
Create
ViewSecrets
Use
Owner

Управляет разрешениями для создания элементов библиотеки и управления ими, включая безопасные файлы и группы переменных. Членство в роли для отдельных элементов автоматически наследуется от библиотеки. По умолчанию назначаются следующие разрешения:

• роль читателя (только разрешенияView) всем членам группы допустимых пользователей проекта и учетной записи службы сборки коллекции проектов
• роль создателя (View, Useи разрешения Create) всем членам группы участников
• роль Создателя (View, Use, Createи разрешения Owner) участнику, создавшему элемент библиотеки
• роль администратора (все разрешения) членам групп администраторов сборки, администраторов проектов и администраторов выпуска.
  Дополнительные сведения см. в разделе роли безопасности ресурсов библиотеки.
  
  идентификатор :b7e84409-6553-448a-bbb2-af228e07cbeb

---

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Управляет разрешениями для создания подключений служб и управления ими. Членство в роли для отдельных элементов автоматически наследуется от ролей уровня проекта. По умолчанию назначаются следующие роли:

• роль читателя (только разрешенияView) всем членам группы допустимых пользователей проекта и учетной записи службы сборки коллекции проектов
• роль создателя (View, Useи разрешения Create) членам группы безопасности службы Endpoint Creators.
• роль администратора (все разрешения) членам группы безопасности службы "Администраторы конечных точек".
  Роли назначаются через роли безопасности подключения службы.
  
  идентификатор :49b48001-ca20-4adc-8111-5b60c903a50c

---

Внутренние пространства имен и разрешения

В следующей таблице описаны пространства имен безопасности и разрешения, которые не отображаются на веб-портале. Они в основном используются для предоставления доступа членам групп безопасности по умолчанию или внутренним ресурсам. Настоятельно рекомендуется не изменять эти параметры разрешений каким-либо образом.

---

Пространство имен

Разрешения

Описание

---

AccountAdminSecurity

Read
Create
Modify

Управляет разрешениями на чтение или изменение владельца учетной записи организации. Эти разрешения назначаются владельцу организации и членам группы администраторов коллекции проектов.

идентификатор :11238e09-49f2-40c7-94d0-8f0307204ce4

---

Аналитика

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Управляет разрешениями для чтения, администрирования разрешений и выполнения запросов к службе Аналитики.

формат маркера для разрешений на уровне проекта: $/PROJECT_ID
Пример:$/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

идентификатор :58450c49-b02d-465a-ab12-59ae512d6531

---

BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Задает разрешения для чтения, удаления, создания и управления безопасностью хранилища данных. Эти разрешения назначаются нескольким субъектам-службам Azure DevOps.

идентификатор :19F9F97D-7CB7-45F7-8160-DD308A6BD48E

---

Доски

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Управляет разрешениями и доступом к доскам.

идентификатор :251e12d9-bea3-43a8-bfdb-901b98c0125e

---

BoardsExternalIntegration

Read
Write

Управляет разрешениями на чтение и запись внешних интеграции с Azure Boards.

идентификатор :5ab15bc8-4ea1-d0f3-8344-cab8fe976877

---

Чат

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Управляет разрешениями для служб чатов, интегрированных с Azure DevOps, например Slack и Microsoft Teams. Дополнительные сведения см. в статье Azure Boards сSlack, Azure Boards сMicrosoft Teams, Azure Pipelines сSlack, Azure Pipelines сMicrosoft Teams, Azure Repos с Slackи Azure Repos с Microsoft Teams.

идентификатор :bc295513-b1a2-4663-8d1a-7017fd760d18

---

Потоки обсуждения

Administer
GenericRead
GenericContribute
Moderate

Управляет разрешениями для просмотра, управления, модерации и участия в обсуждении кода дляAzure Pipelines.

идентификатор :0d140cae-8ac1-4f48-b6d1-c93ce0301a12

---

EventPublish

Read
Write

Предоставляет доступ для чтения и записи для обработчика уведомлений.

идентификатор :7cd317f2-adc6-4b6c-8d99-6074faeaf173

---

EventSubscriber

GENERIC_READ
GENERIC_WRITE

Предоставляет доступ на чтение и запись для подписчиков уведомлений.

идентификатор :2bf24a2b-70ba-43d3-ad97-3d9e1f75622f

---

EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Управляет разрешениями члена для просмотра, редактирования и отмены подписки на уведомления или создания подписки SOAP.

идентификатор :58b176e7-3411-457a-89d0-c6d0ccb3c52b

Идентичность

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Управляет разрешениями на чтение, запись и удаление сведений об удостоверениях учетной записи пользователя; управление членством в группах и создание и восстановление областей удостоверений. Разрешение ManageMembership автоматически предоставляется членам групп "Администраторы проектов" и "Администраторы коллекции проектов".

формат маркера для разрешений на уровне проекта: PROJECT_ID
Пример:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Изменение разрешений уровня группы для идентификатора источника группы [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
маркера: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

идентификатор :5a27515b-ccd7-42c9-84f1-54c998f03866

---

Лицензирование

Read
Create
Modify
Delete
Assign
Revoke

Управляет возможностью просмотра, добавления, изменения и удаления уровней лицензий. Эти разрешения автоматически предоставляются членам групп администраторов коллекции проектов.

идентификатор :453e2db3-2e81-474f-874d-3bf51027f2ee

---

PermissionLevel

Read
Create
Update
Delete

Управляет возможностью создания и скачивания отчетов разрешений.

идентификатор :25fb0ed7-eb8f-42b8-9a5e-836a25f67e37

---

OrganizationLevelData

Project-Scoped Users

Применяет разрешение на запрет на уровне системы в пространстве имен, которое поддерживает группу пользователей Project-Scoped. Члены группы получают ограниченную видимость данных уровня организации. Дополнительные сведения см. в статье "Управление организацией", ограничение видимости пользователей для проектов и многое другое.
идентификатор :F0003BCE-5F45-4F93-A25D-90FC33FE3AA9

---

PipelineCachePrivileges

Read
Write

Управляет разрешениями для чтения и записи записей кэша конвейера. Эти разрешения назначаются только внутренним принципам службы Azure DevOps.
идентификатор :62a7ad6b-8b8d-426b-ba10-76a7090e94d5

---

ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Управляет доступом к элементам пользовательского интерфейса управления выпусками.

идентификатор :7c7d32f7-0e86-4cd6-892e-b35dbba870bd

---

SearchSecurity

ReadMembers ReadAnonymous

Это пространство имен безопасности используется для того, чтобы узнать, является ли пользователь допустимым или анонимным или общедоступным.

идентификатор :ca535e7e-67ce-457f-93fe-6e53aa4e4160

---

ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Управляет разрешениями для просмотра, редактирования и удаления подписок на перехватчик служб и публикации событий перехватчика служб. Эти разрешения автоматически назначаются членам группы администраторов коллекции проектов. DeleteSubscriptions больше не используется; EditSubscriptions может удалять перехватчики служб.

идентификатор :cb594ebe-87dd-4fc9-ac2c-6a10a4c92046

---

ИспользованиеPermissions

QueryUsageSummary

Управляет разрешениями для запроса использования. По умолчанию всем членам групп "Администраторы коллекции проектов" и пользователям, которым предоставлен доступ заинтересованных лиц, предоставляется разрешение на запрос сводки по использованию для всех пользователей. Дополнительные сведения см. в разделе Ограничения скорости.

формат маркера: /
идентификатор :83abde3a-4593-424e-b45f-9898af99034d

---

WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

Управляет разрешениями для администрирования отслеживания работы и уничтожения вложений.
идентификатор :445d2788-c5fb-4132-bbef-09c4045ad93f

---

WorkItemTrackingProvision

Administer
ManageLinkTypes

Управляет разрешениями для изменения процессов отслеживания работы и управления типами ссылок. Пространство имен WorkItemTrackingProvision — это более старое пространство имен безопасности, которое в основном используется для более ранних локальных версий. Пространство имен процесса заменяет это пространство имен для управления процессами в Azure DevOps Server 2019 и более поздних версиях.

формат корневого маркера : /$
формат токена для конкретного проекта: $/PROJECT_ID

идентификатор :5a6cd233-6615-414d-9393-48dbb252bd23

---

Нерекомендуемые и доступные только для чтения пространства имен

Следующие пространства имен являются устаревшими или доступны только для чтения. Их не следует использовать.

• CrossProjectWidgetView
• DataProvider
• Favorites
• Graph
• Identity2
• IdentityPicker
• Job
• Location
• ProjectAnalysisLanguageMetrics
• Proxy
• Publish
• Registry
• Security

• ServicingOrchestration
• SettingEntries
• Social
• StrongBox
• TeamLabSecurity
• TestManagement
• VersionControlItems2
• ViewActivityPaneSecurity
• WebPlatform
• WorkItemsHub
• WorkItemTracking
• WorkItemTrackingConfiguration

---

Связанные статьи

• Сведения о безопасности, проверке подлинности и авторизации
• Использование REST API пространств имен безопасности
• использовать TFSSecurity
• Понять термины безопасности с помощью глоссария безопасности