Пространство имен и ссылка на разрешение в системе безопасности для Azure DevOps
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
В этой статье описываются допустимые пространства имен безопасности, перечислены связанные разрешения и приведены ссылки на дополнительные сведения. Пространства имен безопасности хранят списки управления доступом (ACL) на маркерах, определяя уровень доступа различных сущностей, должны выполнять определенные действия по определенным ресурсам. К этим сущностям относятся:
- Пользователи Azure DevOps
- Владелец организации Azure DevOps
- Члены групп безопасности Azure DevOps
- Учетные записи службы Azure DevOps
- Субъекты-службы Azure DevOps
Каждое семейство ресурсов, таких как рабочие элементы или репозитории Git, защищается с помощью уникального пространства имен. Каждое пространство имен безопасности содержит ноль или несколько списков управления доступом. ACL содержит маркер, флаг наследования и набор записей управления доступом (ACEs). Каждый ACE состоит из дескриптора удостоверения, разрешенного битового маски разрешений и битовой маски запрещенных разрешений. Маркеры — это произвольные строки, представляющие ресурсы в Azure DevOps.
Примечание.
Пространства имен и маркеры действительны для всех версий Azure DevOps. Перечисленные здесь допустимы для Azure DevOps 2019 и более поздних версий. Пространства имен могут изменяться с течением времени. Чтобы получить последний список пространств имен, выполните одно из средств командной строки или REST API. Некоторые пространства имен устарели, как указано в разделе "Нерекомендуемые и доступные только для чтения пространства имен" далее в этой статье. Дополнительные сведения см. в статье "Запрос пространств имен безопасности"
Средства управления разрешениями
Рекомендуемый метод управления разрешениями осуществляется через веб-портал. Однако чтобы задать разрешения, недоступные на портале или управлять подробными разрешениями, используйте средства командной строки или REST API:
- Для Azure DevOps Services используйте
az devops security permission
команды. - Для Azure DevOps Server используйте команды TFSSecurity.
- Для репозиториев Git Для Azure DevOps используйте средство командной строки разрешений tf git.
- Для репозиториев система управления версиями Team Foundation (TFVC) используйте программу командной строки разрешений TFVC.
Для всех экземпляров Azure DevOps можно также использовать REST API безопасности.
Пространства имен безопасности и их идентификаторы
Многие пространства имен безопасности соответствуют разрешениям, заданным на странице веб-портала "Безопасность или разрешения ". Другие пространства имен или определенные разрешения не отображаются на веб-портале и предоставляют доступ по умолчанию членам групп безопасности или субъектам-службам Azure DevOps. Эти пространства имен группируются в следующие категории на основе того, как они управляются с помощью веб-портала:
- Уровень объекта
- Уровень проекта
- Организация или уровень сбора
- Уровень сервера (только в локальной среде)
- На основе ролей
- Только для внутреннего использования
Иерархия и маркеры
Пространство имен безопасности может быть иерархическим или неструктурированным. В иерархическом пространстве имен маркеры существуют в иерархии, где действующие разрешения наследуются от родительских маркеров к дочерним маркерам. В отличие от этого, маркеры в неструктурированном пространстве имен не имеют понятия отношения родительского-дочернего элемента между любыми двумя маркерами.
Маркеры в иерархическом пространстве имен имеют фиксированную длину для каждой части пути или переменной длины. Если маркеры имеют части пути переменной длины, то символ разделителя используется для различения того, где заканчивается одна часть пути, а другая начинается.
Маркеры безопасности не учитывает регистр. Пример маркеров для разных пространств имен приведен в следующих разделах.
Пространства имен уровня объекта и разрешения
В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне объектов. Большинство этих разрешений управляются на странице веб-портала для каждого объекта. Разрешения задаются на уровне проекта и наследуются на уровне объекта, если явно не изменено.
Пространство имен
Разрешения
Description
Read
Edit
Delete
Execute
ManagePermissions
Управляет разрешениями аналитики на уровне проекта и на уровне объектов для чтения, редактирования, удаления и создания отчетов. Эти разрешения можно управлять для каждого представления аналитики из пользовательского интерфейса.
Формат маркера для разрешений уровня проекта: $/Shared/PROJECT_ID
Пример: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
ИДЕНТИФИКАТОР: d34d3680-dfe5-4cc6-a949-7d9c68f73cba
Сборка
ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions
Управляет разрешениями сборки на уровне проекта и на уровне объектов.
Формат токена для разрешений сборки на уровне проекта: PROJECT_ID
Если необходимо обновить разрешения для определенного идентификатора определения сборки, например 12, маркер безопасности для этого определения сборки выглядит следующим образом:
Формат токена для разрешений на сборку на уровне проекта: PROJECT_ID/12
Пример: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
ИДЕНТИФИКАТОР: 33344d9c-fc72-4d6f-aba5-fa317101a7e9
CSS
GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES
Управляет разрешениями уровня объекта на уровне области для создания, редактирования и удаления дочерних узлов и задания разрешений для просмотра или редактирования рабочих элементов в узле. Дополнительные сведения см. в разделе "Настройка разрешений и доступа для отслеживания работы", "Создание дочерних узлов", изменение рабочих элементов в пути к области.
Пример формата токена: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ИДЕНТИФИКАТОР: 83e28ad4-2d72-4ceb-97b0-c7726d5502c3
Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards
Управляет разрешениями на уровне объекта панели мониторинга для редактирования и удаления панелей мониторинга и управления разрешениями для панели мониторинга проекта. Эти разрешения можно управлять с помощью пользовательского интерфейса панелей мониторинга.
ИДЕНТИФИКАТОР: 8adf73b7-389a-4276-b638-fe1653f7efc7
Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy
Управляет разрешениями репозитория Git на уровне проекта и на уровне объектов. Эти разрешения можно управлять с помощью параметров проекта, административного интерфейса репозиториев.
Разрешение Administer
было разделено на несколько более подробных разрешений в 2017 году и не должно использоваться.
Формат токена для разрешений на уровне проекта: repoV2/PROJECT_ID
Необходимо добавить RepositoryID
к обновлению разрешений на уровне репозитория.
Формат маркера для разрешений для конкретного репозитория: repoV2/PROJECT_ID/REPO_ID
Формат токена для разрешений на уровне ветви описан в маркерах репозитория Git для службы безопасности.
ИДЕНТИФИКАТОР: 2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87
Итерация
GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
Управляет разрешениями на создание, изменение и удаление дочерних узлов и просмотр разрешений дочернего узла на уровне объекта. Сведения об управлении с помощью веб-портала см. в статье "Настройка разрешений и доступа для отслеживания работы", создание дочерних узлов.
Формат токена: 'vstfs:///Classification/Node/Iteration_Identifier/'
Предположим, у вас есть следующие итерации, настроенные для вашей команды.
— ProjectIteration1
TeamIteration1
— TeamIteration1ChildIteration1
— TeamIteration1ChildIteration2
— TeamIteration1ChildIteration3
TeamIteration2
— TeamIteration2ChildIteration1
— TeamIteration2ChildIteration2
Чтобы обновить разрешения для ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1
, маркер безопасности выглядит следующим образом:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier
ИДЕНТИФИКАТОР: bf7bfa03-b2b7-47db-8113-fa2e002cc5b1
MetaTask
Administer
Edit
Delete
Управляет разрешениями группы задач для редактирования и удаления групп задач и администрирования разрешений группы задач. Сведения об управлении с помощью веб-портала см. в разделе "Разрешения конвейера" и роли безопасности, разрешения группы задач.
Формат токена для разрешений на уровне проекта: PROJECT_ID
Формат токена для разрешений уровня metaTask: PROJECT_ID/METATASK_ID
Если MetaTask имеет parentTaskId, маркер безопасности выглядит следующим образом:
Формат токена: PROJECT_ID/PARENT_TASK_ID/METATASK_ID
ИДЕНТИФИКАТОР: f6a4de49-dbe2-4704-86dc-f8ec1a294436
Планирование
View
Edit
Delete
Manage
Управляет разрешениями для планов доставки для просмотра, редактирования, удаления и управления планами доставки. Эти разрешения можно управлять с помощью веб-портала для каждого плана.
ИДЕНТИФИКАТОР: bed337f8-e5f3-4fb9-80da-81e17d06e7a8
ReleaseManagement
ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension
Управляет разрешениями определения выпуска на уровне проекта и объекта.
Формат токена для разрешений на уровне проекта: PROJECT_ID
Пример: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Если необходимо обновить разрешения для определенного идентификатора определения выпуска, например 12, маркер безопасности для этого определения выпуска выглядит следующим образом:
Формат токена для определенных разрешений определения выпуска: PROJECT_ID/12
Пример: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Если идентификатор определения выпуска находится в папке, маркеры безопасности выглядят следующим образом:
Формат токена: PROJECT_ID/{folderName}/12
Для этапов маркеры выглядят следующим образом: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}
ИДЕНТИФИКАТОР: c788c23e-1b46-4162-8f5e-d7585343b5de
WorkItemQueryFolders
Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo
Управляет разрешениями для запросов рабочих элементов и папок запросов. Сведения об управлении этими разрешениями на веб-портале см. в разделе "Настройка разрешений" для запросов или папок запросов.
Пример формата токена: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }
.
ИДЕНТИФИКАТОР: 71356614-aad7-4757-8f2c-0fb3bff6f680
Пространства имен и разрешения уровня проекта
В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне проекта. Большинство перечисленных разрешений управляются с помощью контекста администрирования веб-портала. Администраторы проектов предоставляют все разрешения на уровне проекта, а другие группы уровня проекта имеют определенные назначения разрешений.
Пространство имен
Разрешения
Description
Project
GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS
Управляет разрешениями на уровне проекта.
Разрешение AGILETOOLS_BACKLOG
управляет доступом к невыполненной работы в Azure Boards. Этот параметр является внутренним параметром разрешения и не должен быть изменен.
Формат корневого маркера: $PROJECT
Маркер для защиты разрешений для каждого проекта в организации.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID
.
Предположим, что у вас есть проект с именем Test Project 1
.
Идентификатор проекта для этого проекта можно получить с помощью az devops project show
команды.
az devops project show --project "Test Project 1"
Команда возвращает идентификатор проекта, например xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
.
Таким образом, маркер для защиты разрешений Test Project 1
, связанных с проектом, — это:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ИДЕНТИФИКАТОР: 52d39943-cb85-4d7f-8fa8-c6baac873819
Enumerate
Create
Update
Delete
Управляет разрешениями на создание, удаление, перечисление и использование тегов рабочих элементов. Вы можете управлять разрешением на определение тега с помощью административного интерфейса разрешений.
Формат токена для разрешений на уровне проекта: /PROJECT_ID
Пример: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
ИДЕНТИФИКАТОР: bb50f182-8e5e-40b8-bc21-e8752a1e7ae2
VersionControlItems
Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch
Управляет разрешениями для репозитория система управления версиями Team Foundation (TFVC). Для проекта существует только один репозиторий TFVC. Эти разрешения можно управлять с помощью административного интерфейса репозиториев.
ИДЕНТИФИКАТОР: a39371cf-0841-4c16-bbd3-276e341bc052
Пространства имен уровня организации и разрешения
В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне организации. Большинство перечисленных разрешений управляются с помощью контекста параметров организации веб-портала. Владельцы и члены группы администраторов коллекции проектов предоставляются большинство этих разрешений. Дополнительные сведения см. в разделе Изменение разрешений на уровне коллекции проекта.
Пространства имен уровня коллекции и разрешения
В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне организации. Большинство перечисленных разрешений управляются с помощью контекста параметров коллекции веб-портала. Большинство этих разрешений предоставляются участникам группы администраторов коллекции проектов. Дополнительные сведения см. в разделе Изменение разрешений на уровне коллекции проекта.
Пространство имен
Разрешения
Description
AuditLog
Read
Write
Manage_Streams
Delete_Streams
Управляет разрешениями аудита для чтения или записи в журнал аудита и управления или удаления потоков аудита.
Формат токена: /AllPermissions
ИДЕНТИФИКАТОР: a6cc6381-a1ca-4b36-b3c1-4e65211e82b6
СборкаAdministration
ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies
Управляет доступом к просмотру, управлению, использованию или администрированию разрешений для ресурсов сборки.
ИДЕНТИФИКАТОР: 302acaca-b667-436d-a946-87133492041c
Коллекция
GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES
Управляет разрешениями на уровне организации или коллекции.
ИДЕНТИФИКАТОР: 3e65f728-f8bc-4ecd-8764-7e378b19bfa7
Обработка
Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions
Управляет разрешениями для создания, удаления и администрирования процессов.
ИДЕНТИФИКАТОР: 2dab47f9-bd70-49ed-9bd5-8eb051e59c02
Рабочие области
Read
Use
Checkin
Administer
Управляет разрешениями для администрирования изменений, рабочих областей и возможности создания рабочей области на уровне организации или коллекции. Пространство имен рабочих областей применяется к репозиторию TFVC.
Формат корневого маркера: /
Формат токена для конкретной рабочей области: /{workspace_name};{owner_id}
ИДЕНТИФИКАТОР: 93bafc04-9075-403a-9367-b7164eac6b5c
VersionControlPrivileges
CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration
Управляет разрешениями для репозитория система управления версиями Team Foundation (TFVC).
Разрешение
AdminConfiguration
предоставляет пользователям возможность изменять разрешения на уровне сервера для пользователей и групп. РазрешениеAdminConnections
предоставляет пользователям возможность читать содержимое файла или папки локального репозитория на уровне сервера.
ИДЕНТИФИКАТОР: 66312704-deb5-43f9-b51c-ab4ff5e351c3
Пространства имен на уровне сервера и разрешения
В следующей таблице описаны пространства имен безопасности и разрешения, определенные для локальных экземпляров Azure DevOps Server. Эти разрешения можно управлять участниками группы администраторов Team Foundation с помощью консоли администрирования Azure DevOps Server. Описание этих разрешений см. в разделе "Разрешения и группы", разрешения на уровне сервера.
Пространство имен
Разрешения
Description
CollectionManagement
CreateCollection
DeleteCollection
Управляет разрешениями на уровне сервера для создания и удаления коллекций проектов.
ИДЕНТИФИКАТОР: 52d39943-cb85-4d7f-8fa8-c6baac873819
Сервер
GenericRead
GenericWrite
Impersonate
TriggerEvent
Управляет разрешениями на уровне сервера. Включает разрешения на изменение сведений на уровне экземпляра, отправку запросов от имени других пользователей и активацию событий.
ИДЕНТИФИКАТОР: 1f4179b3-6bac-4d01-b421-71ea09171400
Склад
Administer
Предоставляет разрешение на обработку или изменение параметров для хранилища данных или куба анализа SQL Server с помощью веб-службы управления хранилищем.
ИДЕНТИФИКАТОР: b8fbab8b-69c8-4cd9-98b5-873656788efb
Пространства имен и разрешения на основе ролей
В следующей таблице описаны пространства имен безопасности и разрешения, используемые для управления безопасностью на основе ролей. Вы можете управлять назначениями ролей с помощью веб-портала для ресурсов конвейера, как описано , разрешения конвейера и роли безопасности.
Пространство имен
Разрешения
Description
DistributedTask
View
Manage
Listen
AdministerPermissions
Use
Create
Управляет разрешениями для доступа к ресурсам пула агентов. По умолчанию на уровне проекта назначаются следующие роли и разрешения и наследуются для каждого созданного пула агентов:
- Роль читателя (
View
только разрешения) всем членам группы допустимых пользователей Project - Роль администратора (все разрешения) для членов групп администраторов сборки, администраторов проектов и администраторов выпуска.
- Роль пользователя (
View
,Use
иCreate
разрешения) всем членам группы участников - Роль создателя (
View
,Use
иCreate
разрешения) всем членам группы участников
ИДЕНТИФИКАТОР:101eae8c-1709-47f9-b228-0e476c35b3ba
Среда
View
Manage
ManageHistory
Administer
Use
Create
Управляет разрешениями для создания сред и управления ими. По умолчанию назначаются следующие разрешения:
- Роль читателя (
View
только разрешения) всем членам группы допустимых пользователей Project - Роль создателя (
View
,Use
иCreate
разрешения) всем членам группы участников - Роль создателя (
View
иUse
Create
разрешения) всем членам группы "Администраторы проектов" - Роль администратора (все разрешения) пользователю, создавшему определенную среду.
ИДЕНТИФИКАТОР:83d4c2e6-e57d-4d6e-892b-b87222b7ad20
ExtensionManagement
ViewExtensions
ManageExtensions
ManageSecurity
Роль диспетчера — единственная роль, используемая для управления безопасностью расширений Marketplace. Члены роли диспетчера могут устанавливать расширения и отвечать на запросы на установку расширений. Другие разрешения назначаются автоматически членам групп безопасности по умолчанию и субъектов-служб. Сведения о добавлении пользователей в роль диспетчера см. в статье "Управление разрешениями расширения".
ИДЕНТИФИКАТОР: 5d6d7b80-3c63-4ab0-b699-b6a5910f8029
Библиотека
View
Administer
Create
ViewSecrets
Use
Owner
Управляет разрешениями для создания элементов библиотеки и управления ими, включая безопасные файлы и группы переменных. Членство в роли для отдельных элементов автоматически наследуется от библиотеки. По умолчанию назначаются следующие разрешения:
- Роль читателя (
View
только разрешения) всем членам группы допустимых пользователей проекта и учетной записи службы сборки коллекции проектов - Роль создателя (
View
,Use
иCreate
разрешения) всем членам группы участников - Роль создателя (, ,
Use
Create
иOwner
разрешения) участнику, который создал элементView
библиотеки - Роль администратора (все разрешения) для членов групп администраторов сборки, администраторов проектов и администраторов выпуска.
Дополнительные сведения см. в разделе "Роли безопасности ресурсов библиотеки".
ИДЕНТИФИКАТОР:b7e84409-6553-448a-bbb2-af228e07cbeb
ServiceEndpoints
Use
Administer
Create
ViewAuthorization
ViewEndpoint
Управляет разрешениями для создания подключений служб и управления ими. Членство в роли для отдельных элементов автоматически наследуется от ролей уровня проекта. По умолчанию назначаются следующие роли:
- Роль читателя (
View
только разрешения) всем членам группы допустимых пользователей проекта и учетной записи службы сборки коллекции проектов - Роль создателя (
View
,Use
иCreate
разрешения) членам группы безопасности службы Endpoint Creators. - Роль администратора (все разрешения) членам группы безопасности службы "Администраторы конечных точек".
Роли назначаются с помощью ролей безопасности подключения службы.
ИДЕНТИФИКАТОР:49b48001-ca20-4adc-8111-5b60c903a50c
Внутренние пространства имен и разрешения
В следующей таблице описаны пространства имен безопасности и разрешения, которые не отображаются на веб-портале. Они в основном используются для предоставления доступа членам групп безопасности по умолчанию или внутренним ресурсам. Настоятельно рекомендуется не изменять эти параметры разрешений каким-либо образом.
Пространство имен
Разрешения
Description
AccountAdminSecurity
Read
Create
Modify
Управляет разрешениями на чтение или изменение владельца учетной записи организации. Эти разрешения назначаются владелец организации и членам группы администраторов коллекции проектов.
ИДЕНТИФИКАТОР: 11238e09-49f2-40c7-94d0-8f0307204ce4
Аналитика
Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii
Управляет разрешениями для чтения, администрирования разрешений и выполнения запросов к службе Аналитики.
Формат токена для разрешений на уровне проекта: $/PROJECT_ID
Пример: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
ИДЕНТИФИКАТОР: 58450c49-b02d-465a-ab12-59ae512d6531
BlobStoreBlobPrivileges
Read
Delete
Create
SecurityAdmin
Задает разрешения для чтения, удаления, создания и управления безопасностью хранилища данных. Эти разрешения назначаются нескольким субъектам-службам Azure DevOps.
ИДЕНТИФИКАТОР: 19F9F97D-7CB7-45F7-8160-DD308A6BD48E
Boards
View
Create
ChangeMetadata
MoveCard
Delete
Manage
Управляет разрешениями и доступом к доскам.
ИДЕНТИФИКАТОР: 251e12d9-bea3-43a8-bfdb-901b98c0125e
BoardsExternalIntegration
Read
Write
Управляет разрешениями на чтение и запись внешних интеграции с Azure Boards.
ИДЕНТИФИКАТОР: 5ab15bc8-4ea1-d0f3-8344-cab8fe976877
Чат
ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions
Управляет разрешениями для служб чатов, интегрированных с Azure DevOps, например Slack и Microsoft Teams. Дополнительные сведения см. в статье Azure Boards with Slack, Azure Boards with Microsoft Teams, Azure Pipelines with Slack, Azure Pipelines with Microsoft Teams, Azure Repos with Slack и Azure Repos with Microsoft Teams.
ИДЕНТИФИКАТОР: bc295513-b1a2-4663-8d1a-7017fd760d18
Потоки обсуждения
Administer
GenericRead
GenericContribute
Moderate
Управляет разрешениями для просмотра, управления, модерации и участия в настройке обсуждений проверки кода для Azure Pipelines.
ИДЕНТИФИКАТОР: 0d140cae-8ac1-4f48-b6d1-c93ce0301a12
EventPublish
Read
Write
Предоставляет доступ для чтения и записи для обработчика уведомлений.
ИДЕНТИФИКАТОР: 7cd317f2-adc6-4b6c-8d99-6074faeaf173
EventSubscriber
GENERIC_READ
GENERIC_WRITE
Предоставляет доступ на чтение и запись для подписчиков уведомлений.
ИДЕНТИФИКАТОР: 2bf24a2b-70ba-43d3-ad97-3d9e1f75622f
EventSubscription
GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION
Управляет разрешениями члена для просмотра, редактирования и отмены подписки на уведомления или создания подписки SOAP.
ИДЕНТИФИКАТОР: 58b176e7-3411-457a-89d0-c6d0ccb3c52b
Идентификация
Read
Write
Delete
ManageMembership
CreateScope
RestoreScope
Управляет разрешениями на чтение, запись и удаление сведений об удостоверениях учетной записи пользователя; управление членством в группах и создание и восстановление областей удостоверений. Разрешение ManageMembership
автоматически предоставляется членам групп "Администраторы проектов" и "Администраторы коллекции проектов".
Формат токена для разрешений на уровне проекта: PROJECT_ID
Пример: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Изменение разрешений уровня группы для идентификатора источника группы [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Токен: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b
ИДЕНТИФИКАТОР: 5a27515b-ccd7-42c9-84f1-54c998f03866
Лицензирование
Read
Create
Modify
Delete
Assign
Revoke
Управляет возможностью просмотра, добавления, изменения и удаления уровней лицензий. Эти разрешения автоматически предоставляются членам групп администраторов коллекции проектов.
ИДЕНТИФИКАТОР: 453e2db3-2e81-474f-874d-3bf51027f2ee
PermissionLevel
Read
Create
Update
Delete
Управляет возможностью создания и скачивания отчетов разрешений.
ИДЕНТИФИКАТОР: 25fb0ed7-eb8f-42b8-9a5e-836a25f67e37
OrganizationLevelData
Project-Scoped Users
Применяет разрешение на отказ на уровне системы в пространстве имен, которое поддерживает группу пользователей с областью проекта. Члены группы получают ограниченную видимость данных уровня организации. Дополнительные сведения см. в статье "Управление организацией", ограничение видимости пользователей для проектов и многое другое.
ИДЕНТИФИКАТОР: F0003BCE-5F45-4F93-A25D-90FC33FE3AA9
PipelineCachePrivileges
Read
Write
Управляет разрешениями для чтения и записи записей кэша конвейера. Эти разрешения назначаются только внутренним принципам службы Azure DevOps.
ИДЕНТИФИКАТОР: 62a7ad6b-8b8d-426b-ba10-76a7090e94d5
ReleaseManagement
ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems
Управляет доступом к элементам пользовательского интерфейса управления выпусками.
ИДЕНТИФИКАТОР: 7c7d32f7-0e86-4cd6-892e-b35dbba870bd
SearchSecurity
ReadMembers
ReadAnonymous
Это пространство имен безопасности используется для того, чтобы узнать, является ли пользователь допустимым или анонимным или общедоступным.
ИДЕНТИФИКАТОР: ca535e7e-67ce-457f-93fe-6e53aa4e4160
ServiceHooks
ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents
Управляет разрешениями для просмотра, редактирования и удаления подписок на перехватчик служб и публикации событий перехватчика служб. Эти разрешения автоматически назначаются членам группы администраторов коллекции проектов. DeleteSubscriptions
больше не используется; EditSubscriptions
может удалять перехватчики службы.
ИДЕНТИФИКАТОР: cb594ebe-87dd-4fc9-ac2c-6a10a4c92046
ИспользованиеPermissions
QueryUsageSummary
Управляет разрешениями для запроса использования. По умолчанию всем членам групп "Администраторы коллекции проектов" и пользователям, которым предоставлен доступ заинтересованных лиц, предоставляется разрешение на запрос сводки по использованию для всех пользователей. Дополнительные сведения см. в разделе "Ограничения скорости".
Формат токена: /
ИДЕНТИФИКАТОР: 83abde3a-4593-424e-b45f-9898af99034d
WorkItemTrackingAdministration
ManagePermissions
DestroyAttachments
Управляет разрешениями для администрирования отслеживания работы и уничтожения вложений.
ИДЕНТИФИКАТОР: 445d2788-c5fb-4132-bbef-09c4045ad93f
WorkItemTrackingProvision
Administer
ManageLinkTypes
Управляет разрешениями для изменения процессов отслеживания работы и управления типами ссылок. Пространство имен WorkItemTrackingProvision — это более старое пространство имен безопасности, которое в основном используется для более ранних локальных версий. Пространство имен процесса заменяет это пространство имен для управления процессами в Azure DevOps Server 2019 и более поздних версий.
Формат корневого маркера: /$
Формат токена для конкретного проекта: $/PROJECT_ID
ИДЕНТИФИКАТОР: 5a6cd233-6615-414d-9393-48dbb252bd23
Нерекомендуемые и доступные только для чтения пространства имен
Следующие пространства имен являются устаревшими или доступны только для чтения. Их не следует использовать.
CrossProjectWidgetView
DataProvider
Favorites
Graph
Identity2
IdentityPicker
Job
Location
ProjectAnalysisLanguageMetrics
Proxy
Publish
Registry
Security
ServicingOrchestration
SettingEntries
Social
StrongBox
TeamLabSecurity
TestManagement
VersionControlItems2
ViewActivityPaneSecurity
WebPlatform
WorkItemsHub
WorkItemTracking
WorkItemTrackingConfiguration