Поделиться через


Пространство имен и ссылка на разрешение в системе безопасности для Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

В этой статье описываются допустимые пространства имен безопасности, перечислены связанные разрешения и приведены ссылки на дополнительные сведения. Пространства имен безопасности хранят списки управления доступом (ACL) на маркерах, определяя уровень доступа различных сущностей, должны выполнять определенные действия по определенным ресурсам. К этим сущностям относятся:

  • Пользователи Azure DevOps
  • Владелец организации Azure DevOps
  • Члены групп безопасности Azure DevOps
  • Учетные записи службы Azure DevOps
  • Субъекты-службы Azure DevOps

Каждое семейство ресурсов, таких как рабочие элементы или репозитории Git, защищается с помощью уникального пространства имен. Каждое пространство имен безопасности содержит ноль или несколько списков управления доступом. ACL содержит маркер, флаг наследования и набор записей управления доступом (ACEs). Каждый ACE состоит из дескриптора удостоверения, разрешенного битового маски разрешений и битовой маски запрещенных разрешений. Маркеры — это произвольные строки, представляющие ресурсы в Azure DevOps.

Примечание.

Пространства имен и маркеры действительны для всех версий Azure DevOps. Перечисленные здесь допустимы для Azure DevOps 2019 и более поздних версий. Пространства имен могут изменяться с течением времени. Чтобы получить последний список пространств имен, выполните одно из средств командной строки или REST API. Некоторые пространства имен устарели, как указано в разделе "Нерекомендуемые и доступные только для чтения пространства имен" далее в этой статье. Дополнительные сведения см. в статье "Запрос пространств имен безопасности"

Средства управления разрешениями

Рекомендуемый метод управления разрешениями осуществляется через веб-портал. Однако чтобы задать разрешения, недоступные на портале или управлять подробными разрешениями, используйте средства командной строки или REST API:

  • Для Azure DevOps Services используйте az devops security permission команды.
  • Для Azure DevOps Server используйте команды TFSSecurity.
  • Для репозиториев Git Для Azure DevOps используйте средство командной строки разрешений tf git.
  • Для репозиториев система управления версиями Team Foundation (TFVC) используйте программу командной строки разрешений TFVC.

Для всех экземпляров Azure DevOps можно также использовать REST API безопасности.

Пространства имен безопасности и их идентификаторы

Многие пространства имен безопасности соответствуют разрешениям, заданным на странице веб-портала "Безопасность или разрешения ". Другие пространства имен или определенные разрешения не отображаются на веб-портале и предоставляют доступ по умолчанию членам групп безопасности или субъектам-службам Azure DevOps. Эти пространства имен группируются в следующие категории на основе того, как они управляются с помощью веб-портала:

  • Уровень объекта
  • Уровень проекта
  • Организация или уровень сбора
  • Уровень сервера (только в локальной среде)
  • На основе ролей
  • Только для внутреннего использования

Иерархия и маркеры

Пространство имен безопасности может быть иерархическим или неструктурированным. В иерархическом пространстве имен маркеры существуют в иерархии, где действующие разрешения наследуются от родительских маркеров к дочерним маркерам. В отличие от этого, маркеры в неструктурированном пространстве имен не имеют понятия отношения родительского-дочернего элемента между любыми двумя маркерами.

Маркеры в иерархическом пространстве имен имеют фиксированную длину для каждой части пути или переменной длины. Если маркеры имеют части пути переменной длины, то символ разделителя используется для различения того, где заканчивается одна часть пути, а другая начинается.

Маркеры безопасности не учитывает регистр. Пример маркеров для разных пространств имен приведен в следующих разделах.

Пространства имен уровня объекта и разрешения

В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне объектов. Большинство этих разрешений управляются на странице веб-портала для каждого объекта. Разрешения задаются на уровне проекта и наследуются на уровне объекта, если явно не изменено.


Пространство имен

Разрешения

Description


AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

Управляет разрешениями аналитики на уровне проекта и на уровне объектов для чтения, редактирования, удаления и создания отчетов. Эти разрешения можно управлять для каждого представления аналитики из пользовательского интерфейса.

Формат маркера для разрешений уровня проекта: $/Shared/PROJECT_ID
Пример: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ИДЕНТИФИКАТОР: d34d3680-dfe5-4cc6-a949-7d9c68f73cba


Сборка

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Управляет разрешениями сборки на уровне проекта и на уровне объектов.

Формат токена для разрешений сборки на уровне проекта: PROJECT_ID
Если необходимо обновить разрешения для определенного идентификатора определения сборки, например 12, маркер безопасности для этого определения сборки выглядит следующим образом:
Формат токена для разрешений на сборку на уровне проекта: PROJECT_ID/12
Пример: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

ИДЕНТИФИКАТОР: 33344d9c-fc72-4d6f-aba5-fa317101a7e9


CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Управляет разрешениями уровня объекта на уровне области для создания, редактирования и удаления дочерних узлов и задания разрешений для просмотра или редактирования рабочих элементов в узле. Дополнительные сведения см. в разделе "Настройка разрешений и доступа для отслеживания работы", "Создание дочерних узлов", изменение рабочих элементов в пути к области.
Пример формата токена: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ИДЕНТИФИКАТОР: 83e28ad4-2d72-4ceb-97b0-c7726d5502c3


Панели мониторингаPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Управляет разрешениями на уровне объекта панели мониторинга для редактирования и удаления панелей мониторинга и управления разрешениями для панели мониторинга проекта. Эти разрешения можно управлять с помощью пользовательского интерфейса панелей мониторинга.

ИДЕНТИФИКАТОР: 8adf73b7-389a-4276-b638-fe1653f7efc7


Репозитории Git

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Управляет разрешениями репозитория Git на уровне проекта и на уровне объектов. Эти разрешения можно управлять с помощью параметров проекта, административного интерфейса репозиториев.

Разрешение Administer было разделено на несколько более подробных разрешений в 2017 году и не должно использоваться.
Формат токена для разрешений на уровне проекта: repoV2/PROJECT_ID
Необходимо добавить RepositoryID к обновлению разрешений на уровне репозитория.

Формат маркера для разрешений для конкретного репозитория: repoV2/PROJECT_ID/REPO_ID

Формат токена для разрешений на уровне ветви описан в маркерах репозитория Git для службы безопасности.

ИДЕНТИФИКАТОР: 2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87


Итерация

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Управляет разрешениями на создание, изменение и удаление дочерних узлов и просмотр разрешений дочернего узла на уровне объекта. Сведения об управлении с помощью веб-портала см. в статье "Настройка разрешений и доступа для отслеживания работы", создание дочерних узлов.
Формат токена: 'vstfs:///Classification/Node/Iteration_Identifier/'
Предположим, у вас есть следующие итерации, настроенные для вашей команды.
— ProjectIteration1
  TeamIteration1
     — TeamIteration1ChildIteration1
     — TeamIteration1ChildIteration2
     — TeamIteration1ChildIteration3
  TeamIteration2
     — TeamIteration2ChildIteration1
     — TeamIteration2ChildIteration2

Чтобы обновить разрешения для ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1, маркер безопасности выглядит следующим образом:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

ИДЕНТИФИКАТОР: bf7bfa03-b2b7-47db-8113-fa2e002cc5b1


MetaTask

Administer
Edit
Delete

Управляет разрешениями группы задач для редактирования и удаления групп задач и администрирования разрешений группы задач. Сведения об управлении с помощью веб-портала см. в разделе "Разрешения конвейера" и роли безопасности, разрешения группы задач.

Формат токена для разрешений на уровне проекта: PROJECT_ID
Формат токена для разрешений уровня metaTask: PROJECT_ID/METATASK_ID

Если MetaTask имеет parentTaskId, маркер безопасности выглядит следующим образом:
Формат токена: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

ИДЕНТИФИКАТОР: f6a4de49-dbe2-4704-86dc-f8ec1a294436


Планирование

View
Edit
Delete
Manage

Управляет разрешениями для планов доставки для просмотра, редактирования, удаления и управления планами доставки. Эти разрешения можно управлять с помощью веб-портала для каждого плана.

ИДЕНТИФИКАТОР: bed337f8-e5f3-4fb9-80da-81e17d06e7a8


ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Управляет разрешениями определения выпуска на уровне проекта и объекта.

Формат токена для разрешений на уровне проекта: PROJECT_ID
Пример: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Если необходимо обновить разрешения для определенного идентификатора определения выпуска, например 12, маркер безопасности для этого определения выпуска выглядит следующим образом:

Формат токена для определенных разрешений определения выпуска: PROJECT_ID/12
Пример: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Если идентификатор определения выпуска находится в папке, маркеры безопасности выглядят следующим образом:
Формат токена: PROJECT_ID/{folderName}/12
Для этапов маркеры выглядят следующим образом: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}

ИДЕНТИФИКАТОР: c788c23e-1b46-4162-8f5e-d7585343b5de


WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Управляет разрешениями для запросов рабочих элементов и папок запросов. Сведения об управлении этими разрешениями на веб-портале см. в разделе "Настройка разрешений" для запросов или папок запросов. Пример формата токена: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
ИДЕНТИФИКАТОР: 71356614-aad7-4757-8f2c-0fb3bff6f680


Пространства имен и разрешения уровня проекта

В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне проекта. Большинство перечисленных разрешений управляются с помощью контекста администрирования веб-портала. Администраторы проектов предоставляют все разрешения на уровне проекта, а другие группы уровня проекта имеют определенные назначения разрешений.


Пространство имен

Разрешения

Description


Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Управляет разрешениями на уровне проекта.
Разрешение AGILETOOLS_BACKLOG управляет доступом к невыполненной работы в Azure Boards. Этот параметр является внутренним параметром разрешения и не должен быть изменен.

Формат корневого маркера: $PROJECT
Маркер для защиты разрешений для каждого проекта в организации.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Предположим, что у вас есть проект с именем Test Project 1.
Идентификатор проекта для этого проекта можно получить с помощью az devops project show команды.
az devops project show --project "Test Project 1"
Команда возвращает идентификатор проекта, например xxxxxxxx-a1de-4bc8-b751-188eea17c3ba.
Таким образом, маркер для защиты разрешений Test Project 1 , связанных с проектом, — это:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ИДЕНТИФИКАТОР: 52d39943-cb85-4d7f-8fa8-c6baac873819


Маркировка

Enumerate
Create
Update
Delete

Управляет разрешениями на создание, удаление, перечисление и использование тегов рабочих элементов. Вы можете управлять разрешением на определение тега с помощью административного интерфейса разрешений.

Формат токена для разрешений на уровне проекта: /PROJECT_ID
Пример: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ИДЕНТИФИКАТОР: bb50f182-8e5e-40b8-bc21-e8752a1e7ae2


VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Управляет разрешениями для репозитория система управления версиями Team Foundation (TFVC). Для проекта существует только один репозиторий TFVC. Эти разрешения можно управлять с помощью административного интерфейса репозиториев.

ИДЕНТИФИКАТОР: a39371cf-0841-4c16-bbd3-276e341bc052


Пространства имен уровня организации и разрешения

В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне организации. Большинство перечисленных разрешений управляются с помощью контекста параметров организации веб-портала. Владельцы и члены группы администраторов коллекции проектов предоставляются большинство этих разрешений. Дополнительные сведения см. в разделе Изменение разрешений на уровне коллекции проекта.

Пространства имен уровня коллекции и разрешения

В следующей таблице описываются пространства имен, которые управляют разрешениями на уровне организации. Большинство перечисленных разрешений управляются с помощью контекста параметров коллекции веб-портала. Большинство этих разрешений предоставляются участникам группы администраторов коллекции проектов. Дополнительные сведения см. в разделе Изменение разрешений на уровне коллекции проекта.


Пространство имен

Разрешения

Description


AuditLog

Read
Write
Manage_Streams
Delete_Streams

Управляет разрешениями аудита для чтения или записи в журнал аудита и управления или удаления потоков аудита.

Формат токена: /AllPermissions
ИДЕНТИФИКАТОР: a6cc6381-a1ca-4b36-b3c1-4e65211e82b6


СборкаAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies


Коллекция

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Управляет разрешениями на уровне организации или коллекции.

ИДЕНТИФИКАТОР: 3e65f728-f8bc-4ecd-8764-7e378b19bfa7


Обработка

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions


Рабочие области

Read
Use
Checkin
Administer

Управляет разрешениями для администрирования изменений, рабочих областей и возможности создания рабочей области на уровне организации или коллекции. Пространство имен рабочих областей применяется к репозиторию TFVC.

Формат корневого маркера: /
Формат токена для конкретной рабочей области: /{workspace_name};{owner_id}

ИДЕНТИФИКАТОР: 93bafc04-9075-403a-9367-b7164eac6b5c


VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Управляет разрешениями для репозитория система управления версиями Team Foundation (TFVC).

Разрешение AdminConfiguration предоставляет пользователям возможность изменять разрешения на уровне сервера для пользователей и групп. Разрешение AdminConnections предоставляет пользователям возможность читать содержимое файла или папки локального репозитория на уровне сервера.

ИДЕНТИФИКАТОР: 66312704-deb5-43f9-b51c-ab4ff5e351c3


Пространства имен на уровне сервера и разрешения

В следующей таблице описаны пространства имен безопасности и разрешения, определенные для локальных экземпляров Azure DevOps Server. Эти разрешения можно управлять участниками группы администраторов Team Foundation с помощью консоли администрирования Azure DevOps Server. Описание этих разрешений см. в разделе "Разрешения и группы", разрешения на уровне сервера.


Пространство имен

Разрешения

Description


CollectionManagement

CreateCollection
DeleteCollection

Управляет разрешениями на уровне сервера для создания и удаления коллекций проектов.

ИДЕНТИФИКАТОР: 52d39943-cb85-4d7f-8fa8-c6baac873819


Сервер

GenericRead
GenericWrite
Impersonate
TriggerEvent

Управляет разрешениями на уровне сервера. Включает разрешения на изменение сведений на уровне экземпляра, отправку запросов от имени других пользователей и активацию событий.

ИДЕНТИФИКАТОР: 1f4179b3-6bac-4d01-b421-71ea09171400


Склад

Administer

Предоставляет разрешение на обработку или изменение параметров для хранилища данных или куба анализа SQL Server с помощью веб-службы управления хранилищем.

ИДЕНТИФИКАТОР: b8fbab8b-69c8-4cd9-98b5-873656788efb


Пространства имен и разрешения на основе ролей

В следующей таблице описаны пространства имен безопасности и разрешения, используемые для управления безопасностью на основе ролей. Вы можете управлять назначениями ролей с помощью веб-портала для ресурсов конвейера, как описано , разрешения конвейера и роли безопасности.


Пространство имен

Разрешения

Description


DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Управляет разрешениями для доступа к ресурсам пула агентов. По умолчанию на уровне проекта назначаются следующие роли и разрешения и наследуются для каждого созданного пула агентов:

  • Роль читателя (View только разрешения) всем членам группы допустимых пользователей Project
  • Роль администратора (все разрешения) для членов групп администраторов сборки, администраторов проектов и администраторов выпуска.
  • Роль пользователя (View, Useи Create разрешения) всем членам группы участников
  • Роль создателя (View, Useи Create разрешения) всем членам группы участников

    ИДЕНТИФИКАТОР: 101eae8c-1709-47f9-b228-0e476c35b3ba

Среда

View
Manage
ManageHistory
Administer
Use
Create

Управляет разрешениями для создания сред и управления ими. По умолчанию назначаются следующие разрешения:

  • Роль читателя (View только разрешения) всем членам группы допустимых пользователей Project
  • Роль создателя (View, Useи Create разрешения) всем членам группы участников
  • Роль создателя (Viewи UseCreate разрешения) всем членам группы "Администраторы проектов"
  • Роль администратора (все разрешения) пользователю, создавшему определенную среду.

    ИДЕНТИФИКАТОР: 83d4c2e6-e57d-4d6e-892b-b87222b7ad20

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Роль диспетчера — единственная роль, используемая для управления безопасностью расширений Marketplace. Члены роли диспетчера могут устанавливать расширения и отвечать на запросы на установку расширений. Другие разрешения назначаются автоматически членам групп безопасности по умолчанию и субъектов-служб. Сведения о добавлении пользователей в роль диспетчера см. в статье "Управление разрешениями расширения".

ИДЕНТИФИКАТОР: 5d6d7b80-3c63-4ab0-b699-b6a5910f8029


Библиотека

View
Administer
Create
ViewSecrets
Use
Owner

Управляет разрешениями для создания элементов библиотеки и управления ими, включая безопасные файлы и группы переменных. Членство в роли для отдельных элементов автоматически наследуется от библиотеки. По умолчанию назначаются следующие разрешения:

  • Роль читателя (View только разрешения) всем членам группы допустимых пользователей проекта и учетной записи службы сборки коллекции проектов
  • Роль создателя (View, Useи Create разрешения) всем членам группы участников
  • Роль создателя (, , UseCreateи Owner разрешения) участнику, который создал элементView библиотеки
  • Роль администратора (все разрешения) для членов групп администраторов сборки, администраторов проектов и администраторов выпуска.
    Дополнительные сведения см. в разделе "Роли безопасности ресурсов библиотеки".

    ИДЕНТИФИКАТОР: b7e84409-6553-448a-bbb2-af228e07cbeb

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Управляет разрешениями для создания подключений служб и управления ими. Членство в роли для отдельных элементов автоматически наследуется от ролей уровня проекта. По умолчанию назначаются следующие роли:

  • Роль читателя (View только разрешения) всем членам группы допустимых пользователей проекта и учетной записи службы сборки коллекции проектов
  • Роль создателя (View, Useи Create разрешения) членам группы безопасности службы Endpoint Creators.
  • Роль администратора (все разрешения) членам группы безопасности службы "Администраторы конечных точек".
    Роли назначаются с помощью ролей безопасности подключения службы.

    ИДЕНТИФИКАТОР: 49b48001-ca20-4adc-8111-5b60c903a50c

Внутренние пространства имен и разрешения

В следующей таблице описаны пространства имен безопасности и разрешения, которые не отображаются на веб-портале. Они в основном используются для предоставления доступа членам групп безопасности по умолчанию или внутренним ресурсам. Настоятельно рекомендуется не изменять эти параметры разрешений каким-либо образом.


Пространство имен

Разрешения

Description


AccountAdminSecurity

Read
Create
Modify

Управляет разрешениями на чтение или изменение владельца учетной записи организации. Эти разрешения назначаются владелец организации и членам группы администраторов коллекции проектов.

ИДЕНТИФИКАТОР: 11238e09-49f2-40c7-94d0-8f0307204ce4


Аналитика

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Управляет разрешениями для чтения, администрирования разрешений и выполнения запросов к службе Аналитики.

Формат токена для разрешений на уровне проекта: $/PROJECT_ID
Пример: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ИДЕНТИФИКАТОР: 58450c49-b02d-465a-ab12-59ae512d6531


BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Задает разрешения для чтения, удаления, создания и управления безопасностью хранилища данных. Эти разрешения назначаются нескольким субъектам-службам Azure DevOps.

ИДЕНТИФИКАТОР: 19F9F97D-7CB7-45F7-8160-DD308A6BD48E


Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Управляет разрешениями и доступом к доскам.

ИДЕНТИФИКАТОР: 251e12d9-bea3-43a8-bfdb-901b98c0125e


BoardsExternalIntegration

Read
Write

Управляет разрешениями на чтение и запись внешних интеграции с Azure Boards.

ИДЕНТИФИКАТОР: 5ab15bc8-4ea1-d0f3-8344-cab8fe976877


Чат

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Управляет разрешениями для служб чатов, интегрированных с Azure DevOps, например Slack и Microsoft Teams. Дополнительные сведения см. в статье Azure Boards with Slack, Azure Boards with Microsoft Teams, Azure Pipelines with Slack, Azure Pipelines with Microsoft Teams, Azure Repos with Slack и Azure Repos with Microsoft Teams.

ИДЕНТИФИКАТОР: bc295513-b1a2-4663-8d1a-7017fd760d18


Потоки обсуждения

Administer
GenericRead
GenericContribute
Moderate

Управляет разрешениями для просмотра, управления, модерации и участия в настройке обсуждений проверки кода для Azure Pipelines.

ИДЕНТИФИКАТОР: 0d140cae-8ac1-4f48-b6d1-c93ce0301a12


EventPublish

Read
Write

Предоставляет доступ для чтения и записи для обработчика уведомлений.

ИДЕНТИФИКАТОР: 7cd317f2-adc6-4b6c-8d99-6074faeaf173


EventSubscriber

GENERIC_READ
GENERIC_WRITE

Предоставляет доступ на чтение и запись для подписчиков уведомлений.

ИДЕНТИФИКАТОР: 2bf24a2b-70ba-43d3-ad97-3d9e1f75622f


EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Управляет разрешениями члена для просмотра, редактирования и отмены подписки на уведомления или создания подписки SOAP.

ИДЕНТИФИКАТОР: 58b176e7-3411-457a-89d0-c6d0ccb3c52b

Идентификация

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Управляет разрешениями на чтение, запись и удаление сведений об удостоверениях учетной записи пользователя; управление членством в группах и создание и восстановление областей удостоверений. Разрешение ManageMembership автоматически предоставляется членам групп "Администраторы проектов" и "Администраторы коллекции проектов".

Формат токена для разрешений на уровне проекта: PROJECT_ID
Пример: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Изменение разрешений уровня группы для идентификатора источника группы [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Токен: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

ИДЕНТИФИКАТОР: 5a27515b-ccd7-42c9-84f1-54c998f03866


Лицензирование

Read
Create
Modify
Delete
Assign
Revoke

Управляет возможностью просмотра, добавления, изменения и удаления уровней лицензий. Эти разрешения автоматически предоставляются членам групп администраторов коллекции проектов.

ИДЕНТИФИКАТОР: 453e2db3-2e81-474f-874d-3bf51027f2ee


PermissionLevel

Read
Create
Update
Delete

Управляет возможностью создания и скачивания отчетов разрешений.

ИДЕНТИФИКАТОР: 25fb0ed7-eb8f-42b8-9a5e-836a25f67e37


OrganizationLevelData

Project-Scoped Users

Применяет разрешение на отказ на уровне системы в пространстве имен, которое поддерживает группу пользователей с областью проекта. Члены группы получают ограниченную видимость данных уровня организации. Дополнительные сведения см. в статье "Управление организацией", ограничение видимости пользователей для проектов и многое другое.
ИДЕНТИФИКАТОР: F0003BCE-5F45-4F93-A25D-90FC33FE3AA9


PipelineCachePrivileges

Read
Write

Управляет разрешениями для чтения и записи записей кэша конвейера. Эти разрешения назначаются только внутренним принципам службы Azure DevOps.
ИДЕНТИФИКАТОР: 62a7ad6b-8b8d-426b-ba10-76a7090e94d5


ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Управляет доступом к элементам пользовательского интерфейса управления выпусками.

ИДЕНТИФИКАТОР: 7c7d32f7-0e86-4cd6-892e-b35dbba870bd


SearchSecurity

ReadMembers ReadAnonymous

Это пространство имен безопасности используется для того, чтобы узнать, является ли пользователь допустимым или анонимным или общедоступным.

ИДЕНТИФИКАТОР: ca535e7e-67ce-457f-93fe-6e53aa4e4160


ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Управляет разрешениями для просмотра, редактирования и удаления подписок на перехватчик служб и публикации событий перехватчика служб. Эти разрешения автоматически назначаются членам группы администраторов коллекции проектов. DeleteSubscriptions больше не используется; EditSubscriptions может удалять перехватчики службы.

ИДЕНТИФИКАТОР: cb594ebe-87dd-4fc9-ac2c-6a10a4c92046


ИспользованиеPermissions

QueryUsageSummary

Управляет разрешениями для запроса использования. По умолчанию всем членам групп "Администраторы коллекции проектов" и пользователям, которым предоставлен доступ заинтересованных лиц, предоставляется разрешение на запрос сводки по использованию для всех пользователей. Дополнительные сведения см. в разделе "Ограничения скорости".

Формат токена: /
ИДЕНТИФИКАТОР: 83abde3a-4593-424e-b45f-9898af99034d


WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

Управляет разрешениями для администрирования отслеживания работы и уничтожения вложений.
ИДЕНТИФИКАТОР: 445d2788-c5fb-4132-bbef-09c4045ad93f


WorkItemTrackingProvision

Administer
ManageLinkTypes

Управляет разрешениями для изменения процессов отслеживания работы и управления типами ссылок. Пространство имен WorkItemTrackingProvision — это более старое пространство имен безопасности, которое в основном используется для более ранних локальных версий. Пространство имен процесса заменяет это пространство имен для управления процессами в Azure DevOps Server 2019 и более поздних версий.

Формат корневого маркера: /$
Формат токена для конкретного проекта: $/PROJECT_ID

ИДЕНТИФИКАТОР: 5a6cd233-6615-414d-9393-48dbb252bd23


Нерекомендуемые и доступные только для чтения пространства имен

Следующие пространства имен являются устаревшими или доступны только для чтения. Их не следует использовать.

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration