Установка разрешений на уровне объекта
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
При управлении безопасностью для вашей организации можно задать разрешения на уровне организации или коллекции, на уровне проекта и на уровне объектов. Эта статья поможет вам перейти к диалоговым окнам безопасности для настройки разрешений на уровне объекта, так как пользовательский интерфейс несколько зависит от Azure Devops. Дополнительные сведения см. в статье Начало работы с разрешениями, доступом и группами безопасности.
Следующие элементы считаются объектами:
- общие: панели мониторинга, аналитические представления, вики-сайты и уведомления
- Доски Azure: пути к областям, пути итерации, общие запросы и папки запросов и многое другое
- Azure Pipelines: сборка и выпуск конвейеров, группы развертывания, группы задач и многое другое
- Azure Repos: репозитории Git и ветви, папки или ветви TFVC
- Azure Artifacts: Артефакты и потоки
Рабочие элементы, теги, планы тестирования и другие тестовые артефакты подлежат настройкам безопасности, которые обычно устанавливаются на уровне проекта или на уровне проектной области.
Необходимые условия
| Категория | Требования |
|---|---|
| Права доступа | Член группы администраторов проектов, или обладающий явными разрешениями с помощью диалога безопасности для отдельных объектов. |
Примечание.
TFVC поддерживает только один репозиторий для каждого проекта. Вы можете задать разрешения для репозитория или папок или ветвей репозитория, которые наследуются от репозитория.
Открытие диалогового окна разрешений для раздела объекта
Чтобы получить доступ к диалоговому окне "Разрешения" для объекта, выполните следующие действия.
- Перейдите к конкретному объекту.
- Нажмите кнопку "Дополнительно
...". - Выберите "Безопасность " в раскрывающемся меню.
Примечание.
Для некоторых объектов, таких как репозитории и представления аналитики, требуются по крайней мере базовые уровни доступа. Дополнительные сведения см. в разделе "Уровни доступа".
Настройка разрешений для панелей мониторинга, вики-сайтов и аналитических представлений
Вы можете задать разрешения на уровне проекта и организации или коллекции для некоторых общих элементов, таких как создание, удаление и переименование проектов. В следующей таблице приведены сведения о настройке разрешений на уровне объектов для панелей мониторинга, вики-представлений и аналитических представлений.
| Объект | Членство в группах по умолчанию | Как получить доступ к безопасности | Унаследованный? |
|---|---|---|---|
| Панели мониторинга | Участник | Откройте панели управления, выберите путь к области, а затем Дополнительно ... >Безопасность. | ✔️ (параметры проекта для панели мониторинга группы) |
| Вики | Участник | Откройте вики-сайт, нажмите кнопку "Дополнительно ... >Вики-безопасность. Дополнительные сведения см. в разделе "Управление разрешениями вики-сайта". | нет |
| Аналитические представления | Автор и базовый | Откройте аналитическое представление, нажмите кнопку "Дополнительно ... >Безопасность. | нет |
Настройка разрешений для объектов Boards
В следующей таблице приведены сведения о настройке разрешений на уровне объектов для путей и итераций, рабочих элементов и прочего.
| Объект | Членство в группах по умолчанию | Как получить доступ к безопасности | Унаследованный? |
|---|---|---|---|
| Область пути | Администратор проекта | Откройте рядом с областью, >. | ✔️ (дочерний узел из родительского узла) |
| Путь итерации | Администратор проекта | Откройте рядом с итерацией, >. | ✔️ (дочерний узел из родительского узла) |
| Рабочий элемент | Вкладчик | Откройте | no |
| Запрос рабочего элемента и папка запроса | Создатель запроса или папки или администратора проекта | Откройте запрос рабочего элемента или папку >запроса Еще ... >Безопасность. | нет |
| Планы выполнения | Администратор проекта или создатель плана доставки | Открытые >планы> доставки Доски рядом с планом доставки, Подробнее ... >Безопасность. | no |
| Обработать | Администратор проекта | Нажмите кнопку "Дополнительно ... >Безопасность. | ✔️ (из параметров организации и коллекции) |
Примечание.
Теги рабочих элементов — разрешения задаются на уровне проекта, создайте определение тега. Теги рабочих элементов не рассматриваются как объекты, они задаются через рабочие элементы.
Советы
Давайте разберем следующие роли, связанные с рецензентами:
-
Измененные рецензенты:
- Эта роль распространяется на всех рецензентов, добавленных или удаленных в соответствии с политиками, определенными для набора файлов.
- Например, рассмотрим pull request (PR), в котором вносятся изменения
File1.cs. - Если политика указывает, что Пользователь A должен проверить изменения в
File1.cs, он становится "Рецензентом изменений" для этой итерации PR.
-
Сбросить рецензентов:
- Эта роль связана с политикой аннулирования голосов.
- Предположим, что в репозитории настроена политика "Сброс голосов при новых коммитах".
- Если Человек B, который был обязан пересмотреть PR, уже одобрил его, их голос сбрасывается в соответствии с политикой.
- В результате они занимают роль "Обновление рецензентов" для этой итерации.
Установка разрешений для объектов Repos
В следующей таблице приведены сведения о настройке разрешений на уровне объектов для репозиториев, репозиториев Git, ветвей Git и репозиториев TFVC.
| Объект | Членство в группах по умолчанию | Как получить доступ к безопасности | Унаследованный? |
|---|---|---|---|
| Repos | Администратор проекта | Откройте параметры проекта, репозитории> выделяют безопасность репозитория.> | ✔️ |
| Репозиторий Git | Администратор проекта | Откройте Параметры проекта>Репозитории и репозиторий Git. | ✔️ (из параметров проекта для репозитория Git) |
| Ветка Git | Администратор проекта | Откройте Repos>Ветви> вашей ветки, >Подробнее ... >Безопасность ветки. | ✔️ |
| Репозиторий TFVC | Администратор проекта | Откройте Параметры проекта>Репозитории и репозиторий TFVC. | ✔️ |
Советы
-
Разрешения ветви:
- Ветви наследуют часть разрешений, назначенных на уровне репозитория.
- Дополнительные сведения см. в разделе "Настройка разрешений ветви" и "Улучшение качества кода с помощью политик ветвей"
-
Общие папки запросов:
- Создайте общую папку запроса для каждой команды.
- Предоставьте разрешения на создание и изменение запросов в этой папке всем участникам команды.
-
Группа участников:
- Добавление пользователя в группу участников позволяет добавлять и изменять рабочие элементы.
- Вы можете ограничить разрешения пользователей и групп в зависимости от пути к области. Дополнительные сведения см. в разделе "Настройка разрешений и доступа для отслеживания работы", "Изменение рабочих элементов" в пути к области.
-
Отчет о разрешениях:
- Администраторы коллекции проектов могут скачать отчет о разрешениях для репозитория.
- Кнопка пользовательского интерфейса для этой функции не отображается для пользователей, которые не являются членами группы администраторов коллекции проектов.
Установка разрешений для объектов Pipelines
В следующей таблице приведены сведения о настройке разрешений на уровне объекта для конвейеров сборки, конвейеров выпуска, групп развертывания и т. д.
| Объект | Членство в группах по умолчанию | Как получить доступ к безопасности | Унаследованный? |
|---|---|---|---|
| Конвейеры | Администратор проекта | Откройте Конвейеры>Конвейеры>Все> ваш конвейер >Ещё ... >Управление безопасностью. | ✔️ |
| Сборка конвейеров | Администратор проекта | Откройте конвейер сборки >еще ... >Управление безопасностью. | ✔️ |
| Запуски сборочного конвейера | Администратор проекта | Откройте конвейер сборки, выполните >еще ...>Управление безопасностью. | ✔️ |
| Цепочки релизов | Администратор проекта | Откройте конвейер выпуска >Больше ... >Управление безопасностью. | ✔️ |
| Группы задач (классическая модель) | Администратор проекта | Откройте группу задач >Дополнительно ... >Контроль безопасности. | ✔️ |
| Группы развертывания | Администратор проекта | Откройте группу развертывания >Дополнительно ... >Настройки безопасности. | ✔️ |
| Пулы развертывания | Администратор проекта | Откройте пул развертывания >Еще ... >Управление безопасностью. | ✔️ |
| Среды | Администратор проекта | Откройте среду >Ещё ... >Управление безопасностью. | ✔️ (из параметров разрешений сред) |
| Группы переменных | Администратор проекта | Откройте группу переменных >Еще ... >Управление безопасностью. | ✔️ (из параметров разрешений библиотеки) |
| Безопасные файлы | Администратор проекта | Откройте безопасный файл >...>Управление безопасностью. | ✔️ (из параметров разрешений библиотеки) |
Установка разрешений для объектов Artifacts
В таблице приведены сведения о настройке объектно-уровневых разрешений для артефактов и каналов.
| Объект | Членство в группах по умолчанию | Как получить доступ к безопасности | Унаследовано? |
|---|---|---|---|
| Артефакты | Администратор проекта | Откройте значок настроек в Azure Artifacts>. Значок не отображается, если у вас нет нужных разрешений. | нет |
| Ленты | Администратор проекта или администратор веб-канала | Откройте ваш канал >значок шестерёнки>Разрешения>+ Добавить пользователей/группы. | нет |
Настройка разрешений для объектов планов тестирования
- Планы тестирования, наборы тестов, тестовые случаи и другие тестовые объекты управляются аналогично рабочим элементам, так как они представляют типы рабочих элементов, относящиеся к тесту, как описано в объектах и терминах тестирования.
- Вы можете управлять разрешениями на уровне тестирования с помощью параметров уровня проекта или параметров уровня объекта области. Дополнительные сведения см. в разделе "Настройка разрешений и доступ для тестирования".
Настройка разрешений объекта с помощью командной строки
Вы можете использовать средство командной строки безопасности az devops, позволяющее просматривать разрешения для различных объектов и функций и управлять ими.
Ниже приведены некоторые примеры более детализированных разрешений, которые можно управлять с помощью командной строки:
-
Уведомления: Используйте пространства имен
EventSubscriptionиEventSubscriber. -
Панели мониторинга: читать или создавать панели мониторинга с помощью
DashboardPrivilegesпространства имен. -
Конечные точки службы: используйте, управляйте или просматривайте конечные точки службы через
ServiceEndpointsпространство имен. -
Планы доставки: Просмотр планов доставки через
Plansпространство имен.
Дополнительные сведения о пространствах имен см. в разделе Справочник по пространству имен безопасности и разрешениям.
Настройка разрешений для уведомлений об объектах
Хотя для настройки разрешений уведомлений нет пользовательского интерфейса, некоторые разрешения можно задать с помощью средств командной строки и EventSubscription пространства имен. Дополнительные сведения см. в разделе "Пространство имен безопасности" и справочник по разрешениям.
Ниже приведены некоторые дополнительные советы по управлению уведомлениями:
-
Уровни уведомлений:
- Уведомления можно задать на разных уровнях: пользователь, команда, проект и организация или коллекция.
- К сожалению, не существует пользовательского интерфейса специально для настройки разрешений на уведомления.
- Однако некоторые разрешения можно настроить с помощью средств командной строки и пространства имен EventSubscription.
-
Параметр инициатора пропуска:
- Если вы не хотите получать уведомления о событиях, инициированных вами, включите параметр инициатора пропуска.
- Это предотвращает уведомления о запущенных действиях.
- Дополнительные сведения см. в статье "Исключить себя из сообщений электронной почты уведомлений" для событий, которые вы запускаете.
-
Уведомления на уровне организации:
- Azure DevOps не поддерживает напрямую уведомления всей организации.
- В качестве альтернативы рекомендуется предоставить список рассылки электронной почты, который достигает всей организации.
- В Azure DevOps Services вы можете создать баннер с помощью
az devops bannerкоманды, которую все пользователи видят при входе.