Поделиться через

Параметры проверки подлинности локального агента

  • Статья

Azure Pipelines предоставляет несколько вариантов проверки подлинности, которые можно использовать при регистрации агента. Эти методы проверки подлинности используются только во время регистрации агента. Подробности о том, как агенты общаются после регистрации, см. в разделе общение агентов.

Метод регистрации агента Azure DevOps Services Azure DevOps Server & TFS
персональный токен доступа (PAT) Поддерживается Поддерживается при настройке сервера с помощью HTTPS
служебный принципал Поддерживается В настоящее время не поддерживается
Поток кода устройства (Идентификатор Microsoft Entra) Поддержанный В настоящее время не поддерживается
Интегрированный Не поддерживается Только агенты Windows
Переговоры Не поддерживается Только агенты Windows
альтернативный (ALT) Не поддерживается Поддерживается при настройке сервера с помощью HTTPS

Личный маркер доступа (PAT)

Укажите токен личного доступа (PAT) в качестве типа проверки подлинности во время настройки агента для его использования при регистрации. Далее укажите токен личного доступа (PAT) с областью пулов агентов (чтение, управление) или с областью группы развертывания (чтение, управление), чтобы его можно было использовать для регистрации агента в группе развертывания.

Для получения дополнительной информации см. раздел Регистрация агента с использованием личного токена доступа (PAT)

Субъект-служба

Укажите SP в качестве типа аутентификации при настройке агента, чтобы использовать учетную запись службы для аутентификации во время регистрации агента.

Дополнительные сведения см. в разделе Регистрация агента с использованием служебного субъекта.

Процесс ввода кода устройства

Укажите AAD для типа проверки подлинности во время настройки агента, чтобы использовать поток кода устройства для проверки подлинности во время регистрации агента.

Дополнительные сведения см. в статье Регистрация агента с помощью потока кода устройства.

Интегрированный

Встроенная проверка подлинности Windows для регистрации агента доступна только для регистрации агента Windows на сервере Azure DevOps Server и TFS.

Укажите "Интегрированный" в качестве типа аутентификации при настройке агента, чтобы использовать встроенную аутентификацию Windows для подтверждения подлинности во время регистрации агента.

Подключите агент Windows к TFS с помощью учетных данных пользователя, вошедшего в систему, с помощью схемы проверки подлинности Windows, например NTLM или Kerberos.

Чтобы использовать этот метод проверки подлинности, необходимо сначала настроить сервер TFS.

  1. Войдите на компьютер, на котором выполняется TFS.

  2. Запустите диспетчер служб IIS. Выберите сайт TFS и убедитесь, что авторизация Windows включена и используется с допустимым поставщиком, например NTLM или Kerberos.

снимок экрана конфигурации проверки подлинности Windows для IIS TFS.

снимок экрана проверки подлинности Windows служб IIS с конфигурацией поставщика NTLM.

Вести переговоры

Метод согласования проверки подлинности для регистрации агента доступен только для регистрации агента Windows на сервере Azure DevOps Server и TFS.

Подключитесь к TFS как пользователю, отличному от пользователя, вошедшего в систему, через схему проверки подлинности Windows, например NTLM или Kerberos.

Чтобы использовать этот метод проверки подлинности, необходимо сначала настроить сервер TFS.

  1. Войдите на компьютер, на котором выполняется TFS.

  2. Запустите диспетчер служб IIS. Выберите сайт TFS и убедитесь, что проверка подлинности Windows включена с поставщиком Negotiate и другим методом, например, NTLM или Kerberos.

снимок экрана конфигурации проверки подлинности Windows для IIS TFS.

снимок экрана проверки подлинности windows IIS TFS с конфигурацией поставщика negotiate и NTLM.

Альтернативный (ALT)

Альтернативный (базовый) метод проверки подлинности для регистрации агента доступен только в Azure DevOps Server и TFS.

Подключитесь к TFS с помощью базовой проверки подлинности. Чтобы использовать этот метод, необходимо сначала настроить HTTPS в TFS.

Чтобы использовать этот метод проверки подлинности, необходимо настроить сервер TFS следующим образом:

  1. Войдите на компьютер, на котором выполняется TFS.

  2. Настройка базовой проверки подлинности. См. , как использовать tfx против Team Foundation Server 2015, используя базовую проверку подлинности.

Заметка

Согласно проекту продукта, для работы аутентификации OAuth требуется анонимная аутентификация IIS. Эта проверка подлинности OAuth используется Azure DevOps для функций агента и конвейера. По этой причине даже если у нас уже настроены агенты, эти агенты будут непригодными для использования, если отключить анонимную проверку подлинности. Продукты Azure DevOps уже имеют отличный подход к безопасности. Серверное приложение TFS/Azure DevOps в IIS не позволит выполнять запросы без проверки подлинности. Это просто позволяет ему пройти входную дверь IIS в приложение, которое применяет OAuth. Например, во время выполнения конвейера сервер сборки создает маркер OAuth для каждой сборки, который ограничен сборкой и истекает после сборки. Таким образом, несмотря на то, что токен охраняется, в случае утечки он бесполезен после сборки - в отличие от удостоверения личности. Маркер OAuth также недоступен для кода, выполняемого процессом сборки (модульные тесты, зарегистрированные разработчиками). Если бы это зависело от удостоверения Windows, под которым запущена служба Windows, то разработчики, выполняющие модульные тесты в CI, могли бы получить повышенные права для доступа к коду или его удаления, на что у них нет разрешения.