Детализированные области для OAuth Azure Active Directory

Мы поддерживаем детализированные области Azure DevOps, которые можно использовать для ограничения поведения приложений OAuth Azure Active Directory, которые интегрируются с Azure DevOps.

Задав области приложения, можно ограничить операции (например, запись в рабочие элементы, просмотр исходного кода, настройка конвейеров и т. д.) приложение может выполнять при подключении к Azure DevOps от имени пользователя. Приложения, использующие одну широкую область олицетворения пользователя, которая позволяет приложению выполнять любые операции, которые разрешено выполнять базовым пользователем, теперь могут использовать детализированные области для ограничения его поведения. Например, приложение, которое только считывает рабочие элементы, может быть предоставлено только workitem_read области, чтобы она не может делать ничего за пределами этого поведения намеренно или в противном случае.

Добавление областей в приложение потребует, чтобы все приложения, с которыми вы интегрирулись, должны сначала объявить, что они пытаются сделать для вас, определив эти области заранее. Эти области будут доступны для просмотра перед согласием на авторизацию этого приложения для выполнения действий от вашего имени. Это обеспечивает более подробную информацию о том, к чему выполняется приложение с ресурсами, к которым у вас есть доступ.

В качестве разработчика приложений это поможет ограничить вектор риска, если маркер, выданный приложением, попадает в неправильные руки.