Поддержка управляемых удостоверений и субъектов-служб

Сегодня большинство сценариев интеграции приложений используют личные маркеры доступа (PAT) для интеграции с Azure DevOps. PaT может быть легко утечка, что потенциально позволяет злоумышленникам проходить проверку подлинности в качестве мощных пользователей без защиты функций безопасности Azure Active Directory, таких как политики условного доступа. Чтобы избежать этого, им может потребоваться длительное обслуживание, включая регулярную смену.

Мы работаем над тем, чтобы приложения могли использовать управляемые удостоверения и субъекты-службы для интеграции с Azure DevOps с помощью REST API и клиентских библиотек. Эта запрашиваемая функция предлагает клиентам Azure DevOps более безопасную альтернативу PAT. Управляемые удостоверения позволяют приложениям, работающим на ресурсах Azure, получать маркеры Azure AD без необходимости управления учетными данными.

Управляемые удостоверения и субъекты-службы можно настроить в Azure DevOps и предоставить разрешения на определенные ресурсы (проекты, репозитории, конвейеры), как и обычные пользователи. Это позволяет приложениям, используюющим управляемые удостоверения или субъекты-службы, подключаться к Azure DevOps и выполнять действия от своего имени, а не от имени пользователя, как это делает PAT. Это гарантирует, что команды могут лучше управлять своими службами совместно, а не полагаться на одного человека для предоставления маркера для проверки подлинности.