Skapa för Azure DevOps med Microsoft Entra OAuth Apps
Viktigt!
När du skapar en ny OAuth 2.0-app börjar du här med Microsoft Entra OAuth-appar, eftersom Azure DevOps OAuth-appar planeras för utfasning 2026. Läs mer i vårt blogginlägg.
Microsoft Entra ID OAuth
Microsoft Entra ID är en separat Microsoft-produkt med en egen plattform. På Microsoft Entra kan du registrera ett program för åtkomst till Azure-klienter och definiera behörigheter som krävs från Azure-resurser, varav Azure DevOps anses vara ett.
Microsoft Entra-appar och Azure DevOps-appar är separata entiteter utan kunskap om varandra. Sättet att autentisera ditt program skiljer sig från Microsoft Entra OAuth till Azure DevOps OAuth. För det första utfärdas Microsoft Entra ID OAuth-appar Microsoft Entra-token, inte Azure DevOps-åtkomsttoken. Dessa token har en standardvaraktighet på en timme innan de upphör att gälla.
Vi rekommenderar att du läser igenom Microsoft Entra-dokumentationen noggrant för att förstå de nya funktionerna som är tillgängliga via Microsoft Entra och de olika förväntningar du har under installationen.
Varför välja Microsoft Entra?
Som en ledande leverantör av identitets- och åtkomsthantering (IAM) fokuserar Microsoft Entra ID på behoven hos företag som behöver hantera teammedlemmar och skydda företagets resurser. Microsoft Entra ID erbjuder många funktioner – programutveckling och hantering är en av dem. Microsoft Entra-programmodellen erbjuder några fördelar jämfört med Azure DevOps OAuth-appmodellen som gör dem mer tilltalande för apputvecklare.
1. Bredare räckvidd inom och utanför Microsoft
Genom att skapa en app på Microsoft Entra har du en bredare räckvidd genom resten av Microsofts ekosystem. En Microsoft Entra-app kan användas för att komma åt flera Microsoft-produkter, vilket gör det mycket enklare att hantera appautentiseringsuppgifter. Teams som erbjuder SaaS-produkter kan överväga att skapa ett förintegrerat program som visas tillsammans med andra populära appar i Microsoft Entra-appgalleriet.
2. Större synlighet för administratörer, medgivande och hantering
Betrodda klientadministratörer kan hantera vilka appar som får åtkomst till företagsresurser, vem i organisationen som kan använda appen och hur medgivande kan erhållas. Azure DevOps OAuth känner inte till klientorganisationer eller deras administratörer och förlitar sig uteslutande på användare för att ge åtkomst till potentiellt känsliga data. Användare som tidigare auktoriserade åtkomst till en sedan länge bortglömd app lämnar dörren öppen för senare potentiell infiltration. Administratörstillsyn ger en extra uppsättning ögon med lämpliga granskningsprocesser och användbar rensning av oanvända eller obehöriga appar.
3. Strängare kontroller för villkorlig åtkomst
Principer för villkorlig åtkomst gör det enkelt att konfigurera lämpliga åtkomstkontroller för vilka användare kan och inte kan komma åt din organisation via en Microsoft Entra-app. Azure DevOps OAuth-appen ligger utanför Microsoft Entra-ekosystemet och följer inte alla principer för villkorlig åtkomst.
4. Appkonfiguration med självbetjäning
Att ändra appomfattningar och appägarskap i en Microsoft Entra-app är relativt enkelt jämfört med Azure DevOps OAuth-appar. Apputvecklare kontaktar vårt kundsupportteam för att göra ändringar i Azure DevOps OAuth-appar, men i Microsoft Entra returneras möjligheten att ändra omfång till utvecklaren. Appägarskapet kan till och med delas mellan flera användare och inte begränsas till en enskild användare som kan utgöra ett problem om användaren lämnar företaget i framtiden.
5. Inloggningsloggar är tillgängliga
Microsoft Entra loggar alla "inloggningar" i en Azure-klientorganisation, som innehåller dina interna appar och resurser. Den här ytterligare informationen kan ge lite mer insikt i vem som använder dina appar som inte är tillgängliga via vår granskning.
Användbara resurser
Att bygga på en ny plattform kan vara överväldigande. Vi tillhandahåller några användbara länkar som vi tror kan vara användbara för OAuth-apputvecklingsprocessen på Microsoft Entra. För utvecklare som byter från Azure DevOps OAuth till Microsoft Entra OAuth ger vi användbara tips att tänka på under migreringen.
Bra resurser för utvecklare
- Microsofts identitetsplattform och OAuth 2.0 Å-Behalf-Of-flödet
- Förstå delegerad åtkomst
- Snabbstart: Registrera ett program med Microsofts identitetsplattform
- Lägg till behörigheter för åtkomst till Microsoft Graph: Användbart om du vill lära dig hur du lägger till delegerade behörigheter från en Azure-resurs. I stället för Microsoft Graph väljer du
Azure DevOpsfrån listan över resurser i stället. - Omfång och behörigheter i Microsofts identitetsplattform: Läs upp omfånget
.default. Se de omfång som är tillgängliga för Azure DevOps i vår lista över omfång. - Begära behörigheter via medgivande
- Autentiseringsbibliotek och kodexempel
- Hantera personliga åtkomsttoken via API: Om du använder API:erna för hantering av PAT-livscykeln krävs Microsoft Entra-token och våra dokument och den associerade exempelappen kan vara ett användbart exempel för att konfigurera en Microsoft Entra-app för att använda Azure DevOps REST-API:er.
- Support- och hjälpalternativ för utvecklare
Bra resurser för administratörer
- Vad är programhantering i Microsoft Entra-ID?
- Snabbstart: Lägga till ett företagsprogram
- Medgivandeupplevelse för program i Microsoft Entra-ID
Skapa och migrera tips
Kommentar
Microsoft Entra OAuth-appar har inte inbyggt stöd för MSA-användare för Azure DevOps REST-API:er. Om du skapar en app som måste tillgodose MSA-användare eller stöder både Microsoft Entra- och MSA-användare är Azure DevOps OAuth-appar fortfarande det bästa alternativet. Vi arbetar för närvarande med inbyggt stöd för MSA-användare via Microsoft Entra OAuth.
- Bra att känna till Azure DevOps-ID:t:
- Microsoft Entra-resursidentifierare:
499b84ac-1321-427f-aa17-267ca6975798 - Resurs-URI:
https://app.vssps.visualstudio.com - Använd omfånget
.defaultnär du begär en token med alla omfång som appen har behörighet för.
- Microsoft Entra-resursidentifierare:
- När du migrerar en befintlig app kanske du använder Azure DevOps-användaridentifierare som inte finns i Microsoft Entra. Använd API:et ReadIdentities för att lösa och matcha de olika identiteter som används av varje identitetsprovider.
Endast appflöden i Microsoft Entra
Microsoft Entra OAuth är den rekommenderade lösningen för att skapa appar för åtkomst till Azure DevOps-tjänster åt en medgivande användare.
Om du vill skapa ett program för att agera på egen hand kan du titta på vår dokumentation om tjänstens huvudnamnssupport. I de här dokumenten går vi vidare med hur du konfigurerar ett huvudnamn för tjänsten eller en hanterad identitet som inte förlitar sig på användarbehörigheter för att utföra åtgärder på organisationsresurser, utan i stället enbart förlitar sig på sina egna behörigheter. Den här autentiseringsmekanismen är den rekommenderade autentiseringen för att skapa automatiserade verktyg för team.