Autentisera med Azure DevOps med Microsoft Entra

Microsoft Entra ID är en separat Microsoft-produkt med en egen plattform. Som en ledande leverantör av identitets- och åtkomsthantering (IAM) fokuserar Microsoft Entra-ID på behoven hos företag som behöver hantera teammedlemmar och skydda företagets resurser. Vi erbjuder möjligheten att ansluta din Azure DevOps-organisation till en Microsoft Entra ID-klientorganisation, och det kan finnas många fördelar för ditt företag att göra det.

När microsoft Identity-programplattformen är ansluten ovanpå Microsoft Entra-ID:t finns det några fördelar som gör den tilltalande för apputvecklare och organisationsadministratörer. På Microsoft Entra kan du registrera ett program för åtkomst till Azure-klienter och definiera behörigheter som krävs från Azure-resurser, varav Azure DevOps anses vara ett. Azure DevOps finns utanför strukturen för Azure-abonnenter.

Microsoft Entra-appar och Azure DevOps-appar är separata entiteter utan kunskap om varandra. Sättet att autentisera ditt program skiljer sig från Microsoft Entra OAuth till Azure DevOps OAuth. För det första Microsoft Entra ID OAuth-appar utfärdas Microsoft Entra-token, inte Azure DevOps-åtkomsttoken. Dessa token har en standardvaraktighet på en timme innan de upphör att gälla.

Utveckla Azure DevOps-appar på Microsoft Entra

Vi rekommenderar att du läser Microsoft Entra-dokumentationen noggrant för att förstå de nya funktionerna som är tillgängliga via Microsoft Entra och de olika förväntningar på dig under installationen.

Vi har vägledning för att stödja din apputveckling för:

• Microsoft Entra OAuth-appar (å användares vägnar) för appar som utför åtgärder å användares vägnar med deras samtycke
• Microsoft Entra-tjänstens huvudnamn och hanterade identiteter (för appar som hanterar sig själva) för appar som utför automatiserade verktyg inom ett team

Ersätta PAT med Microsoft Entra-token

Personliga åtkomsttoken (PAT) förbli en av de mest populära formerna av autentisering för Azure DevOps-användare för att de enkelt ska kunna skapa och använda dem. Dålig PAT-hantering och -lagring kan dock leda till obehörig åtkomst till dina Azure DevOps-organisationer. Att låta PAT leva under en lång livstid eller överdimensionera dem kan också öka risken för skador som en läckt PAT kan orsaka.

Microsoft Entra-token är ett tilltalande alternativ eftersom de bara varar i en timme innan de måste uppdateras. Autentiseringsprotokollen för att generera Entra-token är mer robusta och säkra. Säkerhetsåtgärder som principer för villkorlig åtkomst skydda mot tokenstöld och reprisattacker. Vi hoppas kunna få fler användare att utforska användningen av Microsoft Entra-token där PAT:er vanligtvis används idag. Vi delar några av de mest populära PAT-användningsfallen och hur du kan ersätta PAT med en Entra-token i det här arbetsflödet.

Ad hoc-begäranden till Azure DevOps REST-API:er

Du kan också använda Azure CLI- för att hämta Åtkomsttoken för Microsoft Entra-ID så att användarna kan anropa REST-API:er för Azure DevOps. Eftersom Entra-åtkomsttoken bara finns i en timme är de idealiska för snabba engångsåtgärder, till exempel API-anrop som inte behöver en beständig token.

Hämta användartoken i Azure CLI

Kredit till dessa instruktioner går till Databricks-dokument.

1. Logga in på Azure CLI med kommandot az login och följ anvisningarna på skärmen.
2. Ange rätt prenumeration för den inloggade användaren med dessa bash-kommandon. Kontrollera att Azure-prenumerations-ID:t är associerat med klientorganisationen som är ansluten till den Azure DevOps-organisation som du försöker komma åt. Om du inte känner till ditt prenumerations-ID hittar du det i Azure-portalen. bash az account set -s <subscription-id>
3. Generera en Microsoft Entra ID-åtkomsttoken med az account get-access-token Resurs-ID:t för Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798. bash az account get-access-token \ --resource 499b84ac-1321-427f-aa17-267ca6975798 \ --query "accessToken" \ -o tsv

Hämta token för tjänstens huvudnamn i Azure CLI

Serviceprincipaler kan också använda ad-hoc-åtkomsttoken för Microsoft Entra ID för ad-hoc-uppgifter. Anvisningar om hur du gör detta finns i det här avsnittet i guiden för tjänstens huvudprinciper och hanterade identiteter.

Git-åtgärder med Git Credential Manager

Microsoft Entra-token kan också användas för att utföra Git-åtgärder. För dem som regelbundet skickar till git-lagringsplatser med Git Credential Manager erbjuder ett enkelt sätt att begära och hantera sina autentiseringsuppgifter för Microsoft Entra OAuth-token, så länge oauth anges som standard credential.azReposCredentialType.