Dela via

Autentisera till Azure DevOps med Microsoft Entra

  • Artikel

Microsoft Entra ID är en separat Microsoft-produkt med en egen plattform. Som en ledande leverantör av identitets- och åtkomsthantering (IAM) fokuserar Microsoft Entra ID på att hantera teammedlemmar och skydda företagsresurser. Du kan ansluta din Azure DevOps-organisation till en Microsoft Entra ID-klientorganisation, som erbjuder många fördelar för ditt företag.

När microsoft Identity-programplattformen är ansluten ovanpå Microsoft Entra-ID:t finns det flera fördelar för apputvecklare och organisationsadministratörer. Du kan registrera ett program för att få åtkomst till Azure-klientorganisationer och definiera behörigheter som behövs från Azure-resurser, inklusive Azure DevOps, som finns utanför Azure-klientorganisationens konstruktion.

Microsoft Entra-appar och Azure DevOps-appar är separata entiteter utan kunskap om varandra. Autentiseringsmetoderna skiljer sig åt: Microsoft Entra använder OAuth, medan Azure DevOps använder sin egen OAuth. Microsoft Entra ID OAuth-appar utfärdar Microsoft Entra-token, inte Azure DevOps-åtkomsttoken. Dessa token har en standardvaraktighet på en timme innan de upphör att gälla.

Utveckla Azure DevOps-appar på Microsoft Entra

Läs igenom Microsoft Entra-dokumentationen noggrant för att förstå de nya funktionerna och olika förväntningar under installationen.

Vi stöder din apputveckling med vägledning för:

Ersätt PAT med Microsoft Entra-token

personliga åtkomsttoken (PAT) är populära för Azure DevOps-autentisering på grund av att de är enkla att skapa och använda. Dålig PAT-hantering och -lagring kan dock leda till obehörig åtkomst till dina Azure DevOps-organisationer. Långlivade eller överdrivet omfattande PAT:er ökar risken för skador från en läckt PAT.

Microsoft Entra-token erbjuder ett säkert alternativ som bara varar en timme innan en uppdatering krävs. Autentiseringsprotokollen för att generera Entra-token är mer robusta och säkra. Säkerhetsåtgärder som principer för villkorlig åtkomst skydda mot tokenstöld och reprisattacker. Vi uppmuntrar användare att utforska genom att använda Microsoft Entra-token i stället för PATs. Vi delar populära PAT-användningsfall och sätt att ersätta PAT med Entra-token i det här arbetsflödet.

Ad hoc-begäranden till Azure DevOps REST-API:er

Du kan också använda Azure CLI- för att hämta Åtkomsttoken för Microsoft Entra-ID så att användarna kan anropa REST-API:er för Azure DevOps. Eftersom Entra-åtkomsttoken bara varar i en timme är de idealiska för snabba engångsåtgärder, till exempel API-anrop som inte behöver en beständig token.

Hämta användartoken

  1. Logga in på Azure CLI med kommandot az login och följ anvisningarna på skärmen.

  2. Ange rätt prenumeration för den inloggade användaren med dessa bash-kommandon. Kontrollera att Azure-prenumerations-ID:t är associerat med klientorganisationen som är ansluten till den Azure DevOps-organisation som du försöker komma åt. Om du inte känner till ditt prenumerations-ID hittar du det i Azure-portalen.

    az account set -s <subscription-id>

  3. Generera en Microsoft Entra ID-åtkomsttoken med kommandot az account get-access-token med hjälp av Resurs-ID:t för Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.

    az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv

Mer information finns i Databricks-dokument.

Hämta token för tjänstens huvudnamn i Azure CLI

Serviceprincipaler kan också använda ad-hoc-åtkomsttoken för Microsoft Entra ID för ad-hoc-uppgifter. Mer information finns i Tjänstens huvudprincipaler och hanterade identiteter/Hämta en Microsoft Entra ID-token med Azure CLI.

Git-åtgärder med Git Credential Manager

Du kan också använda Microsoft Entra-token för att utföra Git-åtgärder. Om du regelbundet push-överför till git-lagringsplatser använda Git Credential Manager- för att enkelt begära och hantera dina autentiseringsuppgifter för Microsoft Entra OAuth-token så länge oauth anges som standard credential.azReposCredentialType.