Dela via

Autentisera till Azure DevOps med Microsoft Entra

  • Artikel

Microsoft Entra ID är en separat Microsoft-produkt med en egen plattform. Som en ledande leverantör av identitets- och åtkomsthantering (IAM) fokuserar Microsoft Entra ID på att hantera teammedlemmar och skydda företagsresurser. Du kan ansluta din Azure DevOps-organisation till en Microsoft Entra ID-klientorganisation, som erbjuder många fördelar för ditt företag.

När microsoft Identity-programplattformen är ansluten ovanpå Microsoft Entra-ID:t finns det flera fördelar för apputvecklare och organisationsadministratörer. Du kan registrera ett program för att få åtkomst till Azure-klientorganisationer och definiera behörigheter som behövs från Azure-resurser, inklusive Azure DevOps, som finns utanför Azure-klientorganisationens konstruktion.

Microsoft Entra-appar och Azure DevOps-appar är separata entiteter utan kunskap om varandra. Autentiseringsmetoderna skiljer sig åt: Microsoft Entra använder OAuth, medan Azure DevOps använder sin egen OAuth. Microsoft Entra ID OAuth-appar utfärdar Microsoft Entra-token, inte Azure DevOps-åtkomsttoken. Dessa token har en standardvaraktighet på en timme innan de upphör att gälla.

Utveckla Azure DevOps-appar på Microsoft Entra

Läs igenom Microsoft Entra-dokumentationen noggrant för att förstå de nya funktionerna och olika förväntningar under installationen.

Vi stöder din apputveckling med vägledning för:

Ersätt PAT med Microsoft Entra-token

personliga åtkomsttoken (PAT) är populära för Azure DevOps-autentisering på grund av att de är enkla att skapa och använda. Dålig PAT-hantering och -lagring kan dock leda till obehörig åtkomst till dina Azure DevOps-organisationer. Långlivade eller överdrivet omfattande PAT:er ökar risken för skador från en läckt PAT.

Microsoft Entra-token erbjuder ett säkert alternativ som bara varar en timme innan en uppdatering krävs. Autentiseringsprotokollen för att generera Entra-token är mer robusta och säkra. Säkerhetsåtgärder som principer för villkorlig åtkomst skydda mot tokenstöld och reprisattacker. Vi uppmuntrar användare att utforska genom att använda Microsoft Entra-token i stället för PATs. Vi delar populära PAT-användningsfall och sätt att ersätta PAT med Entra-token i det här arbetsflödet.

Ad hoc-begäranden till Azure DevOps REST-API:er

Du kan också använda Azure CLI- för att hämta Åtkomsttoken för Microsoft Entra-ID så att användarna kan anropa REST-API:er för Azure DevOps. Eftersom Entra-åtkomsttoken bara varar i en timme är de idealiska för snabba engångsåtgärder, till exempel API-anrop som inte behöver en beständig token.

Hämta användartoken i Azure CLI

  1. Logga in på Azure CLI med kommandot az login och följ anvisningarna på skärmen.
  2. Ange rätt prenumeration för den inloggade användaren med dessa bash-kommandon. Kontrollera att Azure-prenumerations-ID:t är associerat med klientorganisationen som är ansluten till den Azure DevOps-organisation som du försöker komma åt. Om du inte känner till ditt prenumerations-ID hittar du det i Azure-portalen.
  az account set -s <subscription-id>
  1. Generera en Microsoft Entra ID-åtkomsttoken med az account get-access-token Resurs-ID:t för Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.
az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv

Mer information finns i Databricks-dokument.

Hämta token för tjänstens huvudnamn i Azure CLI

Serviceprincipaler kan också använda ad-hoc-åtkomsttoken för Microsoft Entra ID för ad-hoc-uppgifter. Mer information finns i Tjänstens huvudprincipaler och hanterade identiteter/Hämta en Microsoft Entra ID-token med Azure CLI.

Git-åtgärder med Git Credential Manager

Du kan också använda Microsoft Entra-token för att utföra Git-åtgärder. Om du regelbundet push-överför till git-lagringsplatser använda Git Credential Manager- för att enkelt begära och hantera dina autentiseringsuppgifter för Microsoft Entra OAuth-token så länge oauth anges som standard credential.azReposCredentialType.