构建与 Microsoft Entra OAuth 应用的 Azure DevOps 集成

Azure DevOps Services

本指南提供有关为 Azure DevOps 构建 Microsoft Entra OAuth 应用的详细信息的信息和链接。 Microsoft Entra ID 提供可靠的标识和访问管理功能，使你能够代表用户使用 OAuth 令牌对用户进行身份验证和执行操作。 使用此信息可为各种应用流应用 Microsoft Entra OAuth 令牌，包括委派访问和基于服务主体的访问。

使用 Microsoft Entra OAuth 令牌

Microsoft标识平台提供了多种方式，通过 OAuth 2.0 协议对用户进行身份验证。 在这些文档中，对于请求令牌为其用户执行操作的应用程序，我们使用 OAuth 令牌通俗地指代表用户流，也称为委托流。 本指南的其余部分为这些应用开发人员提供了有用的资源。

我们支持的另一个常见应用流程是使用服务主体和托管标识来构建代表应用。 Microsoft Entra 令牌也可以用于 Azure CLI 的临时请求，或者通过 Git 凭据管理器的 Git 操作。

重要

创建新的 OAuth 2.0 应用时，请从 Microsoft Entra OAuth 应用开始，因为 计划于 2026 年弃用 Azure DevOps OAuth 应用 。 在我们的博客文章中了解详细信息。

面向开发人员的资源

• 将应用程序注册到 Microsoft 标识平台
• 添加对 Microsoft Graph 的访问权限：了解如何从 Azure 资源添加委托的权限。 从资源列表中选择 Azure DevOps，而不是 Microsoft Graph。
• 了解 Microsoft 标识平台中的范围和权限：了解 .default 范围。 在我们的范围列表中，请参阅 Azure DevOps 可用的范围。
• 请求通过同意许可
• 使用身份验证库和代码示例
• 通过 API 管理个人访问令牌：将 PAT 生命周期管理 API 与 Microsoft Entra 令牌配合使用。 我们的文档和关联的示例应用提供了用于设置 Microsoft Entra 应用以使用 Azure DevOps REST API 的示例。
• 了解面向开发人员的支持和帮助选项

管理员资源

• 了解 Microsoft Entra ID 中的应用程序管理
• 添加企业应用程序
• 了解 Microsoft Entra ID 中应用程序的同意体验

有关构建和迁移的提示

注意

Microsoft Entra OAuth 应用程序并不原生支持使用 Microsoft 帐户（MSA）的 Azure DevOps REST API 用户。 如果要构建一个必须迎合 MSA 用户或同时支持 Microsoft Entra 和 MSA 用户的应用，Azure DevOps OAuth 应用仍然是最佳选择。 我们目前正在通过 Microsoft Entra OAuth 为 MSA 用户提供原生支持。

• 重要的 Azure DevOps 身份标识：
  • Microsoft Entra 资源标识符： 499b84ac-1321-427f-aa17-267ca6975798
  • 资源 URI：https://app.vssps.visualstudio.com
  • .default请求具有应用权限的所有范围的令牌时，请使用范围。
• 迁移现有应用时，可以使用 Microsoft Entra 中不存在的 Azure DevOps 用户标识符。 使用 ReadIdentities API 解析和匹配每个标识提供者使用的不同标识。

相关文章

• 使用 Microsoft Entra 对 Azure DevOps 进行身份验证
• 在 Azure DevOps 中使用服务主体和托管标识