Authentifizierung bei Azure DevOps mit Microsoft Entra

Microsoft Entra ID ist ein separates Produkt von Microsoft mit einer eigenen Plattform. Als führender Identitäts- und Zugriffsverwaltungsanbieter (IAM) konzentriert sich Microsoft Entra ID auf die Verwaltung von Teammitgliedern und die Sicherung von Unternehmensressourcen. Sie können Ihre Azure DevOps-Organisation mit einem Microsoft Entra ID-Mandanten verbinden, was viele Vorteile für Ihr Unternehmen bietet.

Nach der Verbindung bietet die Microsoft Identity-Anwendungsplattform über der Microsoft Entra-ID mehrere Vorteile für App-Entwickler und Organisationsadministratoren. Sie können eine Anwendung für den Zugriff auf Azure-Mandanten registrieren und Berechtigungen definieren, die von Azure-Ressourcen benötigt werden, einschließlich Azure DevOps, das außerhalb des Azure-Mandantenkonstrukts vorhanden ist.

Microsoft Entra-Apps und Azure DevOps-Apps sind separate Entitäten, die nichts voneinander wissen. Die Authentifizierungsmethoden unterscheiden sich: Microsoft Entra verwendet OAuth, während Azure DevOps eigene OAuth verwendet. Microsoft Entra ID OAuth-Apps stellen Microsoft Entra-Token aus, nicht aber Azure DevOps-Zugriffstoken. Diese Token haben eine standardmäßigen Gültigkeitsdauer von einer Stunde, bevor sie abläuft.

Entwickeln Sie Azure DevOps-Apps auf Microsoft Entra

Lesen Sie die Microsoft Entra-Dokumentation gründlich durch, um die neuen Funktionen und unterschiedlichen Erwartungen während der Einrichtung zu verstehen.

Wir unterstützen Ihre App-Entwicklung mit Anleitungen für:

• Microsoft Entra OAuth-Apps (On-Behalf-of-User Apps) für Apps, die Aktionen im Namen von zustimmenden Benutzern durchführen.
• Microsoft Entra Dienstprinzipale und verwaltete Identitäten (On-Behalf-of-Self-Apps) für Apps, die automatisierte Tools innerhalb eines Teams einsetzen.

Ersetzen von PATs durch Microsoft Entra-Token

Persönliche Zugriffstoken (PATs) sind aufgrund ihrer einfachen Erstellung und Verwendung beliebt für die Azure DevOps-Authentifizierung. Schlechte PAT-Verwaltung und -Speicher können jedoch zu nicht autorisiertem Zugriff auf Ihre Azure DevOps-Organisationen führen. Langlebige oder übermäßig ausgedehnte PATs erhöhen das Risiko eines Schadens durch ein Leck in einem PAT.

Microsoft Entra-Token bieten eine sichere Alternative, die nur eine Stunde lang dauert, bevor eine Aktualisierung erforderlich ist. Die Authentifizierungsprotokolle zum Generieren von Entra-Token sind robuster und sicherer. Sicherheitsmaßnahmen wie Zugangskontrollpolitik Schutz vor Token-Diebstahl und Replay-Angriffen. Wir empfehlen Benutzern, die Verwendung von Microsoft Entra-Token anstelle von PATs zu erkunden. Wir stellen beliebte Anwendungsfälle für PATs vor und erläutern, wie PATs in diesem Workflow durch Entra-Token ersetzt werden können.

Ad-hoc-Anfragen an Azure DevOps REST-APIs

Sie können auch die Azure CLI um Microsoft Entra ID-Zugangstoken für Benutzer zu erhalten, die anrufen Azure DevOps REST-APIs. Da Entra-Zugriffstoken nur eine Stunde dauern, eignen sie sich ideal für schnelle einmalige Vorgänge, z. B. API-Aufrufe, die kein persistentes Token benötigen.

Erfassen von Benutzer-Tokens in Azure CLI

1. Melden Sie sich beim Azure CLI mit dem Befehl az login an und folgen Sie den Anweisungen auf der Seite.
2. Legen Sie mit diesen Bash-Befehlen das richtige Abonnement für den angemeldeten Benutzer fest. Vergewissern Sie sich, dass die ID des Azure-Abonnements mit dem Mandanten verknüpft ist, der mit der Azure DevOps-Organisation verbunden ist, auf die Sie zugreifen möchten. Wenn Sie Ihre Abonnement-ID nicht kennen, können Sie sie im Azure-Portal finden.

  az account set -s <subscription-id>

3. Generieren Sie ein Microsoft Entra-ID-Zugriffstoken az account get-access-token mit der Azure DevOps-Ressourcen-ID: 499b84ac-1321-427f-aa17-267ca6975798.

az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv

Weitere Informationen finden Sie unter Databricks-Dokumentation.

Erwerben von Dienstprinzipal-Tokens in Azure CLI

Dienstvorgesetzte können auch Ad-hoc-Zugriffstoken von Microsoft Entra ID für Ad-hoc-Vorgänge verwenden. Weitere Informationen finden Sie unter Dienstprinzipale und verwaltete Identitäten/Abrufen eines Microsoft Entra ID-Tokens mit der Azure CLI.

Git-Vorgänge mit Git Credential Manager

Sie können auch Microsoft Entra-Token verwenden, um Git-Vorgänge auszuführen. Wenn Sie regelmäßig in Git-Repositories pushen, verwenden Sie den Git Credential Manager, um Ihre Microsoft Entra OAuth Token-Anmeldeinformationen einfach anzufordern und zu verwalten, sofern oauth als Standard festgelegt ist credential.azReposCredentialType.

Verwandte Artikel

• Azure DevOps-Integration mit Microsoft Entra OAuth-Apps aufbauen
• Verwenden von Dienstprinzipalen & verwalteten Identitäten in Azure DevOps