Granulare Bereiche für Azure Active Directory OAuth

Wir unterstützen granulare Azure DevOps-Bereiche, die verwendet werden können, um das Verhalten der Azure Active Directory OAuth-Anwendungen zu begrenzen, die in Azure DevOps integriert sind.

Indem Sie Bereiche für eine Anwendung festlegen, können Sie die Vorgänge einschränken (z. B. Schreiben in Arbeitsaufgaben, Anzeigen von Quellcode, Konfigurieren von Pipelines usw.), die eine Anwendung beim Herstellen einer Verbindung mit Azure DevOps im Namen des Benutzers ausführen kann. Apps, die einen einzelnen breiten Benutzeridentitätswechselbereich verwenden, der es der App ermöglicht, alle Vorgänge auszuführen, die der zugrunde liegende Benutzer ausführen darf, können nun die granularen Bereiche verwenden, um sein Verhalten einzuschränken. Beispielsweise kann eine App, die nur Arbeitsaufgaben liest, nur einen workitem_read Bereich erhalten, sodass sie außerhalb dieses Verhaltens absichtlich oder anderweitig nichts tun kann.

Das Hinzufügen von Bereichen zu einer Anwendung erfordert, dass alle Anwendungen, mit denen Sie arbeiten, zuerst deklarieren müssen, was sie für Sie tun möchten, indem Sie diese Bereiche vorab definieren. Diese Bereiche stehen Ihnen zur Verfügung, bevor Sie der Autorisierung dieser App zustimmen, Aktionen in Ihrem Auftrag auszuführen. Dadurch wird sichergestellt, dass Sie mehr Transparenz darüber haben, was eine Anwendung mit Ressourcen tut, auf die Sie Zugriff haben.

Als Anwendungsentwickler hilft dies, den Risikovektor zu begrenzen, wenn ein von Ihrer Anwendung ausgestelltes Token in falsche Hände fällt.