S’authentifier auprès d’Azure DevOps avec Microsoft Entra

Microsoft Entra ID est un produit Microsoft distinct avec sa propre plateforme. En tant que fournisseur de gestion des identités et des accès (IAM), Microsoft Entra ID se concentre sur la gestion des membres de l’équipe et la protection des ressources de l’entreprise. Vous pouvez connecter votre organisation Azure DevOps à un locataire Microsoft Entra ID, qui offre de nombreux avantages à votre entreprise.

Une fois connecté, la plateforme d’application Microsoft Identity sur l’ID Microsoft Entra offre plusieurs avantages aux développeurs d’applications et aux administrateurs d’organisation. Vous pouvez enregistrer une application pour accéder aux locataires Azure et définir les autorisations nécessaires à partir de ressources Azure, y compris Azure DevOps, qui existe en dehors de la structure de locataire Azure.

Les applications Microsoft Entra et les applications Azure DevOps sont des entités distinctes n’ont pas connaissance les unes des autres. Les méthodes d’authentification diffèrent : Microsoft Entra utilise OAuth, tandis qu’Azure DevOps utilise son propre OAuth. Les applications OAuth d’ID Microsoft Entra émettent des jetons Microsoft Entra, et non des jetons d’accès Azure DevOps. Ces jetons ont une durée standard d’une heure avant expiration.

Développer des applications Azure DevOps sur Microsoft Entra

Lisez attentivement la documentation Microsoft Entra pour comprendre la nouvelle fonctionnalité et les différentes attentes lors de la configuration.

Nous prenons en charge le développement d’applications avec des conseils pour :

• Applications OAuth Microsoft Entra (applications agissant au nom des utilisateurs) pour les applications qui effectuent des actions au nom des utilisateurs consentants.
• Les principaux de service et les identités gérées Microsoft Entra (applications en leur nom propre) pour les applications qui réalisent des tâches automatisées dans une équipe.

Remplacer les PAT par des jetons Microsoft Entra

Les jetons d’accès personnels (PATs) sont populaires pour l’authentification Azure DevOps en raison de leur facilité de création et d’utilisation. Toutefois, une gestion et un stockage médiocres des PAT peuvent entraîner un accès non autorisé à vos organisations Azure DevOps. Les PAT durables ou sur-scopés augmentent le risque de dommages en cas de fuite d’un PAT.

Les jetons Microsoft Entra offrent une alternative sécurisée, durable d’une heure seulement avant d’exiger une actualisation. Les protocoles d’authentification pour la génération de jetons Entra sont plus robustes et sécurisés. Les mesures de sécurité telles que les stratégies d’accès conditionnel peuvent protéger contre le vol de jetons et les attaques par relecture. Nous encourageons les utilisateurs à envisager l'utilisation de jetons Microsoft Entra au lieu de PATs. Nous partageons des cas d’usage PAT populaires et des façons de remplacer les PATs par des jetons Entra dans ce flux de travail.

Requêtes ponctuelles aux API REST Azure DevOps

Vous pouvez également utiliser l'Azure CLI pour obtenir des jetons d’accès Microsoft Entra ID pour que les utilisateurs puissent appeler les API REST Azure DevOps. Étant donné que les jetons d’accès Entra ne durent qu’une heure, ils sont idéaux pour les opérations ponctuelles rapides, comme les appels d’API qui n’ont pas besoin d’un jeton persistant.

Acquérir des jetons utilisateur dans Azure CLI

1. Connectez-vous à l’Azure CLI en utilisant la commande az login et suivez les instructions affichées à l’écran.
2. Définissez le bon abonnement pour l’utilisateur connecté avec ces commandes bash. Assurez-vous que l’ID d’abonnement Azure est associé au locataire connecté à l’organisation Azure DevOps à laquelle vous essayez d’accéder. Si vous ne connaissez pas votre ID d’abonnement, vous pouvez le trouver dans le portail Azure.

  az account set -s <subscription-id>

3. Générez un jeton d’accès Microsoft Entra ID avec le az account get-access-token l’ID de ressource Azure DevOps : 499b84ac-1321-427f-aa17-267ca6975798.

az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv

Pour plus d’informations, consultez la Documentation Databricks.

Acquérir des jetons de principal de service dans Azure CLI

Les principaux de service peuvent également utiliser des jetons d'accès Microsoft Entra ID ponctuels pour des opérations ponctuelles. Pour plus d’informations, veuillez consulter la section Principaux de service et identités managées/Obtenir un jeton Microsoft Entra ID avec l’Azure CLI.

Opérations Git avec Git Credential Manager

Vous pouvez également utiliser des jetons Microsoft Entra pour effectuer des opérations Git. Si vous envoyez régulièrement des notifications push vers des référentiels git, utilisez le Gestionnaire d’identifiants Git pour demander et gérer facilement vos identifiants de jeton Microsoft Entra OAuth, tant que oauth est défini comme le credential.azReposCredentialType par défaut.

Articles connexes

• Créer l’intégration d’Azure DevOps aux applications Microsoft Entra OAuth
• Utilisez les principaux de service & les identités managées dans Azure DevOps