Contrôler l'accès aux domaines fonctionnels
Vous pouvez configurer les paramètres de sécurité initiaux pour les zones fonctionnelles suivantes d'un projet d'équipe : requêtes d'équipe, contrôle de version Team Foundation, Team Foundation Build et Visual Studio Lab Management. Les modèles de processus pour Microsoft Solutions Framework (MSF) assignent plusieurs autorisations aux groupes de sécurité par défaut. Vous pouvez modifier ces assignations en personnalisant le fichier de plug-in pour le domaine fonctionnel approprié.
Pour plus d'informations sur la configuration de groupes de sécurité pour Visual Studio Team Foundation Server, consultez Configurer des groupes, des équipes, des membres et des autorisations initiaux.
Pour plus d'informations sur l'administration des utilisateurs et groupes, et sur le contrôle d'accès à Visual Studio Application Lifecycle Management (ALM), consultez Gérer des utilisateurs ou des groupes dans TFS.
Affection d'autorisations à des domaines fonctionnels
L'élément fonctionnel permission permet d'autoriser ou de refuser des autorisations concernant des domaines fonctionnels à un groupe de sécurité dans Team Foundation Server, à un groupe Windows ou à une identité Windows. Utilisez cet élément dans les fichiers de plug-in pour le suivi des éléments de travail, contrôle de version Team Foundation, Team Foundation Build, et Lab Management. Vous devez encapsuler l'élément permission dans l'élément conteneur correspondant : l'élément permissions. Vous utilisez la structure de syntaxe suivante pour l'élément permission fonctionnel :
<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>
Le tableau suivant décrit les attributs pour l'élément fonctionnel permission :
Attribut |
Description |
---|---|
allow |
Identifie les autorisations accordées. Vous spécifiez des autorisations en tant que texte délimité par des virgules. Pour les noms des autorisations définies pour chaque domaine fonctionnel, consultez les sections suivantes plus loin dans cette rubrique :
|
deny |
Identifie les autorisations révoquées. Vous spécifiez des autorisations en tant que texte délimité par des virgules. Notes Les autorisations refusées prévalent sur les autorisations accordées. |
identity |
Spécifie le groupe de sécurité dans Team Foundation Server, le groupe Windows ou l'identité Windows auxquels les autorisations sont appliquées. Pour savoir le format à utiliser quand vous spécifiez des groupes, consultez la section « Groupes par défaut définis dans Team Foundation Server » de la rubrique Configurer des groupes, des équipes, des membres et des autorisations initiaux. |
L'exemple suivant montre comment accorder des autorisations pour permettre au groupe Collaborateurs d'afficher des builds et définitions de build, de mettre en file d'attente les builds, et de modifier la qualité de build.
<taskXml>
<permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>
Notes
Lors de l'exécution, si une autorisation est introuvable pour une identité, l'autorisation est recherchée dans tous les autres groupes auxquels l'identité appartient.Si l'autorisation est introuvable, elle est refusée par défaut.
Affectation d'autorisations pour des requêtes d'élément de travail
Dans le fichier de plug-in workitems, vous pouvez affecter des autorisations qui contrôlent l'accès aux dossiers de requêtes d'équipe. Les autorisations de dossier de requête sont spécifiques aux requêtes et aux dossiers de requêtes. Vous pouvez accorder l'accès à des utilisateurs et à des groupes dans Windows, ou à des groupes par défaut définis pour Team Foundation Server.
Vous attribuez ces autorisations à l'aide de l'élément fonctionnel permission, comme dans l'exemple suivant :
<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
Notes
Une fois le projet d'équipe créé, vous pouvez définir des autorisations en cliquant avec le bouton droit sur un dossier de requête ou une requête dans Team Explorer, puis en cliquant sur Sécurité.Pour plus d'informations, voir Définir des autorisations pour les requêtes.
Le tableau suivant décrit les autorisations qui contrôlent l'accès aux dossiers de requêtes et aux requêtes. Il indique également les affectations par défaut effectuées dans les modèles de processus MSF. Par défaut, les créateurs ou propriétaires de requêtes et de dossiers de requêtes contrôlent totalement la gestion des requêtes qu'ils ont créées ou qu'ils possèdent.
Autorisation |
Description |
Lecteurs, collaborateurs, générateurs |
Propriétaires créateurs, groupes d'administration de projet, administrateurs de collection de projets |
---|---|---|---|
Read |
Lecture. Peut afficher et exécuter une requête, ou afficher un dossier de requête et son contenu |
||
Contribute |
Collaborer. Peut afficher et modifier une requête ou un dossier de requête et son contenu |
||
Delete |
Supprimer. Peut afficher, modifier et supprimer une requête ou un dossier de requête et son contenu |
||
ManagePermissions |
Gérer les autorisations. Peut gérer les autorisations pour une requête ou un dossier de requête et son contenu |
||
FullControl |
Contrôle total. Peut afficher, modifier, supprimer et gérer les autorisations pour une requête ou un dossier de requête et son contenu |
Affectation d'autorisations pour le contrôle de Version
Vous pouvez affecter des autorisations qui contrôlent l'accès aux fichiers et aux dossiers de code source en modifiant le fichier de plug-in pour le contrôle de version. Les autorisations de contrôle de version sont spécifiques aux dossiers et fichiers de code source. Vous pouvez accorder l'accès à des utilisateurs et à des groupes dans Windows, ou à des groupes par défaut définis pour Team Foundation Server.
Vous attribuez ces autorisations à l'aide de l'élément fonctionnel permission, comme dans l'exemple suivant :
<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Notes
Une fois le projet d'équipe créé, vous pouvez définir ces autorisations en double-cliquant sur le dossier ou fichier dans l'Explorateur du contrôle de code source, puis en cliquant sur propriétés, puis sur l'onglet Sécurité.Sous cet onglet, vous pouvez cliquer sur l'utilisateur ou le groupe dont vous souhaitez modifier les autorisations, puis modifier les autorisations répertoriées dans Autorisations.Vous pouvez également définir ces autorisations à l'aide de l'outil en ligne de commande tf pour le contrôle de version, ou de l'outil en ligne de commande TFSSecurity.Pour plus d'informations, consultez Référence des autorisations pour Team Foundation Server.
Le tableau suivant décrit les autorisations qui contrôlent l'accès aux dossiers et fichiers de code source. Il indique également les affectations par défaut effectuées dans les modèles de processus MSF.
Autorisation |
Description |
Readers |
Contributors |
Générateurs |
Groupe Project Administrators |
---|---|---|---|---|---|
Read |
Lecture. Peut lire le contenu d'un fichier ou d'un dossier. Si un utilisateur dispose de l'autorisation Lecture pour un dossier, mais pas sur les fichiers qu'il contient, il peut afficher les noms et propriétés de ces fichiers, mais ne peut pas les ouvrir. |
||||
PendChange |
Extraire. Peut extraire ou appliquer une modification en attente à un élément. Les exemples de modification en attente incluent l'ajout, la modification, le changement de nom, la suppression, la restauration, le branchement et la fusion d'un fichier. |
||||
Merge |
Fusionner. Peut fusionner des modifications dans le chemin d'accès autorisé. |
||||
Checkin |
Archiver. Peut archiver des éléments et réviser tout commentaire sur un ensemble de modifications validé. Les modifications en attente sont validées lorsque l'utilisateur archive l'élément. |
||||
Label |
Étiquette. Peut appliquer une étiquette aux éléments. |
||||
Lock |
Verrouiller. Peut verrouiller un élément afin que d'autres utilisateurs ne puissent pas le mettre à jour. |
||||
ReviseOther |
Réviser les modifications apportées par d'autres utilisateurs. Peut modifier le contenu des modifications, commentaires et notes d'archivage de quelqu'un d'autre. |
||||
UnlockOther |
Déverrouiller les modifications apportées par un autre utilisateur. Peut supprimer le verrou de quelqu'un d'autre. |
||||
UndoOther |
Annuler les modifications apportées par un autre utilisateur. Peut annuler les modifications en attente apportées par quelqu'un d'autre. |
||||
LabelOther |
Administrer les étiquettes. Peut modifier l'étiquette de quelqu'un d'autre. |
||||
AdminProjectRights |
Gérer les autorisations. Peut configurer les paramètres de sécurité pour le contrôle de version. |
||||
CheckinOther |
Archiver les modifications d'un autre utilisateur. Peut effectuer un archivage en tant qu'un autre utilisateur. Cette autorisation est requise pour les utilitaires de conversion. |
||||
ManageBranch |
Gérer la branche. Les utilisateurs qui ont cette autorisation pour un chemin d'accès donné peuvent convertir en une branche un dossier sous ce chemin d'accès. Les utilisateurs qui ont cette autorisation pour une branche peuvent également modifier ses propriétés, l'apparenter et la convertir en dossier. Les utilisateurs qui ont cette autorisation peuvent créer cette branche uniquement si ils ont également l'autorisation Fusionner pour le chemin d'accès cible. Les utilisateurs ne peuvent pas créer de branches à partir d'une branche pour laquelle ils n'ont pas l'autorisation Gérer la branche. |
Attribution d'autorisations pour un build
Vous pouvez affecter des autorisations qui contrôlent l'accès aux activités d'une build en modifiant le fichier de plug-in de celle-ci. Vous pouvez octroyer l'accès à des utilisateurs et à des groupes dans Windows, ainsi qu'à des groupes dans Team Foundation Server. Pour plus d'informations sur le format à utiliser quand vous spécifiez des groupes, consultez la section « Groupes par défaut définis dans Team Foundation Server » de la rubrique Configurer des groupes, des équipes, des membres et des autorisations initiaux.
Vous attribuez ces autorisations à l'aide de l'élément fonctionnel permission, comme dans l'exemple suivant :
<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Notes
Une fois le projet d'équipe créé, vous pouvez définir ces autorisations en ouvrant le projet dans Team Explorer, en cliquant avec le bouton droit sur Builds, puis en cliquant sur Sécurité.Vous pouvez appliquer des autorisations à une définition de build spécifique en cliquant avec le bouton droit sur celle-ci, puis en cliquant sur Sécurité.Si vous souhaitez appliquer des autorisations à un dossier de build, faites un clic droit, puis cliquez sur Sécurité.En outre, vous pouvez définir ces autorisations à l'aide de l'outil en ligne de commande TFSSecurity.Pour plus d'informations, consultez Référence des autorisations pour Team Foundation Server.
Le tableau suivant décrit les autorisations que vous pouvez assigner, qui contrôlent l'accès aux fonctions de build d'un projet d'équipe. Il indique également les assignations par défaut effectuées dans les modèles de processus MSF.
Notes
L'autorisation Remplacer la validation de l'archivage par build peut être affectée uniquement aux comptes de service pour les services de build et aux administrateurs de build chargés de la qualité du code.Pour plus d'informations, consultez Archiver dans un dossier contrôlé par un processus de build d'archivage contrôlé.
Autorisation |
Description |
Readers |
Contributors |
Administrateurs de build |
Project Administrators |
Project Collection Administrators |
---|---|---|---|---|---|---|
ViewBuildDefinition |
Afficher la définition de build. Peut afficher les définitions de build qui ont été créées pour le projet d'équipe. |
|||||
ViewBuilds |
Afficher les builds. Peut afficher les builds mises en file d'attente et terminées pour ce projet d'équipe. |
|||||
EditBuildQuality |
Modifier la qualité de build. Peut ajouter des informations sur la qualité de la build via l'interface pour Team Foundation Build. |
|||||
QueueBuilds |
Mettre les builds en file d'attente. Peut ajouter une build à la file d'attente via l'interface pour Team Foundation Build, ou à une invite de commandes. |
|||||
DeleteBuildDefinition |
Supprimer la définition de build. Peut supprimer des définitions de build. |
|||||
DeleteBuilds |
Supprimer les builds. Peut supprimer une build terminée. |
|||||
DestroyBuilds |
Détruire les builds. Peut supprimer de manière définitive une build terminée. |
|||||
EditBuildDefinition |
Modifier la définition de build. Peut créer et modifier des définitions de build. |
|||||
ManageBuildQualities |
Gérer les qualités de build. Peut ajouter ou supprimer des qualités de build, telles que Prêt pour le déploiement, Rejeté ou Examen en cours. Pour plus d'informations, consultez Ajouter ou supprimer des valeurs de qualité de build. |
|||||
ManageBuildQueue |
Gérer la file d'attente de builds. Peut annuler, redéfinir la priorité ou retarder des builds en file d'attente. |
|||||
RetainIndefinitely |
Conserver indéfiniment. Peut marquer une build de sorte qu'elle ne soit pas supprimée automatiquement par toute stratégie de rétention applicable. |
|||||
StopBuilds |
Arrêter les builds. Peut arrêter une build en cours d'exécution. |
|||||
OverrideBuildCheckInValidation |
Remplacer la validation de l'archivage par build. Peut valider un ensemble de modifications qui affecte une définition de build contrôlée sans que cela déclenche la réservation et la génération des modifications par le système. Pour plus d'informations, consultez Archiver dans un dossier contrôlé par un processus de build d'archivage contrôlé. |
|||||
UpdateBuildInformation |
Mettre à jour les informations de build. Peut ajouter des informations sur la qualité d'une build. Cette autorisation doit être assignée uniquement aux comptes de service. |
Affectation d'autorisations pour Lab Management
Vous pouvez contrôler l'accès aux activités de Lab Management en modifiant le fichier de plug-in Lab. Les autorisations Lab Management sont propres à des ordinateurs virtuels, à des environnements et à d'autres ressources. Vous pouvez octroyer l'accès à des utilisateurs et à des groupes dans Windows, ainsi qu'à des groupes dans Team Foundation Server. Vous attribuez ces autorisations à l'aide de l'élément fonctionnel permission, comme dans l'exemple suivant :
<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Notes
Vous pouvez définir des autorisations pour Lab Management à l'aide de l'outil en ligne de commande TFSLabConfig.Pour afficher des informations sur une ressource Lab spécifique, vous devez avoir l'autorisation Lecture pour cette ressource.Pour supprimer un emplacement, vous devez avoir l'autorisation Supprimer des emplacements de laboratoire pour cet emplacement. Pour plus d'informations, consultez TFSLabConfig Permissions, commande.
Le tableau suivant décrit les autorisations que vous pouvez affecter pour contrôler l'accès à Visual Studio Lab Management. Il indique également les assignations par défaut effectuées dans les modèles de processus MSF.
Autorisation |
Description |
Readers |
Contributors |
Groupe Project Collection Build Service Accounts |
Groupe Team Project Administrators |
Groupe Project Collection Administrators |
---|---|---|---|---|---|---|
Read |
Afficher les ressources Lab. Peut afficher des informations sur les différentes ressources pour Lab Management, qui incluent des groupes hôtes de collection, des groupes hôtes de projet et des environnements. |
|||||
Create |
Importer un ordinateur virtuel. Peut importer ordinateur virtuel à partir d'un partage de bibliothèque Virtual Machine Manager (VMM). Cette autorisation diffère de l'autorisation Écriture, car elle permet aux utilisateurs de créer un objet dans Lab Management, mais pas d'écrire quoi que ce soit dans le partage de bibliothèque ou le groupe hôte VMM. |
|||||
Write |
Créer un environnement et des ordinateurs virtuels. Peut créer des environnements. Les utilisateurs qui ont cette autorisation pour un partage de bibliothèque de projet peuvent stocker des environnements et des ordinateurs virtuels. |
|||||
Edit |
Modifier un environnement et des ordinateurs virtuels. Peut modifier des environnements et des ordinateurs virtuels. L'autorisation est activée pour l'objet en cours de modification. |
|||||
Start |
Démarrer. Peut démarrer un environnement. |
|||||
Stop |
Arrêter. Peut arrêter un environnement. |
|||||
Pause |
Suspendre. Peut suspendre un environnement. |
|||||
ManageSnapshots |
Gérer les instantanés. Peut effectuer toutes les tâches de gestion des instantanés, qui incluent la prise d'un instantané, sa restauration, le changement de son nom, sa suppression et sa lecture. |
|||||
Delete |
Supprimer des environnements et des ordinateurs virtuels. Peut supprimer des environnements et des ordinateurs virtuels. L'autorisation est activée pour l'objet en cours de suppression. |
|||||
ManageLocation |
Gérer des emplacements Lab. Peut modifier les emplacements des ressources pour Lab Management, qui incluent des groupes hôtes de collection, des projets de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet. Cette autorisation pour les emplacements au niveau de la collection (groupes hôtes de collection et partages de bibliothèque de collection) permet également à un utilisateur de créer des emplacements au niveau du projet (groupes hôtes de projet et partages de bibliothèque de projet). |
|||||
DeleteLocation |
Supprimer des emplacements Lab. Peut supprimer les emplacements des ressources pour Lab Management, qui incluent des groupes hôtes de collection, des partages de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet. |
|||||
ManageChildPermissions |
Gérer les autorisations enfants. Peut modifier les autorisations de tous les objets enfants de Lab Management. Par exemple, si un utilisateur a cet autorisation pour un groupe hôte de projet d'équipe, cet utilisateur peut modifier les autorisations pour tous les environnements sous ce groupe. |
|||||
ManagePermissions |
Gérer les autorisations. Peut modifier les autorisations pour un objet de Lab Management. Cette autorisation est activée pour l'objet dont les autorisations sont modifiées. |
|||||
EnvironmentOps |
Opérations d'environnement. Peut démarrer, arrêter, suspendre et gérer des instantanés, ainsi que réaliser d'autres opérations sur un environnement. |
Voir aussi
Concepts
Configurer des groupes, des équipes, des membres et des autorisations initiaux