Partager via


Contrôler l'accès aux domaines fonctionnels

Vous pouvez configurer les paramètres de sécurité initiaux pour les zones fonctionnelles suivantes d'un projet d'équipe : requêtes d'équipe, contrôle de version Team Foundation, Team Foundation Build et Visual Studio Lab Management. Les modèles de processus pour Microsoft Solutions Framework (MSF) assignent plusieurs autorisations aux groupes de sécurité par défaut. Vous pouvez modifier ces assignations en personnalisant le fichier de plug-in pour le domaine fonctionnel approprié.

Pour plus d'informations sur la configuration de groupes de sécurité pour Visual Studio Team Foundation Server, consultez Configurer des groupes, des équipes, des membres et des autorisations initiaux.

Pour plus d'informations sur l'administration des utilisateurs et groupes, et sur le contrôle d'accès à Visual Studio Application Lifecycle Management (ALM), consultez Gérer des utilisateurs ou des groupes dans TFS.

Affection d'autorisations à des domaines fonctionnels

L'élément fonctionnel permission permet d'autoriser ou de refuser des autorisations concernant des domaines fonctionnels à un groupe de sécurité dans Team Foundation Server, à un groupe Windows ou à une identité Windows. Utilisez cet élément dans les fichiers de plug-in pour le suivi des éléments de travail, contrôle de version Team Foundation, Team Foundation Build, et Lab Management. Vous devez encapsuler l'élément permission dans l'élément conteneur correspondant : l'élément permissions. Vous utilisez la structure de syntaxe suivante pour l'élément permission fonctionnel :

<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>

Le tableau suivant décrit les attributs pour l'élément fonctionnel permission :

Attribut

Description

allow

Identifie les autorisations accordées. Vous spécifiez des autorisations en tant que texte délimité par des virgules.

Pour les noms des autorisations définies pour chaque domaine fonctionnel, consultez les sections suivantes plus loin dans cette rubrique :

  • Attribution d'autorisations de contrôle de version

  • Attribution d'autorisations de build

  • Attribution d'autorisations Lab Management

deny

Identifie les autorisations révoquées. Vous spécifiez des autorisations en tant que texte délimité par des virgules.

Notes

Les autorisations refusées prévalent sur les autorisations accordées.

identity

Spécifie le groupe de sécurité dans Team Foundation Server, le groupe Windows ou l'identité Windows auxquels les autorisations sont appliquées. Pour savoir le format à utiliser quand vous spécifiez des groupes, consultez la section « Groupes par défaut définis dans Team Foundation Server » de la rubrique Configurer des groupes, des équipes, des membres et des autorisations initiaux.

L'exemple suivant montre comment accorder des autorisations pour permettre au groupe Collaborateurs d'afficher des builds et définitions de build, de mettre en file d'attente les builds, et de modifier la qualité de build.

<taskXml>
   <permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>

Notes

Lors de l'exécution, si une autorisation est introuvable pour une identité, l'autorisation est recherchée dans tous les autres groupes auxquels l'identité appartient.Si l'autorisation est introuvable, elle est refusée par défaut.

Affectation d'autorisations pour des requêtes d'élément de travail

Dans le fichier de plug-in workitems, vous pouvez affecter des autorisations qui contrôlent l'accès aux dossiers de requêtes d'équipe. Les autorisations de dossier de requête sont spécifiques aux requêtes et aux dossiers de requêtes. Vous pouvez accorder l'accès à des utilisateurs et à des groupes dans Windows, ou à des groupes par défaut définis pour Team Foundation Server.

Vous attribuez ces autorisations à l'aide de l'élément fonctionnel permission, comme dans l'exemple suivant :

<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" /> 

Notes

Une fois le projet d'équipe créé, vous pouvez définir des autorisations en cliquant avec le bouton droit sur un dossier de requête ou une requête dans Team Explorer, puis en cliquant sur Sécurité.Pour plus d'informations, voir Définir des autorisations pour les requêtes.

Le tableau suivant décrit les autorisations qui contrôlent l'accès aux dossiers de requêtes et aux requêtes. Il indique également les affectations par défaut effectuées dans les modèles de processus MSF. Par défaut, les créateurs ou propriétaires de requêtes et de dossiers de requêtes contrôlent totalement la gestion des requêtes qu'ils ont créées ou qu'ils possèdent.

Autorisation

Description

Lecteurs, collaborateurs, générateurs

Propriétaires créateurs, groupes d'administration de projet, administrateurs de collection de projets

Read

Lecture. Peut afficher et exécuter une requête, ou afficher un dossier de requête et son contenu

coche coche

Contribute

Collaborer. Peut afficher et modifier une requête ou un dossier de requête et son contenu

coche

Delete

Supprimer. Peut afficher, modifier et supprimer une requête ou un dossier de requête et son contenu

coche

ManagePermissions

Gérer les autorisations. Peut gérer les autorisations pour une requête ou un dossier de requête et son contenu

coche

FullControl

Contrôle total. Peut afficher, modifier, supprimer et gérer les autorisations pour une requête ou un dossier de requête et son contenu

coche

Affectation d'autorisations pour le contrôle de Version

Vous pouvez affecter des autorisations qui contrôlent l'accès aux fichiers et aux dossiers de code source en modifiant le fichier de plug-in pour le contrôle de version. Les autorisations de contrôle de version sont spécifiques aux dossiers et fichiers de code source. Vous pouvez accorder l'accès à des utilisateurs et à des groupes dans Windows, ou à des groupes par défaut définis pour Team Foundation Server.

Vous attribuez ces autorisations à l'aide de l'élément fonctionnel permission, comme dans l'exemple suivant :

<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Notes

Une fois le projet d'équipe créé, vous pouvez définir ces autorisations en double-cliquant sur le dossier ou fichier dans l'Explorateur du contrôle de code source, puis en cliquant sur propriétés, puis sur l'onglet Sécurité.Sous cet onglet, vous pouvez cliquer sur l'utilisateur ou le groupe dont vous souhaitez modifier les autorisations, puis modifier les autorisations répertoriées dans Autorisations.Vous pouvez également définir ces autorisations à l'aide de l'outil en ligne de commande tf pour le contrôle de version, ou de l'outil en ligne de commande TFSSecurity.Pour plus d'informations, consultez Référence des autorisations pour Team Foundation Server.

Le tableau suivant décrit les autorisations qui contrôlent l'accès aux dossiers et fichiers de code source. Il indique également les affectations par défaut effectuées dans les modèles de processus MSF.

Autorisation

Description

Readers

Contributors

Générateurs

Groupe Project Administrators

Read

Lecture. Peut lire le contenu d'un fichier ou d'un dossier.

Si un utilisateur dispose de l'autorisation Lecture pour un dossier, mais pas sur les fichiers qu'il contient, il peut afficher les noms et propriétés de ces fichiers, mais ne peut pas les ouvrir.

coche coche coche coche

PendChange

Extraire. Peut extraire ou appliquer une modification en attente à un élément. Les exemples de modification en attente incluent l'ajout, la modification, le changement de nom, la suppression, la restauration, le branchement et la fusion d'un fichier.

coche coche coche

Merge

Fusionner. Peut fusionner des modifications dans le chemin d'accès autorisé.

coche coche coche

Checkin

Archiver. Peut archiver des éléments et réviser tout commentaire sur un ensemble de modifications validé. Les modifications en attente sont validées lorsque l'utilisateur archive l'élément.

coche coche coche

Label

Étiquette. Peut appliquer une étiquette aux éléments.

coche coche coche

Lock

Verrouiller. Peut verrouiller un élément afin que d'autres utilisateurs ne puissent pas le mettre à jour.

coche coche coche

ReviseOther

Réviser les modifications apportées par d'autres utilisateurs. Peut modifier le contenu des modifications, commentaires et notes d'archivage de quelqu'un d'autre.

coche

UnlockOther

Déverrouiller les modifications apportées par un autre utilisateur. Peut supprimer le verrou de quelqu'un d'autre.

coche

UndoOther

Annuler les modifications apportées par un autre utilisateur. Peut annuler les modifications en attente apportées par quelqu'un d'autre.

coche

LabelOther

Administrer les étiquettes. Peut modifier l'étiquette de quelqu'un d'autre.

coche

AdminProjectRights

Gérer les autorisations. Peut configurer les paramètres de sécurité pour le contrôle de version.

coche

CheckinOther

Archiver les modifications d'un autre utilisateur. Peut effectuer un archivage en tant qu'un autre utilisateur. Cette autorisation est requise pour les utilitaires de conversion.

coche

ManageBranch

Gérer la branche. Les utilisateurs qui ont cette autorisation pour un chemin d'accès donné peuvent convertir en une branche un dossier sous ce chemin d'accès. Les utilisateurs qui ont cette autorisation pour une branche peuvent également modifier ses propriétés, l'apparenter et la convertir en dossier.

Les utilisateurs qui ont cette autorisation peuvent créer cette branche uniquement si ils ont également l'autorisation Fusionner pour le chemin d'accès cible. Les utilisateurs ne peuvent pas créer de branches à partir d'une branche pour laquelle ils n'ont pas l'autorisation Gérer la branche.

coche

Attribution d'autorisations pour un build

Vous pouvez affecter des autorisations qui contrôlent l'accès aux activités d'une build en modifiant le fichier de plug-in de celle-ci. Vous pouvez octroyer l'accès à des utilisateurs et à des groupes dans Windows, ainsi qu'à des groupes dans Team Foundation Server. Pour plus d'informations sur le format à utiliser quand vous spécifiez des groupes, consultez la section « Groupes par défaut définis dans Team Foundation Server » de la rubrique Configurer des groupes, des équipes, des membres et des autorisations initiaux.

Vous attribuez ces autorisations à l'aide de l'élément fonctionnel permission, comme dans l'exemple suivant :

<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Notes

Une fois le projet d'équipe créé, vous pouvez définir ces autorisations en ouvrant le projet dans Team Explorer, en cliquant avec le bouton droit sur Builds, puis en cliquant sur Sécurité.Vous pouvez appliquer des autorisations à une définition de build spécifique en cliquant avec le bouton droit sur celle-ci, puis en cliquant sur Sécurité.Si vous souhaitez appliquer des autorisations à un dossier de build, faites un clic droit, puis cliquez sur Sécurité.En outre, vous pouvez définir ces autorisations à l'aide de l'outil en ligne de commande TFSSecurity.Pour plus d'informations, consultez Référence des autorisations pour Team Foundation Server.

Le tableau suivant décrit les autorisations que vous pouvez assigner, qui contrôlent l'accès aux fonctions de build d'un projet d'équipe. Il indique également les assignations par défaut effectuées dans les modèles de processus MSF.

Notes

L'autorisation Remplacer la validation de l'archivage par build peut être affectée uniquement aux comptes de service pour les services de build et aux administrateurs de build chargés de la qualité du code.Pour plus d'informations, consultez Archiver dans un dossier contrôlé par un processus de build d'archivage contrôlé.

Autorisation

Description

Readers

Contributors

Administrateurs de build

Project Administrators

Project Collection Administrators

ViewBuildDefinition

Afficher la définition de build. Peut afficher les définitions de build qui ont été créées pour le projet d'équipe.

coche coche coche coche coche

ViewBuilds

Afficher les builds. Peut afficher les builds mises en file d'attente et terminées pour ce projet d'équipe.

coche coche coche coche coche

EditBuildQuality

Modifier la qualité de build. Peut ajouter des informations sur la qualité de la build via l'interface pour Team Foundation Build.

coche coche coche coche

QueueBuilds

Mettre les builds en file d'attente. Peut ajouter une build à la file d'attente via l'interface pour Team Foundation Build, ou à une invite de commandes.

coche coche coche coche

DeleteBuildDefinition

Supprimer la définition de build. Peut supprimer des définitions de build.

coche coche coche

DeleteBuilds

Supprimer les builds. Peut supprimer une build terminée.

coche coche coche

DestroyBuilds

Détruire les builds. Peut supprimer de manière définitive une build terminée.

coche coche coche

EditBuildDefinition

Modifier la définition de build. Peut créer et modifier des définitions de build.

coche coche coche

ManageBuildQualities

Gérer les qualités de build. Peut ajouter ou supprimer des qualités de build, telles que Prêt pour le déploiement, Rejeté ou Examen en cours. Pour plus d'informations, consultez Ajouter ou supprimer des valeurs de qualité de build.

coche coche coche

ManageBuildQueue

Gérer la file d'attente de builds. Peut annuler, redéfinir la priorité ou retarder des builds en file d'attente.

coche coche coche

RetainIndefinitely

Conserver indéfiniment. Peut marquer une build de sorte qu'elle ne soit pas supprimée automatiquement par toute stratégie de rétention applicable.

coche coche coche

StopBuilds

Arrêter les builds. Peut arrêter une build en cours d'exécution.

coche coche coche

OverrideBuildCheckInValidation

Remplacer la validation de l'archivage par build. Peut valider un ensemble de modifications qui affecte une définition de build contrôlée sans que cela déclenche la réservation et la génération des modifications par le système. Pour plus d'informations, consultez Archiver dans un dossier contrôlé par un processus de build d'archivage contrôlé.

coche

UpdateBuildInformation

Mettre à jour les informations de build. Peut ajouter des informations sur la qualité d'une build.

Cette autorisation doit être assignée uniquement aux comptes de service.

Affectation d'autorisations pour Lab Management

Vous pouvez contrôler l'accès aux activités de Lab Management en modifiant le fichier de plug-in Lab. Les autorisations Lab Management sont propres à des ordinateurs virtuels, à des environnements et à d'autres ressources. Vous pouvez octroyer l'accès à des utilisateurs et à des groupes dans Windows, ainsi qu'à des groupes dans Team Foundation Server. Vous attribuez ces autorisations à l'aide de l'élément fonctionnel permission, comme dans l'exemple suivant :

<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />

Notes

Vous pouvez définir des autorisations pour Lab Management à l'aide de l'outil en ligne de commande TFSLabConfig.Pour afficher des informations sur une ressource Lab spécifique, vous devez avoir l'autorisation Lecture pour cette ressource.Pour supprimer un emplacement, vous devez avoir l'autorisation Supprimer des emplacements de laboratoire pour cet emplacement. Pour plus d'informations, consultez TFSLabConfig Permissions, commande.

Le tableau suivant décrit les autorisations que vous pouvez affecter pour contrôler l'accès à Visual Studio Lab Management. Il indique également les assignations par défaut effectuées dans les modèles de processus MSF.

Autorisation

Description

Readers

Contributors

Groupe Project Collection Build Service Accounts

Groupe Team Project Administrators

Groupe Project Collection Administrators

Read

Afficher les ressources Lab. Peut afficher des informations sur les différentes ressources pour Lab Management, qui incluent des groupes hôtes de collection, des groupes hôtes de projet et des environnements.

coche coche coche coche coche

Create

Importer un ordinateur virtuel. Peut importer ordinateur virtuel à partir d'un partage de bibliothèque Virtual Machine Manager (VMM).

Cette autorisation diffère de l'autorisation Écriture, car elle permet aux utilisateurs de créer un objet dans Lab Management, mais pas d'écrire quoi que ce soit dans le partage de bibliothèque ou le groupe hôte VMM.

coche

coche coche

Write

Créer un environnement et des ordinateurs virtuels. Peut créer des environnements. Les utilisateurs qui ont cette autorisation pour un partage de bibliothèque de projet peuvent stocker des environnements et des ordinateurs virtuels.

coche coche coche coche

Edit

Modifier un environnement et des ordinateurs virtuels. Peut modifier des environnements et des ordinateurs virtuels. L'autorisation est activée pour l'objet en cours de modification.

coche coche coche coche

Start

Démarrer. Peut démarrer un environnement.

coche coche coche coche

Stop

Arrêter. Peut arrêter un environnement.

coche coche coche coche

Pause

Suspendre. Peut suspendre un environnement.

coche coche coche

ManageSnapshots

Gérer les instantanés. Peut effectuer toutes les tâches de gestion des instantanés, qui incluent la prise d'un instantané, sa restauration, le changement de son nom, sa suppression et sa lecture.

coche coche coche coche

Delete

Supprimer des environnements et des ordinateurs virtuels. Peut supprimer des environnements et des ordinateurs virtuels. L'autorisation est activée pour l'objet en cours de suppression.

coche coche

ManageLocation

Gérer des emplacements Lab. Peut modifier les emplacements des ressources pour Lab Management, qui incluent des groupes hôtes de collection, des projets de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet.

Cette autorisation pour les emplacements au niveau de la collection (groupes hôtes de collection et partages de bibliothèque de collection) permet également à un utilisateur de créer des emplacements au niveau du projet (groupes hôtes de projet et partages de bibliothèque de projet).

coche coche

DeleteLocation

Supprimer des emplacements Lab. Peut supprimer les emplacements des ressources pour Lab Management, qui incluent des groupes hôtes de collection, des partages de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet.

coche coche

ManageChildPermissions

Gérer les autorisations enfants. Peut modifier les autorisations de tous les objets enfants de Lab Management. Par exemple, si un utilisateur a cet autorisation pour un groupe hôte de projet d'équipe, cet utilisateur peut modifier les autorisations pour tous les environnements sous ce groupe.

coche coche

ManagePermissions

Gérer les autorisations. Peut modifier les autorisations pour un objet de Lab Management. Cette autorisation est activée pour l'objet dont les autorisations sont modifiées.

coche

EnvironmentOps

Opérations d'environnement. Peut démarrer, arrêter, suspendre et gérer des instantanés, ainsi que réaliser d'autres opérations sur un environnement.

Voir aussi

Concepts

Configurer des groupes, des équipes, des membres et des autorisations initiaux

Autres ressources

Référence des autorisations pour Team Foundation Server