Gérer des utilisateurs ou des groupes dans TFS
Pour que les utilisateurs puissent accéder à votre projet d'équipe dans Team Foundation Server (TFS), vous devez leur accorder l'accès. Si vous administrez une petite équipe et que restreindre l'accès n'est pas important, vous pouvez vous contenter d'ajouter les membres de votre équipe à TFS.
Toutefois, si vous devez accorder l'accès à un grand nombre d'utilisateurs qui remplissent des rôles différents au sein de l'équipe, la pratique recommandée consiste à créer des groupes Windows ou Active Directory, à ajouter ces groupes aux groupes TFS et à ajouter les mêmes groupes pour accorder l'accès à des ressources supplémentaires.
Les trois dernières étapes sont facultatives. Vous devez uniquement accorder des autorisations pour les rapports ou le portail du projet si votre projet d'équipe a été configuré avec SQL Server Reporting Services ou un site SharePoint. En outre, vous ne devez modifier les niveaux d'accès que pour autoriser un groupe entier à accéder aux fonctionnalités premium ou pour accorder un accès limité aux parties prenantes ou aux utilisateurs sans licence.
Accorder aux utilisateurs et aux groupes l'accès aux ressources et projets d'équipe : Limiter l'accès à des fonctions pour des utilisateurs ou des groupes sélectionnés : Fournir un accès administratif : |
Comment TFS gère l'accès
Pour vous assurer que les utilisateurs appropriés disposent d'un accès ou d'autorisations adéquats pour certaines fonctions et fonctionnalités, gardez à l'esprit que TFS contrôle l'accès par le biais de trois zones fonctionnelles reliées entre elles :
La gestion du niveau d'accès contrôle l'accès uniquement aux fonctionnalités fournies par le biais de TWA (application web TFS). En fonction de leur licence utilisateur, les administrateurs accordent l'accès à un ensemble de fonctionnalités standard, complet ou limité. Pour plus d'informations sur la gestion de licences, consultez le livre blanc sur la gestion des licences Visual Studio et MSDN.
La gestion des appartenances prend en charge l'ajout de comptes d'utilisateur Windows individuels et de groupes aux groupes TFS par défaut. En outre, vous pouvez créer des groupes TFS. Chaque groupe TFS par défaut est associé à un jeu d'autorisations par défaut. Tous les utilisateurs ajoutés à un groupe TFS sont ajoutés au groupe d'utilisateurs valides. Un utilisateur valide est une personne qui peut se connecter au projet d'équipe.
La gestion des autorisations contrôle l'accès aux tâches fonctionnelles spécifiques à différents niveaux du système. Les autorisations de niveau objet définissent des autorisations sur un fichier, un dossier, une définition de build ou une requête partagée. Les paramètres d'autorisation correspondent à Autoriser, Refuser, Autoriser l'héritage, Interdire l'héritage et Non défini.
Chaque zone fonctionnelle utilise des groupes pour simplifier la gestion sur le déploiement. Vous ajoutez des utilisateurs et des groupes à travers les pages d'administration des services web TFS. Les autorisations sont définies automatiquement en fonction du groupe TFS auquel vous ajoutez des utilisateurs ou de l'objet, du projet, de la collection, ou du serveur auquel vous ajoutez des groupes. D'autre part, la gestion du niveau d'accès contrôle l'accès pour tous les utilisateurs et les groupes au niveau du serveur.
Remarques :
Fonctions standard : comprend l'accès au pages Accueil, Code, travail, Build et d'administration dans Team Web Access (TWA). Pour plus d'informations sur les niveaux d'accès, cliquez ici.
AD : Active Directory. Vous pouvez créer des groupes locaux ou des groupes Active Directory pour gérer vos utilisateurs. Si vous décidez d'utiliser des groupes, assurez-vous que l'appartenance dans ces groupes est limitée aux utilisateurs de TFS. L'appartenance à un groupe pouvant être modifiée par son propriétaire à tout moment, si ces propriétaires n'ont pas pris en compte TFS à la création de ce groupe, les modifications apportées à l'appartenance peuvent provoquer des effets secondaires indésirables dans TFS.
Voici ce que vous devez savoir sur les paramètres d'autorisation :
Les paramètres Autoriser ou Refuser accordent ou refusent explicitement aux utilisateurs l'autorisation d'effectuer des tâches spécifiques et sont généralement hérités de l'appartenance au groupe.
Non défini empêche implicitement les utilisateurs d'effectuer des tâches qui nécessitent cette autorisation, mais permet l'appartenance à un groupe pour lequel cette autorisation est définie comme prioritaire, également appelée Autoriser l'héritage et Interdire l'héritage.
Pour la plupart des groupes et presque toutes les autorisations, Refuser l'emporte sur Autoriser. Si un utilisateur appartient à deux groupes, et que l'un d'eux a une autorisation spécifique définie sur Refuser, cet utilisateur ne peut pas effectuer des tâches qui nécessitent cette autorisation, même s'il appartient à un groupe pour lequel cette autorisation est définie sur Autoriser.
Pour les membres des groupes Administrateurs de la collection de projets ou Team Foundation Administrators, Refuser ne l'emporte pas sur Autoriser. Les autorisations attribuées à ces groupes sont prioritaires sur toute autorisation Refuser définie dans tout autre groupe auquel ce membre appartient éventuellement.
La modification d'une autorisation pour un groupe modifie cette autorisation pour tous les utilisateurs qui disposent de cette autorisation via leur appartenance à ce groupe. En d'autres termes, selon la taille du groupe, une simple modification d'une autorisation peut affecter la capacité de centaines d'utilisateurs d'exécuter les tâches qui leur incombent. Avant d'apporter une modification, assurez-vous d'en comprendre les répercussions.
Il existe deux astuces utiles pour comprendre les effets de la modification : l'onglet Membre de affiche les groupes auxquels un utilisateur ou un groupe appartient. Vous pouvez également pointer vers une autorisation héritée et faire apparaître une icône Pourquoi ?. Si vous cliquez sur cette icône, une boîte de dialogue s'ouvre avec plus d'informations.
Q et R
Q : je veux simplement accéder au code.Comment faire ?
R : une fois que vous avez été ajouté comme collaborateur ou membre d'équipe à TFS, consultez Contrôle de version Team Foundation ou Git.
Q : quelles sont les autorisations nécessaires pour ajouter des utilisateurs et gérer les autorisations dans TFS ?
R : pour ajouter des utilisateurs ou des groupes à votre projet d'équipe et gérer les autorisations pour l'équipe de projet, vous devez appartenir au groupe Administrateurs de projet pour ce projet d'équipe ou les autorisations de modification au niveau du projet doivent être définies sur Autoriser. Les administrateurs de projet bénéficient des autorisations par défaut suivantes.
Pour gérer les utilisateurs, les groupes ou les autorisations pour tous les projets d'équipe dans une collection, vous devez appartenir au groupe Administrateurs de la collection de projets ou les autorisations de modification au niveau de la collection doivent être définies sur Autoriser.
Q : De quels types d'autorisations mes utilisateurs ont-il besoin ?
R : vous accorder des autorisations aux utilisateurs en fonction des tâches qu'ils effectuent dans TFS. En règle générale, vous accordez aux utilisateurs les autorisations minimales dont ils ont besoin pour effectuer leur travail. Vous pouvez utiliser les groupes par défaut suivants et leurs autorisations associées pour gérer la plupart des utilisateurs et répondre à leurs besoins.
Utilisateurs |
Team Foundation Server |
SharePoint Foundation ou SharePoint Server |
SQL Server Reporting Services |
---|---|---|---|
Ajouter des comptes pour les personnes qui ont besoin d'un accès en affichage seul au projet. |
Readers |
Visiteurs |
Lecteur |
Ajouter des comptes pour les personnes qui contribuent au développement du projet de logiciel ou le gèrent. |
Contributors |
Membres |
Lecteur |
Ajouter des comptes pour les personnes qui gèrent l'accès des utilisateurs au projet ou qui ont besoin de configurer ou de personnaliser le projet. |
Project Administrators |
Propriétaires |
Gestionnaire de contenu Team Foundation |
Pour simplifier la gestion sur les trois systèmes, envisagez d'utiliser l'outil TFSAdmin de CodePlex.
Conseil
Contrairement à Team Foundation Server et SharePoint Foundation, SQL Server Reporting Services ne fait pas de distinction entre les projets.Par conséquent, si vous ajoutez un groupe à Reporting Services, ce groupe a les mêmes autorisations relatives aux rapports pour tous les projets de la collection, quelles que soient les autorisations de ce groupe dans les différents projets.Gardez cela à l'esprit lorsque vous choisissez les groupes à ajouter.
Q : si j'ajoute des membres de l'équipe au rôle Collaborateur, auront-ils toutes les autorisations nécessaires ?
R : le rôle Collaborateur accorde aux développeurs la plupart des autorisations courantes dont ils ont besoin pour contribuer à un projet d'équipe. Toutefois, il ne permet pas aux utilisateurs de créer des requêtes partagées ou d'ajouter des chemins de zone ou d'itération. Vous devez accorder ces autorisations séparément. Cliquez ici pour les requêtes, et ici pour les chemins de zone ou d'itération.
Q : comment gérer les autorisations des comptes de service ?
R : voir Comptes de service TFS et dépendances.
Q : quelles tâches les parties prenantes disposant d'un accès limité peuvent-elles effectuer ?
R : Consultez Travailler en tant que participant.
Q : Existe-t-il une référence pour toutes les autorisations dans TFS ?
R : oui. Voir Autorisations TFS.
Q : Existe-t-il des outils en ligne de commande qui permettent de gérer l'accès et les autorisations ?
R : oui. Vous pouvez recourir à l'utilitaire en ligne de commande TFSSecurity pour créer, modifier et supprimer des groupes et des utilisateurs TFS, ainsi que pour modifier les autorisations des utilisateurs et des groupes.