Contrôler l'accès aux domaines fonctionnels
Vous pouvez configurer les paramètres de sécurité initiaux pour les zones fonctionnelles suivantes pour un projet d'équipe : requêtes d'équipe, contrôle de version Team Foundation, Team Foundation Build et Visual Studio Lab Management. Les modèles de processus pour Microsoft Solutions Framework (MSF) assignent plusieurs autorisations aux groupes de sécurité par défaut.Vous pouvez modifier ces assignations en personnalisant le fichier de plug-in du domaine fonctionnel approprié.
Pour plus d'informations sur la configuration des groupes de sécurité de Visual Studio Team Foundation Server, consultez Configurer des groupes, des équipes, des membres et des autorisations initiaux.
Dans cette rubrique
Assignation d'autorisations aux domaines fonctionnels à l'aide de l'élément d'autorisation fonctionnel
Assignation d'autorisations pour les requêtes d'éléments de travail
Assignation d'autorisations pour le contrôle de version
Assignation d'autorisations pour la build
Assignation d'autorisations pour Lab Management
Pour plus d'informations sur l'administration des utilisateurs et groupes et sur le contrôle d'accès à Visual Studio Application Lifecycle Management (ALM), consultez Configuration d'utilisateurs, de groupes et d'autorisations.
Assignation d'autorisations aux domaines fonctionnels à l'aide de l'élément d'autorisation fonctionnel
Vous pouvez utiliser l'élément permission fonctionnel pour accepter ou refuser des autorisations liées aux domaines fonctionnels à un groupe de sécurité dans Team Foundation Server, un groupe Windows ou une identité Windows.Vous utilisez cet élément dans les fichiers de plug-in pour le suivi des éléments de travail, contrôle de version Team Foundation, Team Foundation Build et Lab Management.Vous devez encapsuler l'élément d'autorisation dans son conteneur correspondant : l'élémentpermissions. Vous utilisez la structure de syntaxe suivante pour l'élément permission fonctionnel :
<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>
Le tableau suivant décrit les attributs de l'élément permission fonctionnel :
Attribut |
Description |
---|---|
allow |
Identifie les autorisations accordées.Vous spécifiez les autorisations sous la forme d'un texte délimité par des virgules. Pour les noms des autorisations définies pour chaque domaine fonctionnel, consultez les sections suivantes de cette rubrique :
|
deny |
Identifie les autorisations révoquées.Vous spécifiez les autorisations sous la forme d'un texte délimité par des virgules.
Remarque
Les autorisations refusées ont la priorité sur les autorisations permises.
|
identity |
Spécifie le groupe de sécurité de Team Foundation Server, le groupe Windows ou l'identité Windows auquel les autorisations sont appliquées.Pour connaître le format à utiliser lorsque vous spécifiez des groupes, consultez « Groupes par défaut définis dans Team Foundation Server » dans Configurer des groupes, des équipes, des membres et des autorisations initiaux. |
L'exemple suivant montre comment accorder des autorisations pour permettre au groupe Contributors de consulter des builds et des définitions de build, ainsi que de mettre en file d'attente des builds et de modifier la qualité de build.
<taskXml>
<permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>
[!REMARQUE]
Au moment de l'exécution, si une autorisation est introuvable pour une identité, elle est recherchée dans les éventuels autres groupes auxquels l'identité appartient.Si l'autorisation est toujours introuvable, elle est refusée par défaut.
Assignation d'autorisations pour les requêtes d'éléments de travail
Dans le fichier de plug-in workitems, vous pouvez assigner des autorisations qui contrôlent l'accès aux dossiers de requêtes d'équipe.Les autorisations des dossiers de requêtes sont spécifiques aux requêtes et aux dossiers de requêtes.Vous pouvez accorder l'accès aux utilisateurs et groupes de Windows ou aux groupes par défaut définis pour Team Foundation Server.
Vous assignez ces autorisations à l'aide de l'élément permission fonctionnel, comme le montre l'exemple suivant :
<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
[!REMARQUE]
Une fois le projet d'équipe créé, vous pouvez définir ces autorisations en cliquant avec le bouton droit sur un dossier de requêtes ou une requête dans Team Explorer, puis en cliquant sur Sécurité.Pour plus d'informations, consultez Organiser les requêtes d'élément de travail et définir les autorisations associées.
Le tableau suivant décrit les autorisations qui contrôlent l'accès aux dossiers de requêtes et requêtes.Il indique également les assignations par défaut réalisées dans les modèles de processus MSF.Par défaut, les créateurs ou propriétaires de requêtes et dossiers de requêtes ont le contrôle total de la gestion des requêtes qu'ils ont créées ou possèdent.
Autorisation |
Description |
Lecteurs, collaborateurs, générateurs |
Propriétaires créateurs, groupe Project Administrators, Project Collection Administrators |
---|---|---|---|
Read |
Lire :permet d'afficher et d'exécuter une requête ou d'afficher un dossier de requêtes et son contenu |
||
Contribute |
Contribuer :permet d'afficher et de modifier une requête ou un dossier de requêtes et son contenu |
||
Delete |
Supprimer :permet d'afficher, modifier et supprimer une requête ou un dossier de requêtes et son contenu |
||
ManagePermissions |
Gérer les autorisations :permet de gérer les autorisations pour une requête ou un dossier de requêtes et son contenu |
||
FullControl |
Contrôle total :permet d'afficher, modifier, supprimer et gérer les autorisations pour une requête ou pour un dossier de requêtes et son contenu |
Assignation d'autorisations pour le contrôle de version
Vous pouvez assigner des autorisations qui contrôlent l'accès aux fichiers et dossiers de code source en modifiant le fichier de plug-in du contrôle de version.Les autorisations du contrôle de version sont spécifiques aux fichiers et aux dossiers de code source.Vous pouvez accorder l'accès aux utilisateurs et groupes de Windows ou aux groupes par défaut définis pour Team Foundation Server.
Vous assignez ces autorisations à l'aide de l'élément permission fonctionnel, comme le montre l'exemple suivant :
<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
[!REMARQUE]
Une fois le projet d'équipe créé, vous pouvez définir ces autorisations en cliquant avec le bouton droit sur le dossier ou fichier dans l'Explorateur du contrôle de code source, puis en cliquant sur Propriétés et sur l'onglet Sécurité.Sous cet onglet, vous pouvez cliquer sur l'utilisateur ou le groupe dont vous souhaitez modifier les autorisations, puis modifier les autorisations répertoriées dans Autorisations.Vous pouvez également définir ces autorisations à l'aide de l'outil en ligne de commande tf pour le contrôle de version ou de l'outil en ligne de commande TFSSecurity.Pour plus d'informations, consultez Control Access to Team Foundation Version Control.
Le tableau suivant décrit les autorisations qui contrôlent l'accès aux fichiers et dossiers de code source.Il indique également les assignations par défaut réalisées dans les modèles de processus MSF.
Autorisation |
Description |
Readers |
Contributors |
Builders |
Groupe Project Administrators |
---|---|---|---|---|---|
Read |
Lire :permet d'afficher le contenu d'un fichier ou dossier. Si un utilisateur dispose des autorisations Lire pour un dossier mais pas pour les fichiers qu'il contient, il peut afficher les noms et propriétés de ces fichiers, mais il ne peut pas les ouvrir. |
||||
PendChange |
Extraire :permet d'extraire un élément et de lui appliquer une modification en attente.Les exemples de modification en attente incluent l'ajout, la modification, le changement de nom, la suppression, la restauration, le branchement et la fusion d'un fichier. |
||||
Merge |
Fusionner :permet de fusionner des modifications dans le chemin d'accès disposant d'autorisations. |
||||
Checkin |
Archiver :permet d'archiver des éléments et de réviser les éventuels commentaires de l'ensemble de modifications validé.Modifications en attente sont validées lorsque l'utilisateur vérifie dans l'élément. |
||||
Label |
Étiquette :permet d'étiqueter des éléments. |
||||
Lock |
Verrouiller :permet de verrouiller un élément afin que les autres utilisateurs ne puissent pas le mettre à jour. |
||||
ReviseOther |
Réviser les modifications des autres utilisateurs :Peut modifier le contenu des commentaires de l'ensemble de modifications et les notes d'archivage d'une autre personne. |
||||
UnlockOther |
Déverrouiller les modifications des autres utilisateurs :Peut supprimer le verrouillage effectué par une autre personne. |
||||
UndoOther |
Annuler les modifications des autres utilisateurs :Peut annuler les modifications en attente effectuées par une autre personne. |
||||
LabelOther |
Administrer les étiquettes :Peut modifier l'étiquette d'une autre personne. |
||||
AdminProjectRights |
Gérer les autorisations :Peut configurer les paramètres de sécurité du contrôle de version. |
||||
CheckinOther |
Archiver les modifications des autres utilisateurs :permet d'effectuer un archivage en tant qu'utilisateur différent.Cette autorisation est requise pour les utilitaires de conversion. |
||||
ManageBranch |
Gérer la branche :Les utilisateurs qui ont cette autorisation pour un chemin d'accès donné peuvent convertir en une branche un dossier sous ce chemin d'accès.Les utilisateurs qui possèdent cette autorisation pour une branche peuvent également modifier ses propriétés, l'apparenter et la convertir en un dossier. Les utilisateurs qui ont cette autorisation peuvent créer cette branche uniquement si ils ont également l'autorisation Fusionner pour le chemin d'accès cible.Les utilisateurs ne peuvent pas créer de branches à partir d'une branche pour laquelle ils n'ont pas l'autorisation Gérer la branche. |
Assignation d'autorisations pour la build
Vous pouvez assigner des autorisations qui contrôlent l'accès aux activités de build en modifiant le fichier de plug-in Build.Vous pouvez accorder l'accès aux utilisateurs et groupes de Windows et aux groupes de Team Foundation Server.Pour plus d'informations sur le format à utiliser lorsque vous spécifiez des groupes, consultez « Groupes par défaut dans Team Foundation Server » dans Configurer des groupes, des équipes, des membres et des autorisations initiaux.
Vous assignez ces autorisations à l'aide de l'élément permission fonctionnel, comme le montre l'exemple suivant :
<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
[!REMARQUE]
Une fois le projet d'équipe créé, vous pouvez définir ces autorisations en ouvrant le projet dans Team Explorer, en cliquant avec le bouton droit sur Builds, puis en cliquant sur Sécurité.Vous pouvez appliquer des autorisations à une définition de build spécifique en cliquant avec le bouton droit sur la définition de build, puis en cliquant sur Sécurité.Si vous souhaitez appliquer des autorisations à un dossier de build, cliquez avec le bouton droit sur ce dossier, puis cliquez sur Sécurité.En outre, vous pouvez définir ces autorisations à l'aide de l'outil en ligne de commande TFSSecurity.Pour plus d'informations, consultez Gestion des autorisations.
Le tableau suivant décrit les autorisations que vous pouvez assigner qui contrôlent l'accès aux fonctions de build d'un projet d'équipe.Il indique également les assignations par défaut effectuées dans les modèles de processus MSF.
[!REMARQUE]
L'autorisation Remplacer la validation de l'archivage par build doit être assignée uniquement aux comptes de service pour les services de build et aux administrateurs de build chargés de la qualité du code.Pour plus d'informations, consultez Archiver dans un dossier contrôlé par un processus de build d'archivage contrôlé.
Autorisation |
Description |
Readers |
Contributors |
Créer des administrateurs |
Project Administrators |
Project Collection Administrators |
---|---|---|---|---|---|---|
ViewBuildDefinition |
Afficher la définition de build :permet d'afficher toutes les définitions de build qui ont été créées pour le projet d'équipe. |
|||||
ViewBuilds |
Afficher les builds :permet d'afficher les builds mises en file d'attente et terminées pour ce projet d'équipe. |
|||||
EditBuildQuality |
Modifier la qualité de build :permet d'ajouter des informations sur la qualité de la build via l'interface de Team Foundation Build. |
|||||
QueueBuilds |
Mettre les builds en file d'attente :permet d'ajouter une build à la file d'attente via l'interface de Team Foundation Build ou à une invite de commandes. |
|||||
DeleteBuildDefinition |
Supprimer la définition de build :permet de supprimer des définitions de build. |
|||||
DeleteBuilds |
Supprimer les builds :permet de supprimer une build terminée. |
|||||
DestroyBuilds |
Détruire les builds :permet de supprimer définitivement une build terminée. |
|||||
EditBuildDefinition |
Modifier la définition de build :permet de créer et modifier des définitions de build. |
|||||
ManageBuildQualities |
Gérer les qualités de build :permet d'ajouter ou de supprimer des qualités de build, telles que Prêt pour le déploiement, Rejeté ou Examen en cours.Pour plus d'informations, consultez Ajouter ou supprimer des valeurs de qualité de build. |
|||||
ManageBuildQueue |
Gérer la file d'attente de builds :permet d'annuler, de changer l'ordre de priorité ou de reporter des builds en file d'attente. |
|||||
RetainIndefinitely |
Conserver indéfiniment :permet de marquer une build pour qu'elle ne soit pas supprimée automatiquement par une stratégie de rétention applicable. |
|||||
StopBuilds |
Arrêter les builds :permet d'arrêter une build en cours. |
|||||
OverrideBuildCheckInValidation |
Remplacer la validation de l'archivage par build :permet de valider un ensemble de modifications qui affecte une définition de build contrôlée sans que le système réserve et génère en premier les modifications les concernant.Pour plus d'informations, consultez Archiver dans un dossier contrôlé par un processus de build d'archivage contrôlé. |
|||||
UpdateBuildInformation |
Mettre à jour les informations de build :permet d'ajouter des informations sur la qualité d'une build. Cette autorisation doit être assignée uniquement aux comptes de service. |
Assignation d'autorisations pour Lab Management
Vous pouvez contrôler l'accès aux activités de Lab Management en modifiant le fichier de plug-in Lab.Les autorisations de Lab Management sont spécifiques aux ordinateurs virtuels, aux environnements et à autres ressources.Vous pouvez accorder l'accès aux utilisateurs et groupes de Windows et aux groupes de Team Foundation Server.Vous assignez ces autorisations à l'aide de l'élément permission fonctionnel, comme le montre l'exemple suivant :
<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
[!REMARQUE]
Vous pouvez définir des autorisations pour Lab Management à l'aide de l'outil en ligne de commande TFSLabConfig.Pour afficher des informations sur une ressource de laboratoire spécifique, vous devez disposer de l'autorisation Lire associée à cette ressource.Pour supprimer un emplacement, vous devez avoir l'autorisation Supprimer des emplacements de laboratoire pour cet emplacement. Pour plus d'informations, consultez TFSLabConfig Permissions, commande.
Le tableau suivant décrit les autorisations que vous pouvez assigner pour contrôler l'accès à Visual Studio Lab Management.Il indique également les assignations par défaut effectuées dans les modèles de processus MSF.
Autorisation |
Description |
Readers |
Contributors |
Groupe Project Collection Build Service Accounts |
Groupe Team Project Administrators |
Groupe Project Collection Administrators |
---|---|---|---|---|---|---|
Read |
Consulter des ressources de laboratoire :permet d'afficher des informations pour les différentes ressources de Lab Management, qui incluent des groupes hôtes de collection, des groupes hôtes de projet et des environnements. |
|||||
Create |
Importer l'ordinateur virtuel :permet d'importer un ordinateur virtuel à partir d'un partage de bibliothèque Virtual Machine Manager (VMM). Cette autorisation est différente de l'autorisation Écrire car les utilisateurs peuvent créer un objet dans Lab Management, mais ne peuvent pas écrire dans le groupe hôte VMM ou le partage de bibliothèque. |
|||||
Write |
Écrire dans l'environnement et les ordinateurs virtuels :permet de créer des environnements.Les utilisateurs qui ont cette autorisation pour un partage de bibliothèque de projet peuvent stocker des environnements et des ordinateurs virtuels. |
|||||
Edit |
Modifier l'environnement et les ordinateurs virtuels :permet de modifier des environnements et des ordinateurs virtuels.L'autorisation est activée pour l'objet en cours de modification. |
|||||
Start |
Démarrer :permet de démarrer un environnement. |
|||||
Stop |
Arrêter :permet d'arrêter un environnement. |
|||||
Pause |
Suspendre :permet de suspendre un environnement. |
|||||
ManageSnapshots |
Gérer les instantanés :permet d'effectuer toutes les tâches de gestion instantanées qui incluent la prise d'un instantané, son rétablissement, le changement de son nom, sa suppression et sa lecture. |
|||||
Delete |
Supprimer les environnements et les ordinateurs virtuels :permet de supprimer des environnements et des ordinateurs virtuels.L'autorisation est activée pour l'objet en cours de suppression. |
|||||
ManageLocation |
Gérer des emplacements de laboratoire :permet de modifier les emplacements des ressources de Lab Management, qui incluent des groupes hôtes de collection, des projets de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet. Cette autorisation pour les emplacements au niveau de la collection (groupes hôtes de collection et partages de bibliothèque de collection) permet également à un utilisateur de créer des emplacements au niveau du projet (groupes hôtes de projet et partages de bibliothèque de projet). |
|||||
DeleteLocation |
Supprimer des emplacements de laboratoire :permet de supprimer des emplacements des ressources de Lab Management, qui incluent des groupes hôtes de collection, des partages de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet. |
|||||
ManageChildPermissions |
Gérer les autorisations enfants :permet de modifier les autorisations de tous les objets enfants de Lab Management.Par exemple, si un utilisateur possède cette autorisation pour un groupe hôte de projet d'équipe, cet utilisateur peut modifier les autorisations pour tous les environnements sous ce groupe. |
|||||
ManagePermissions |
Gérer les autorisations :permet de modifier les autorisations pour un objet de Lab Management.Cette autorisation est activée pour l'objet dont les autorisations sont modifiées. |
|||||
EnvironmentOps |
Opérations d'environnement :permet de démarrer, d'arrêter, de suspendre et de gérer des instantanés, en plus d'exécuter d'autres opérations sur un environnement. |
Voir aussi
Concepts
Configurer des groupes, des équipes, des membres et des autorisations initiaux
Personnaliser les domaines fonctionnels au sein d'un modèle de processus