Eseguire l'autenticazione ad Azure DevOps utilizzando Microsoft Entra

Microsoft Entra ID è un prodotto Microsoft separato con la propria piattaforma. In qualità di provider leader di gestione delle identità e degli accessi (IAM), Microsoft Entra ID è incentrato sulla gestione dei membri del team e sulla protezione delle risorse aziendali. È possibile connettere la tua organizzazione Azure DevOps a un tenant di Microsoft Entra ID, che offre molti vantaggi per la tua azienda.

Una volta stabilita la connessione, la piattaforma dell'applicazione Microsoft Identity su Microsoft Entra ID offre diversi vantaggi per gli sviluppatori di app e gli amministratori dell'organizzazione. È possibile registrare un'applicazione per accedere ai tenant di Azure e definire le autorizzazioni necessarie dalle risorse di Azure, tra cui Azure DevOps, che esiste all'esterno del costrutto del tenant di Azure.

Le app Microsoft Entra e le app Azure DevOps sono entità separate senza alcuna conoscenza l'una dell'altra. I metodi di autenticazione differiscono: Microsoft Entra usa OAuth, mentre Azure DevOps usa il proprio OAuth. Le app OAuth di Microsoft Entra ID rilasciano token di Microsoft Entra, non token di accesso di Azure DevOps. Questi token hanno una durata standard di un'ora prima della scadenza.

Sviluppare app Azure DevOps su Microsoft Entra

Leggere attentamente la documentazione di Microsoft Entra per comprendere le nuove funzionalità e aspettative diverse durante l'installazione.

Supportiamo lo sviluppo di app con indicazioni per:

• App OAuth di Microsoft Entra (app che agiscono per conto degli utenti) per applicazioni che eseguono azioni per conto dei loro utenti consenzienti.
• I principali di servizio e le identità gestite di Microsoft Entra (app che operano per conto proprio) per le app che eseguono strumenti automatizzati all'interno di un team.

Sostituire i token PAT con i token Microsoft Entra

Token di Accesso Personali (PAT) sono diffusi per l'autenticazione di Azure DevOps grazie alla facilità di creazione e uso. Tuttavia, una gestione e un'archiviazione insufficienti dei PAT possono causare accessi non autorizzati alle organizzazioni di Azure DevOps. Un PAT di lunga durata o con ambito eccessivo aumenta il rischio di danni causati da un PAT trapelato.

I token Microsoft Entra offrono un'alternativa sicura, durando solo un'ora prima di richiedere un aggiornamento. I protocolli di autenticazione per la generazione di token Entra sono più affidabili e sicuri. Misure di sicurezza come criteri di accesso condizionale proteggono da attacchi di furto e ripetizione dei token. Invitiamo gli utenti a esplorare l'uso dei token Microsoft Entra invece dei token PAT. In questo flusso di lavoro vengono condivisi casi d'uso pat comuni e modi per sostituire i token PAT con i token Entra.

Richieste ad hoc alle API REST di Azure DevOps

È anche possibile usare CLI di Azure per ottenere token di accesso di Microsoft Entra ID per consentire agli utenti di chiamare API REST di Azure DevOps. Poiché i token di accesso entra durano solo per un'ora, sono ideali per operazioni occasionali rapide, ad esempio le chiamate API che non richiedono un token permanente.

Acquisire i token utente nell'interfaccia della riga di comando di Azure

1. Accedere all'interfaccia della riga di comando di Azure usando il comando az login e seguire le istruzioni visualizzate.
2. Impostare la giusta sottoscrizione corretta per l'utente loggato con questi comandi bash. Assicurarsi che l'ID sottoscrizione di Azure sia associato al tenant connesso all'organizzazione di Azure DevOps a cui si sta provando ad accedere. Se non si conosce l'ID sottoscrizione, è possibile trovarlo nel portale di Azure .

  az account set -s <subscription-id>

3. Generare un token di accesso Microsoft Entra ID con il az account get-access-token ID risorsa di Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.

az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv

Per altre informazioni, vedere la documentazione di Databricks .

Acquisire i token dell'entità servizio nell'interfaccia della riga di comando di Azure

I principali del servizio possono anche usare token di accesso Microsoft Entra ID ad hoc per operazioni occasionali. Per ulteriori informazioni, vedere Entità servizio e identità gestite/ ottenere un token ID Microsoft Entra con Azure CLI.

Operazioni Git con Git Credential Manager

È anche possibile usare i token Microsoft Entra per eseguire operazioni Git. Se si esegue regolarmente il push nei repository Git, usare git Credential Manager per richiedere e gestire facilmente le credenziali del token OAuth di Microsoft Entra, purché oauth sia impostato come credential.azReposCredentialTypepredefinito.

Articoli correlati

• Creare l'integrazione di Azure DevOps con le app OAuth di Microsoft Entra
• Usare i principali del servizio & identità gestite di servizio in Azure DevOps