Autenticarsi su Azure DevOps tramite Microsoft Entra
Microsoft Entra ID è un prodotto Microsoft separato con la propria piattaforma. In qualità di provider leader di gestione delle identità e degli accessi (IAM), microsoft Entra ID è incentrato sulle esigenze delle aziende che devono gestire i membri del team e salvaguardare le risorse aziendali. Offriamo la possibilità di connettere l'organizzazione di Azure DevOps a un tenant di Microsoft Entra IDe potrebbero esserci molti vantaggi per la tua azienda in questo modo.
Una volta stabilita la connessione, la piattaforma dell'applicazione Microsoft Identity in cima a Microsoft Entra ID offre alcuni vantaggi che lo rendono accattivante per gli sviluppatori di app e gli amministratori dell'organizzazione. In Microsoft Entra è possibile registrare un'applicazione per accedere ai tenant di Azure e definire le autorizzazioni necessarie per le risorse di Azure, di cui Azure DevOps è considerato uno. Azure DevOps esiste al di fuori del costrutto dei tenant di Azure.
Le app Microsoft Entra e le app Azure DevOps sono entità separate senza alcuna conoscenza l'una dell'altra. I mezzi per autenticare l'applicazione differiscono da Microsoft Entra OAuth ad Azure DevOps OAuth. Innanzitutto, le app OAuth di Microsoft Entra ID vengono rilasciate token Microsoft Entra, non token di accesso di Azure DevOps. Questi token hanno una durata standard di un'ora prima della scadenza.
Sviluppo di app Azure DevOps in Microsoft Entra
È consigliabile leggere attentamente la documentazione di Microsoft Entra per comprendere le nuove funzionalità disponibili tramite Microsoft Entra e le diverse aspettative di te durante l'installazione.
Sono disponibili indicazioni per supportare lo sviluppo di app per:
- applicazioni OAuth di Microsoft Entra (applicazioni per conto degli utenti) per applicazioni che eseguono azioni per conto degli utenti consenzienti
- i principali del servizio e le identità gestite di Microsoft Entra (app per conto di se stesse) per le app che eseguono strumenti automatizzati all'interno di un team
Sostituzione di token PAT con token Microsoft Entra
I token di accesso personali (PAT) rimangono una delle forme di autenticazione più diffuse per gli utenti di Azure DevOps per la loro facilità di creazione e utilizzo. Tuttavia, una gestione e archiviazione inadeguate dei PAT possono comportare l'accesso non autorizzato alle organizzazioni di Azure DevOps. Lasciare che i PAT vivano per una lunga durata o estendere eccessivamente l'ambito possono anche aumentare il rischio di danni che un PAT trapelato può causare.
I token Microsoft Entra offrono un'alternativa interessante perché durano solo un'ora prima di essere aggiornati. I protocolli di autenticazione per generare token Entra sono più affidabili e sicuri. Misure di sicurezza come criteri di accesso condizionale proteggono da attacchi di furto e ripetizione dei token. Speriamo di coinvolgere più utenti per esplorare l'uso di token Microsoft Entra ovunque i token PAT possano essere comunemente usati oggi. Condividiamo alcuni dei casi d'uso più diffusi di PAT e i modi in cui si potrebbe sostituire il PAT con un token Entra in questo flusso di lavoro.
Richieste ad hoc alle API REST di Azure DevOps
È anche possibile usare CLI di Azure per ottenere token di accesso di Microsoft Entra ID per consentire agli utenti di chiamare API REST di Azure DevOps. Poiché i token di accesso entra sono in tempo reale solo per un'ora, sono ideali per operazioni occasionali rapide, ad esempio le chiamate API che non necessitano di un token permanente.
Acquisire i token utente nell'interfaccia della riga di comando di Azure
Il merito di queste istruzioni va alla documentazione di Databricks.
- Accedere all'interfaccia della riga di comando di Azure usando il comando
az logine seguire le istruzioni visualizzate. - Impostare la giusta sottoscrizione corretta per l'utente loggato con questi comandi bash. Assicurarsi che l'ID sottoscrizione di Azure sia associato al tenant connesso all'organizzazione di Azure DevOps a cui si sta provando ad accedere. Se non si conosce l'ID sottoscrizione, è possibile trovarlo nel portale di Azure .
bash az account set -s <subscription-id> - Generare un token di accesso Microsoft Entra ID con il
az account get-access-tokenID risorsa di Azure DevOps:499b84ac-1321-427f-aa17-267ca6975798.bash az account get-access-token \ --resource 499b84ac-1321-427f-aa17-267ca6975798 \ --query "accessToken" \ -o tsv
Acquisire i token dell'entità servizio nell'interfaccia della riga di comando di Azure
I principali del servizio possono anche usare token di accesso Microsoft Entra ID ad hoc per operazioni occasionali. Le istruzioni su come eseguire questa operazione sono fornite in questa sezione della guida ai principi del servizio e alle identità gestite.
Operazioni Git con Git Credential Manager
I token Microsoft Entra possono essere usati anche per eseguire operazioni Git. Per gli utenti che eseguono regolarmente il push nei repository Git, l'uso di Git Credential Manager offre un modo semplice per richiedere e gestire le credenziali del token OAuth di Microsoft Entra, purché oauth sia impostato come credential.azReposCredentialTypepredefinito.