Impostare le autorizzazioni a livello di oggetto
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Quando si gestisce la sicurezza per l'organizzazione, è possibile impostare le autorizzazioni a livello di organizzazione/raccolta, a livello di progetto e a livello di oggetto. Questo articolo illustra le finestre di dialogo di sicurezza per l'impostazione delle autorizzazioni a livello di oggetto, in quanto l'interfaccia utente varia in qualche modo in Azure Devops. Per altre informazioni, vedere Introduzione ad autorizzazioni, accesso e gruppi di sicurezza.
Gli elementi seguenti sono considerati oggetti:
- generale: dashboard, visualizzazioni analitiche, wiki e notifiche
- Azure Boards: percorsi di area, percorsi di iterazione, query condivise e cartelle di query e altro ancora
- Azure Pipelines: pipeline di creazione e rilascio, gruppi di distribuzione, gruppi di attività e altro ancora
- Azure Repos: repository Git e rami, cartelle o rami TFVC
- azure Artifacts: artefatti e feed
Gli elementi di lavoro, i tag, i piani di test e altri artefatti di test sono soggetti alle impostazioni di sicurezza in genere impostate a livello di progetto o per un percorso di area.
Prerequisiti
Autorizzazioni: Per impostare le autorizzazioni a livello di oggetto, è necessario essere membri del gruppo Amministratori di progetti o disporre di autorizzazioni esplicite tramite la finestra di dialogo di sicurezza dei singoli oggetti.
Nota
TFVC supporta solo un singolo repository per ogni progetto. È possibile impostare le autorizzazioni per il repository o le cartelle o i rami del repository, che ereditano dal repository.
Aprire la finestra di dialogo delle autorizzazioni per una sezione dell'oggetto
Per accedere alla finestra di dialogo Autorizzazioni per un oggetto, seguire questa procedura:
- Passare all'oggetto specifico.
- Selezionare Altro
...
. - Selezionare Sicurezza dal menu a discesa.
Nota
Alcuni oggetti, ad esempio repository e viste di Analisi, richiedono almeno livelli di accesso di base. Per altre informazioni, vedere Livelli di accesso.
Impostare le autorizzazioni per dashboard, wiki e visualizzazioni analitiche
È possibile impostare le autorizzazioni a livello di progetto e organizzazione/raccolta per alcuni elementi generali, ad esempio la creazione, l'eliminazione e la ridenominazione di progetti. Nella tabella seguente vengono fornite informazioni sull'impostazione delle autorizzazioni a livello di oggetto per dashboard, wiki e visualizzazioni analitiche.
Object | Appartenenza al gruppo predefinita | Come accedere alla sicurezza | Ereditato? |
---|---|---|---|
Dashboard | Collaboratore | Aprire Dashboard, selezionare il percorso dell'area e quindi Altro ... >Sicurezza. | ✔️ (impostazioni del progetto per il dashboard del team) |
Wiki | Collaboratore | Aprire il wiki, scegliere Altro ... >Sicurezza wiki. Per altre informazioni, vedere Gestire le autorizzazioni wiki. | no |
Visualizzazioni analitiche | Collaboratore e Base | Aprire la visualizzazione analitica, scegliere Altro ... >Sicurezza. | no |
Impostare le autorizzazioni per gli oggetti Boards
Nella tabella seguente vengono fornite informazioni sull'impostazione delle autorizzazioni a livello di oggetto per percorsi di area e iterazione, elementi di lavoro e altro ancora.
Object | Appartenenza al gruppo predefinita | Come accedere alla sicurezza | Ereditato? |
---|---|---|---|
Percorso area | Amministratore di progetto | Aprire Impostazioni progetto>progetto accanto a un'area, Altro ... >Sicurezza. | ✔️ (nodo figlio dal nodo padre) |
Percorso iterazione | Amministratore di progetto | Aprire Impostazioni progetto>progetto accanto a un'iterazione, Altro ... >Sicurezza. | ✔️ (nodo figlio dal nodo padre) |
Elemento di lavoro | Collaboratore | Aprire Project settings Project configuration Areas Area path the work item .Open Project settings> the work item. | no |
Query e cartella query degli elementi di lavoro | Autore della query o della cartella o dell'amministratore del progetto | Aprire la query dell'elemento di lavoro o la cartella >query Altro ... >Sicurezza. | no |
Piani di recapito | Amministratore del progetto o creatore del piano di recapito | Aprire accanto a un piano di recapito, >. | no |
Processo | Amministratore di progetto | Selezionare Altro ... >Sicurezza. | ✔️ (dalle impostazioni organizzazione/raccolta) |
Nota
Tag dell'elemento di lavoro: le autorizzazioni vengono impostate a livello di progetto, Crea definizione tag. I tag degli elementi di lavoro non sono qualificati come oggetto, vengono definiti tramite elementi di lavoro.
Suggerimenti
Di seguito sono riportati i ruoli seguenti correlati ai revisori:
-
Revisori modificati:
- Questo ruolo si applica a qualsiasi revisore aggiunto o rimosso, a causa dei criteri definiti per un set di file.
- Si consideri, ad esempio, una richiesta pull in cui vengono apportate modifiche a
File1.cs
. - Se un criterio specifica che la persona A deve esaminare le modifiche apportate a
File1.cs
, rientrano nel ruolo "Revisori modificati" per l'iterazione della richiesta pull.
-
Reimpostare i revisori:
- Questo ruolo è correlato ai criteri di reimpostazione dei voti.
- Si supponga che nel repository siano configurati i criteri "Reimposta voti per i nuovi push".
- Se la persona B, che è stata richiesta per esaminare la richiesta pull, l'ha già approvata, il voto viene reimpostato a causa del criterio.
- Di conseguenza, si trovano nel ruolo "Reimposta revisori" per tale iterazione.
Impostare le autorizzazioni per gli oggetti Repos
La tabella seguente fornisce informazioni sull'impostazione delle autorizzazioni a livello di oggetto per repository, repository Git, rami Git e repository TFVC.
Object | Appartenenza al gruppo predefinita | Come accedere alla sicurezza | Ereditato? |
---|---|---|---|
Repos | Amministratore di progetto | Aprire > | ✔️ |
Repository Git | Amministratore di progetto | Aprire Repository delle impostazioni>del progetto e il repository Git. | ✔️ (dalle impostazioni del progetto per il repository Git) |
ramo Git | Amministratore di progetto | Aprire Repos>Branch> your branch >More ... >Sicurezza del ramo. | ✔️ |
Repository TFVC | Amministratore di progetto | Aprire Repository delle impostazioni>del progetto e il repository TFVC. | ✔️ |
Suggerimenti
-
Autorizzazioni per i rami:
- I rami ereditano un subset di autorizzazioni dalle assegnazioni effettuate a livello di repository.
- Per altre informazioni, vedere Impostare le autorizzazioni del ramo e Migliorare la qualità del codice con i criteri dei rami
-
Cartelle di query condivise:
- Creare una cartella di query condivisa per ogni team.
- Fornire le autorizzazioni per creare e modificare le query in tale cartella a tutti i membri del team.
-
Gruppo Collaboratori:
- L'aggiunta di un utente al gruppo Collaboratori consente di aggiungere e modificare elementi di lavoro.
- È possibile limitare le autorizzazioni utente e gruppo in base al percorso dell'area. Per altre informazioni, vedere Impostare le autorizzazioni e l'accesso per il rilevamento del lavoro, Modificare gli elementi di lavoro in un percorso di area.
-
Report autorizzazioni:
- Gli amministratori della raccolta di progetti possono scaricare il report delle autorizzazioni per un repository.
- Il pulsante dell'interfaccia utente per questa funzionalità non viene visualizzato per gli utenti che non sono membri del gruppo Project Collection Administrators.
Impostare le autorizzazioni per gli oggetti Pipelines
Nella tabella seguente vengono fornite informazioni sull'impostazione delle autorizzazioni a livello di oggetto per le pipeline di compilazione, le pipeline di versione, i gruppi di distribuzione e altro ancora.
Object | Appartenenza al gruppo predefinita | Come accedere alla sicurezza | Ereditato? |
---|---|---|---|
Pipeline | Amministratore di progetto | Aprire Pipeline di>pipeline Tutte le> pipeline Altro ... >>Gestire la sicurezza. | ✔️ |
Pipeline di compilazione | Amministratore di progetto | Aprire la pipeline di compilazione >Altro ... >Gestire la sicurezza. | ✔️ |
Esecuzioni della pipeline di compilazione | Amministratore di progetto | Aprire l'esecuzione >della pipeline di compilazione Altro ... >Gestire la sicurezza. | ✔️ |
Pipeline di versione | Amministratore di progetto | Aprire la pipeline >di versione Altro... >Gestire la sicurezza. | ✔️ |
Gruppi di attività (versione classica) | Amministratore di progetto | Aprire il gruppo >di attività Altro ... >Gestire la sicurezza. | ✔️ |
Gruppi di distribuzione | Amministratore di progetto | Aprire il gruppo >di distribuzione Altro ... >Gestire la sicurezza. | ✔️ |
Pool di distribuzione | Amministratore di progetto | Aprire il pool >di distribuzione Altro ... >Gestire la sicurezza. | ✔️ |
Ambienti | Amministratore di progetto | Aprire l'ambiente >Altro ... >Gestire la sicurezza. | ✔️ (dalle impostazioni di autorizzazione ambienti) |
Gruppi di variabili | Amministratore di progetto | Aprire il gruppo >di variabili Altro ... >Gestire la sicurezza. | ✔️ (dalle impostazioni delle autorizzazioni della libreria) |
Proteggere i file | Amministratore di progetto | Aprire il file >sicuro Altro ... >Gestire la sicurezza. | ✔️ (dalle impostazioni delle autorizzazioni della libreria) |
Impostare le autorizzazioni per gli oggetti Artifacts
Nella tabella seguente vengono fornite informazioni sull'impostazione delle autorizzazioni a livello di oggetto per artefatti e feed.
Object | Appartenenza al gruppo predefinita | Come accedere alla sicurezza | Ereditato? |
---|---|---|---|
Elementi | Amministratore di progetto | Aprire l'icona delle impostazioni artefatti di> Azure Artifacts. L'icona non viene visualizzata se non si dispone delle autorizzazioni appropriate. | no |
Feed | Amministratore del progetto o Amministratore feed | Aprire l'icona dell'ingranaggio>+ Aggiungi utenti/gruppi. | no |
Impostare le autorizzazioni per gli oggetti piani di test
- I piani di test, i gruppi di test, i test case e altri oggetti di test vengono gestiti in modo analogo agli elementi di lavoro perché rappresentano tipi di elementi di lavoro specifici del test, come descritto in Oggetti test e termini.
- È possibile gestire le autorizzazioni a livello di test tramite le impostazioni a livello di progetto o tramite le impostazioni a livello di oggetto Percorso area. Per altre informazioni, vedere Impostare le autorizzazioni e l'accesso per i test.
Impostare le autorizzazioni per gli oggetti tramite la riga di comando
È possibile usare lo strumento da riga di comando az devops security, che consente di visualizzare e gestire le autorizzazioni per vari oggetti e funzionalità.
Ecco alcuni esempi di autorizzazioni più granulari che possono essere gestite tramite la riga di comando:
-
Notifiche: usare gli spazi dei
EventSubscription
nomi eEventSubscriber
. -
Dashboard: consente di leggere o creare dashboard usando lo spazio dei
DashboardPrivileges
nomi . -
Endpoint di servizio: usare, gestire o visualizzare gli endpoint di servizio tramite lo spazio dei
ServiceEndpoints
nomi . -
Piani di recapito: visualizzare i piani di recapito tramite lo spazio dei
Plans
nomi .
Per altre informazioni sugli spazi dei nomi, vedere Informazioni di riferimento sullo spazio dei nomi e sulle autorizzazioni di sicurezza.
Impostare le autorizzazioni per le notifiche degli oggetti
Anche se non esiste un'interfaccia utente per l'impostazione delle autorizzazioni di notifica, è possibile impostare alcune autorizzazioni tramite gli strumenti da riga di comando e lo spazio dei EventSubscription
nomi. Per altre informazioni, vedere Informazioni di riferimento su spazio dei nomi e autorizzazioni di sicurezza.
Ecco alcuni altri suggerimenti per la gestione delle notifiche:
-
Livelli di notifica:
- Le notifiche possono essere impostate a livelli diversi: utente, team, progetto e organizzazione/raccolta.
- Sfortunatamente, non esiste un'interfaccia utente specifica per l'impostazione delle autorizzazioni di notifica.
- Tuttavia, alcune autorizzazioni possono essere configurate tramite strumenti da riga di comando e lo spazio dei nomi EventSubscription.
-
Opzione Ignora iniziatore:
- Se non si vogliono ricevere notifiche per gli eventi avviati, abilitare l'opzione Ignora iniziatore.
- Ciò impedisce le notifiche per le azioni avviate.
- Per altre informazioni, vedere Escludere se stessi dai messaggi di posta elettronica di notifica per gli eventi avviati.
-
Notifiche a livello di organizzazione:
- Azure DevOps non supporta direttamente le notifiche a livello di organizzazione.
- In alternativa, è consigliabile fornire una lista di distribuzione di posta elettronica che raggiunga l'intera organizzazione.
- In Azure DevOps Services è possibile creare un banner usando il
az devops banner
comando visualizzato da tutti gli utenti quando accedono.