Autentique-se no Azure DevOps usando o Microsoft Entra

O Microsoft Entra ID é um produto separado da Microsoft com sua própria plataforma. Como um provedor líder de gerenciamento de identidade e acesso (IAM), Microsoft Entra ID está focado nas necessidades das empresas que precisam gerenciar os membros da equipe e proteger os recursos da empresa. Oferecemos a capacidade de conectar sua organização de DevOps do Azure a um locatário do Microsoft Entra ID, e pode haver muitos benefícios para sua empresa em fazê-lo.

Uma vez conectada, a plataforma de aplicativos Microsoft Identity além do Microsoft Entra ID oferece algumas vantagens que a tornam atraente para desenvolvedores de aplicativos e administradores de organizações. No Microsoft Entra, você pode registrar um aplicativo para acessar locatários do Azure e definir as permissões necessárias a partir dos recursos do Azure, dos quais o Azure DevOps é considerado um. O Azure DevOps existe fora da estrutura dos locatários do Azure.

Os aplicativos Microsoft Entra e os aplicativos Azure DevOps são entidades separadas sem conhecimento um do outro. Os meios para autenticar seu aplicativo diferem do Microsoft Entra OAuth para o Azure DevOps OAuth. Por um lado, aplicativos OAuth do Microsoft Entra ID são tokens Microsoft Entra emitidos, não tokens de acesso do Azure DevOps. Esses tokens têm uma duração padrão de uma hora antes da expiração.

Desenvolvendo aplicativos de DevOps do Azure no Microsoft Entra

Recomendamos a leitura completa da documentação do Microsoft Entra para entender a nova funcionalidade disponível via Microsoft Entra e as diferentes expectativas de você durante a instalação.

Temos orientações para apoiar o desenvolvimento da sua aplicação para:

• Aplicativos OAuth do Microsoft Entra (aplicações que atuam em nome do usuário) para aplicativos que executam ações em nome de usuários que deram consentimento
• Entidades de serviço e identidades gerenciadas do Microsoft Entra (aplicativos em nome próprio) para aplicativos que executam ferramentas automatizadas dentro de uma equipe

Substituindo PATs por tokens Microsoft Entra

Os tokens de acesso pessoal (PATs) continuam sendo uma das formas mais populares de autenticação para usuários do Azure DevOps por sua facilidade de criação e uso. No entanto, um mau gerenciamento e armazenamento de PAT podem resultar em acesso não autorizado às suas organizações de DevOps do Azure. Deixar os PATs terem uma vida útil prolongada ou aumentar o seu âmbito de aplicação também pode aumentar o risco de danos que um PAT vazado pode causar.

Os tokens Microsoft Entra fornecem uma alternativa atraente, uma vez que duram apenas uma hora antes de serem atualizados. Os protocolos de autenticação para gerar tokens Entra são mais robustos e seguros. Medidas de segurança, como políticas de acesso condicional, protegem contra roubo de token e ataques de repetição. Esperamos envolver mais utilizadores para explorar a utilização de tokens Microsoft Entra sempre que os PATs possam ser usados frequentemente hoje em dia. Partilhamos alguns dos casos de utilização da PAT mais populares e formas de substituir a PAT por um token Entra neste fluxo de trabalho.

Solicitações ad-hoc para APIs REST do Azure DevOps

Você também pode usar o Azure CLI para obter tokens de acesso do Microsoft Entra ID para que os usuários chamem APIs REST do Azure DevOps. Como os tokens de acesso do Entra vivem apenas uma hora, eles são ideais para operações pontuais rápidas, como chamadas de API que não precisam de um token persistente.

Adquirir tokens de usuário na CLI do Azure

O crédito para estas instruções vai para o Databricks docs.

1. Entre na CLI do Azure usando o comando az login e siga as instruções na tela.
2. Defina a assinatura correta para o usuário conectado com esses comandos bash. Verifique se a ID da assinatura do Azure está associada ao locatário conectado à organização do Azure DevOps que você está tentando acessar. Se não souber o seu ID de subscrição, pode encontrá-lo no portal do Azure. bash az account set -s <subscription-id>
3. Gere um token de acesso do Microsoft Entra ID com o az account get-access-token ID do recurso do Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798. bash az account get-access-token \ --resource 499b84ac-1321-427f-aa17-267ca6975798 \ --query "accessToken" \ -o tsv

Adquirir tokens de entidade de serviço na CLI do Azure

As entidades de serviço também podem usar tokens de acesso temporários do Microsoft Entra ID para operações pontuais. Instruções sobre como fazer isso são fornecidas nesta seção no guia para entidades de serviço e identidades gerenciadas.

Operações do Git com o Git Credential Manager

Os tokens Microsoft Entra também podem ser usados para executar operações Git. Para aqueles que enviam regularmente para repositórios git, usar o Git Credential Manager proporciona uma forma simples de gerenciar e solicitar credenciais de token OAuth do Microsoft Entra, desde que oauth esteja configurado como o credential.azReposCredentialTypepadrão.