Проверка подлинности в Azure DevOps с помощью Microsoft Entra

Идентификатор Microsoft Entra — это отдельный продукт Майкрософт с собственной платформой. В качестве ведущего поставщика в области управления идентификацией и доступом (IAM) Microsoft Entra ID фокусируется на управлении участниками команды и защите ресурсов компании. Вы можете подключить организацию Azure DevOps к клиенту Microsoft Entra ID, который предлагает множество преимуществ для вашей компании.

После подключения платформа удостоверений Microsoft на основе Microsoft Entra ID предоставляет несколько преимуществ для разработчиков приложений и администраторов организаций. Вы можете зарегистрировать приложение для доступа к клиентам Azure и определить необходимые разрешения из ресурсов Azure, включая Azure DevOps, которая существует за пределами конструкции клиента Azure.

Приложения Microsoft Entra и приложения Azure DevOps являются отдельными сущностями без знания друг друга. Методы проверки подлинности отличаются: Microsoft Entra использует OAuth, а Azure DevOps использует собственный OAuth. приложения OAuth идентификатора Microsoft Entra ID выдают токены Microsoft Entra, а не токены доступа Azure DevOps. Эти токены имеют стандартный срок действия один час до истечения.

Разработка приложений Azure DevOps в Microsoft Entra

Ознакомьтесь с документацией по Microsoft Entra, чтобы понять новые функциональные возможности и различные ожидания во время установки.

Мы поддерживаем разработку приложений с помощью рекомендаций:

• приложения Microsoft Entra OAuth (от имени пользователей) для приложений, выполняющих действия от имени согласия пользователей.
• служебные принципы Microsoft Entra и управляемые удостоверения (для приложений от их собственного имени) для приложений, выполняющих автоматизированное инструментирование в команде.

Замена PATs маркерами Microsoft Entra

Личные маркеры доступа (PATs) популярны для проверки подлинности Azure DevOps из-за простоты создания и использования. Однако плохое управление и хранение PAT может привести к несанкционированному доступу к организациям Azure DevOps. Долгоживущие или чрезмерно широкие PAT (персональные токены доступа) увеличивают риск ущерба в результате утечки PAT.

Токены Microsoft Entra предлагают безопасную альтернативу, которая действительна только один час, после чего требуется обновление. Протоколы проверки подлинности для создания маркеров Entra являются более надежными и безопасными. Меры безопасности, такие как политики условного доступа защищают от кражи токенов и атак воспроизведения. Мы рекомендуем пользователям изучить использование токенов Microsoft Entra вместо PATS. Мы делимся популярными вариантами использования PAT и способами замены PAT маркерами Entra в этом рабочем процессе.

Нерегламентированные запросы к REST API Azure DevOps

Вы также можете использовать Azure CLI для получения токенов доступа к идентификатору Microsoft Entra пользователями для вызова REST API Azure DevOps. Так как токены доступа Entra действуют только в течение одного часа, они идеально подходят для быстрых одноразовых операций, таких как вызовы API, которым не нужен постоянный токен.

Получение токенов пользователей в Azure CLI

1. Войдите в Azure CLI с помощью команды az login и следуйте инструкциям на экране.
2. Задайте правильную подписку для пользователя, вошедшего в систему, с помощью этих команд Bash. Убедитесь, что идентификатор подписки Azure связан с клиентом, подключенным к организации Azure DevOps, к которому вы пытаетесь получить доступ. Если вы не знаете идентификатор подписки, его можно найти на портале Azure .

  az account set -s <subscription-id>

3. Создайте токен доступа идентификатора Microsoft Entra с az account get-access-token для ресурса Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.

az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv

Для получения дополнительной информации см. в документации Databricks.

Получение токенов служебной учётной записи в Azure CLI

Субъекты-службы также могут использовать нерегламентированные маркеры доступа Microsoft Entra ID для нерегламентированных операций. Дополнительные сведения см. в разделе "Служебные принципы и управляемые удостоверения" и "Получение токена Microsoft Entra ID с помощьюAzure CLI".

Операции Git с помощью диспетчера учетных данных Git

Вы также можете использовать токены Microsoft Entra для выполнения операций Git. Если вы регулярно отправляете данные в репозитории Git, используйте диспетчер учетных данных Git, чтобы легко запрашивать и управлять учетными данными токена Microsoft Entra OAuth, при условии, что oauth установлен по умолчанию credential.azReposCredentialType.

Связанные статьи

• сборка интеграции Azure DevOps с приложениями Microsoft Entra OAuth
• Использование субъектов-служб & управляемых удостоверений в Azure DevOps