使用 Microsoft Entra OAuth Apps 建置 Azure DevOps
Entra OAuth Token
微軟身分識別平台提供許多方式,以透過 OAuth 2.0 通訊協定驗證使用者。 在這些文件中,我們使用 OAuth 令牌來俗稱應用程式中要求令牌以代替使用者執行動作的 代理使用者流程,這也被稱為 委派流程。 本指南的其餘部分會為這些應用程式開發人員提供實用的資源。
我們支援的另一個常見應用程式流程是使用服務主體和受控識別來建置 代理應用程式。
zh-TW: Entra 令牌也可用於 Azure CLI 的臨時請求
重要
建立新的 OAuth 2.0 應用程式時,請從 Microsoft Entra OAuth 應用程式開始,因為 Azure DevOps OAuth 應用程式 計劃於 2026 年淘汰。 在我們的部落格文章中深入瞭解。
有用的資源
適用於開發人員
- 快速入門:使用 Microsoft 身分識別平台來註冊應用程式
-
新增許可權以存取 Microsoft Graph:瞭解如何從 Azure 資源新增委派的許可權很有用。 請改為從資源清單中選取
Azure DevOps,而不是Microsoft Graph。 -
Microsoft 身分識別平台 中的範圍和許可權:讀取
.default範圍。 在我們的範圍清單中,請參閱 Azure DevOps 可用的範圍。 - 透過同意要求許可權
- 驗證連結庫 和 程式代碼範例
- 透過 API 管理個人存取令牌:使用 PAT 生命週期管理 API 需要Microsoft Entra 令牌和我們的文件和 相關聯的範例應用程式,可能是設定 Microsoft Entra 應用程式 以使用 Azure DevOps REST API 的實用範例。
- 適用於開發人員的支援與說明選項
適用於系統管理員
建置和移轉秘訣
注意
Microsoft Entra OAuth 應用程式原生不支援適用於 Azure DevOps REST API 的 MSA 使用者。 如果您要建置必須迎合 MSA 使用者的應用程式,或同時支援 Microsoft Entra 和 MSA 使用者, Azure DevOps OAuth 應用程式 仍然是最佳選項。 我們目前正透過 Microsoft Entra OAuth,為 MSA 使用者提供原生支援。
-
熟悉的 Azure DevOps 標識符:
- Microsoft Entra 資源標識符:
499b84ac-1321-427f-aa17-267ca6975798 - 資源 URI:
https://app.vssps.visualstudio.com -
.default在要求具有應用程式許可權之所有範圍的令牌時,請使用範圍。
- Microsoft Entra 資源標識符:
- 移轉現有的應用程式時,您可能會使用不存在於 Microsoft Entra 中的 Azure DevOps 使用者識別碼。 使用 ReadIdentities API 來解析並比對每個識別提供者所使用的不同身分識別。