共用方式為

使用 Microsoft Entra 向 Azure DevOps 進行驗證

  • 發行項

Microsoft Entra ID 是個別的 Microsoft 產品,擁有自己的平臺。 身為領先的身分識別和存取管理(IAM)提供者,Microsoft Entra ID 著重於管理小組成員和保護公司資源。 您可以 將 Azure DevOps 組織連線到 Microsoft Entra ID 租使用者,這會為您的公司 提供許多優點。

連線之後,Microsoft Entra ID 上的 Microsoft 身分識別應用程式平台為應用程式開發人員和組織系統管理員提供多項優勢。 您可以註冊應用程式來存取 Azure 租使用者,並定義 Azure 資源所需的許可權,包括 Azure DevOps,其存在於 Azure 租使用者建構外部。

Microsoft Entra 應用程式和 Azure DevOps 應用程式是個別的實體,彼此都不知道。 驗證方法不同:Microsoft Entra 使用 OAuth,而 Azure DevOps 則使用自己的 OAuth。 Microsoft Entra ID OAuth 應用程式 發出 Microsoft Entra 令牌,而不是 Azure DevOps 存取令牌。 這些令牌在到期前有標準一小時的持續時間。

在 Microsoft Entra 上開發 Azure DevOps 應用程式

徹底閱讀 Microsoft Entra 檔,以瞭解新功能,並在安裝期間 不同的期望

我們透過下列指引支援您的應用程式開發:

以 Microsoft Entra 令牌取代 PAT

個人存取令牌 (PAT) 很受 Azure DevOps 驗證的歡迎,因為其易於建立和使用。 不過,不良的 PAT 管理和記憶體可能會導致未經授權存取您的 Azure DevOps 組織。 長期或超限範圍的 PAT 會增加洩漏 PAT 造成的損害風險。

Microsoft Entra 令牌提供安全替代方案,在需要重新整理前僅持續一小時。 用來產生 Entra 令牌的驗證通訊協定更為健全且安全。 安全性措施,例如 條件式存取原則, 防止令牌竊取和重新執行攻擊。 我們鼓勵使用者探索使用 Microsoft Entra 令牌,而不是 PAT。 我們分享熱門的 PAT 使用案例以及在此工作流程中以 Entra 令牌取代 PAT 的方法。

Azure DevOps REST API 的臨時性請求

您也可以使用 Azure CLI 來取得 Microsoft Entra ID 存取令牌,讓使用者呼叫 Azure DevOps REST APIs。 由於 Entra 存取令牌僅持續一小時,因此非常適合快速進行一次性作業,例如不需要持續性令牌的 API 呼叫。

在 Azure CLI 中取得使用者令牌

  1. 使用 az login 命令登入 Azure CLI,並遵循畫面上的指示。
  2. 使用這些bash命令,為登入的用戶設定正確的訂用帳戶。 請確認 Azure 訂閱識別碼與您嘗試存取的 Azure DevOps 組織所連線的租戶相關聯。 如果您不知道訂用帳戶標識碼,您可以在 azure 入口網站 中找到該標識碼
  az account set -s <subscription-id>
  1. 使用 Azure DevOps 資源識別碼 az account get-access-token 產生Microsoft Entra ID 存取令牌:499b84ac-1321-427f-aa17-267ca6975798
az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv

如需詳細資訊,請參閱 Databricks 文件

在 Azure CLI 中取得服務主體令牌

服務主體也可以使用 Microsoft Entra ID 的臨機操作存取權杖來執行臨時操作。 如需詳細資訊,請參閱 服務主體和受控身份/使用 Azure CLI取得 Microsoft Entra ID 令牌。

使用「Git 認證管理員」進行 Git 作業

您也可以使用Microsoft Entra 令牌來執行 Git 作業。 如果您定期推送至 git 存放庫,可以使用 Git 憑證管理器 輕鬆地要求及管理您的 Microsoft Entra OAuth 令牌憑證,只要 oauth 被設定為預設值 credential.azReposCredentialType