Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Servizi di Azure DevOps
Importante
L'autenticazione di Microsoft Entra ID è l'approccio consigliato per le nuove applicazioni che si integrano con Azure DevOps Services. Offre funzionalità avanzate di sicurezza, integrazione delle identità aziendali e autenticazione moderna.
Questo articolo illustra i vantaggi dell'autenticazione di Microsoft Entra ID e illustra l'implementazione nelle applicazioni.
Informazioni generali
Microsoft Entra ID è la piattaforma di gestione delle identità e degli accessi basata sul cloud di Microsoft che consente alle organizzazioni di:
- Gestire le identità utente e controllare l'accesso alle risorse
- Implementare criteri di sicurezza aziendali come l'autenticazione a più fattori e l'accesso condizionale
- Eseguire l'integrazione con migliaia di applicazioni , tra cui Azure DevOps Services
- Fornire l'accesso Single Sign-On (SSO) tra i servizi Microsoft e non Microsoft
Molti clienti aziendali di Azure DevOps connettono l'organizzazione di Azure DevOps all'ID Microsoft Entra per usare queste funzionalità e funzionalità di sicurezza avanzate.
Annotazioni
Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD). In alcuni prodotti e documentazione Microsoft potrebbero ancora essere visualizzati riferimenti.
Opzioni di autenticazione
Microsoft Identity Platform offre due modelli di autenticazione principali per l'accesso ad Azure DevOps:
Delega utente (OAuth)
Ideale per: applicazioni interattive che agiscono per conto degli utenti
- Gli utenti accedono con le credenziali dell'ID Microsoft Entra
- Le applicazioni ricevono autorizzazioni delegate per fungere da utente connesso
- Supporta l'autenticazione a più fattori e i criteri di accesso condizionale
- Ideale per applicazioni Web, app desktop e strumenti per utenti
Introduzione: Implementazione OAuth di Microsoft Entra ID
Identità dell'applicazione (entità servizio e identità gestite)
Ideale per: scenari di automazione e servizi in background
- Le applicazioni eseguono l'autenticazione usando la propria identità (non le credenziali utente)
- Adatto per pipeline CI/CD, servizi in background e strumenti automatizzati
- Maggiore sicurezza per la comunicazione da servizio a servizio
- Supporta sia le entità servizio che le identità gestite di Azure
Introduzione: principali di servizio e identità gestite
Vantaggi dell'autenticazione di Microsoft Entra ID
L'autenticazione di Microsoft Entra ID offre vantaggi significativi rispetto ai metodi di autenticazione di Azure DevOps legacy:
Sicurezza avanzata
- I token di breve durata (scadenza di 1 ora) riducono il rischio di credenziali compromesse
- I criteri di accesso condizionale proteggono dal furto di token e dall'accesso non autorizzato
- Supporto dell'autenticazione a più fattori per altri livelli di sicurezza
- Advanced Threat Protection con valutazione dei rischi in tempo reale
Integrazione aziendale
- Single Sign-On tra applicazioni Microsoft e non Microsoft
- Gestione centralizzata delle identità per utenti e applicazioni
- Applicazione dei criteri a livello di organizzazione
- Funzionalità di controllo e conformità per i requisiti di governance
Esperienza sviluppatore
- Librerie di autenticazione moderne (MSAL) con aggiornamento automatico dei token
- Piattaforma di gestione delle identità coerente in tutti i servizi Microsoft
- Documentazione ed esempi avanzati per l'implementazione rapida
- Supporto e sviluppo attivi con aggiornamenti regolari delle funzionalità
Confronto con metodi legacy (obsoleti)
| Caratteristica / Funzionalità | Microsoft Entra ID | Token di accesso personali | Azure DevOps OAuth |
|---|---|---|---|
| Durata del token | 1 ora (aggiornamento automatico) | Fino a 1 anno | Configurabile |
| Autenticazione a più fattori | ✅ Supporto nativo | ❌ Non supportato | ❌ Non supportato |
| Accesso condizionale | ✅ Supporto completo | ❌ Non supportato | ❌ Non supportato |
| Criteri Enterprise | ✅ Applicato | ⚠️ Limitato | ⚠️ Limitato |
| Registrazione di controllo | ✅ Completo | ⚠️ Basic | ⚠️ Basic |
| Investimenti futuri | ✅ Sviluppo attivo | ⚠️ Modalità manutenzione | ❌ Deprecato |
Importante
Compatibilità dei token: i token MICROSOFT Entra ID e i token Di Azure DevOps non sono intercambiabili. Le applicazioni che eseguono la migrazione da Azure DevOps OAuth a Microsoft Entra ID OAuth richiedono la riautorizzazione dell'utente.
Migrazione dall'autenticazione legacy
Le organizzazioni adottano sempre più criteri di sicurezza che limitano la creazione di token di accesso personale a causa di rischi per la sicurezza. L'autenticazione microsoft Entra ID offre alternative sicure per scenari PAT comuni.
| Scenario PAT | Alternativa a Microsoft Entra |
|---|---|
| Eseguire l'autenticazione con Git Credential Manager (GCM) | Per impostazione predefinita, GCM esegue l'autenticazione con i Token di Accesso Personale (PAT). Impostare il tipo di credenziale predefinito su oauth. Altre informazioni sono disponibili nella pagina Git Credential Manager (GCM). |
| Eseguire l'autenticazione in una pipeline di compilazione o versione | Usare una connessione al servizio con Federazione dell'Identità del Carico di Lavoro. |
| Richieste ad hoc alle API REST di Azure DevOps | Eseguire un token unico di Microsoft Entra usando Azure CLI. |
Suggerimento
Hai uno scenario di PAT di Azure DevOps senza una chiara alternativa al token Microsoft Entra? Condividere lo scenario nella community degli sviluppatori.