Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure DevOps Services
Это важно
Рассмотрите возможность использования более безопасных маркеров Microsoft Entra по сравнению с более высоким уровнем риска персональных маркеров доступа. Дополнительные сведения см. в разделе "Сокращение использования PAT". Просмотрите рекомендации по проверке подлинности , чтобы выбрать правильный механизм проверки подлинности для ваших потребностей.
В этой статье объясняются преимущества аутентификации Microsoft Entra ID и даются рекомендации по её реализации в ваших приложениях.
Обзор
Идентификатор Microsoft Entra — это облачная платформа управления удостоверениями и доступом Майкрософт, которая позволяет организациям:
- Управление идентичностями пользователей и контроль доступа к ресурсам.
- Реализуйте политики корпоративной безопасности, такие как многофакторная проверка подлинности и условный доступ Microsoft Entra.
- Интеграция с тысячами приложений, включая Azure DevOps Services.
- Предоставление единого входа в службах Майкрософт и сторонних служб.
Многие корпоративные клиенты Azure DevOps подключают свою организацию Azure DevOps к идентификатору Microsoft Entra для использования этих возможностей и расширенных функций безопасности.
Замечание
Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD). В некоторых продуктах и документации Майкрософт могут по-прежнему отображаться ссылки.
Варианты проверки подлинности
Платформа удостоверений Майкрософт предоставляет два основных шаблона проверки подлинности для доступа Azure DevOps.
Делегирование пользователей (OAuth)
Подходят для: интерактивные приложения, которые выполняют действия за пользователей
- Пользователи входят, используя учетные данные Microsoft Entra ID.
- Приложения получают делегированные разрешения для действия в качестве пользователя, вошедшего в систему.
- Поддержка многофакторной проверки подлинности и политик условного доступа Microsoft Entra.
- Идеально подходит для веб-приложений, настольных приложений и пользовательских инструментов.
Начало работы: реализация OAuth идентификатора Microsoft Entra ID
Удостоверение приложения (сервис-принципалы и управляемые удостоверения)
Лучше всего: фоновые службы и сценарии автоматизации
- Приложения проходят проверку подлинности с помощью собственного удостоверения (а не учетных данных пользователя).
- Подходит для конвейеров непрерывной интеграции и непрерывной доставки (CI/CD), фоновых служб и автоматизированных средств.
- Безопаснее для обмена данными между службами.
- Поддержка учетных записей служб и управляемых удостоверений Azure.
Начало работы: Принципы службы и управляемые удостоверения
Преимущества проверки подлинности идентификатора Microsoft Entra
Проверка подлинности идентификатора Microsoft Entra обеспечивает значительные преимущества по сравнению с устаревшими методами проверки подлинности Azure DevOps.
Улучшенная безопасность
- Кратковременные токены (срок действия — один час) снижают риск от скомпрометированных учетных данных.
- Политики условного доступа Microsoft Entra защищают от кражи маркеров и несанкционированного доступа.
- Многофакторная проверка подлинности поддерживает другие уровни безопасности.
- Расширенная защита от угроз обеспечивает оценку рисков в режиме реального времени.
Интеграция предприятия
- Единый вход в приложения Майкрософт и не относящиеся к Майкрософт.
- Централизованное управление удостоверениями для пользователей и приложений
- Применение политик на уровне организации
- Возможности аудита и соответствия требованиям к управлению
Опыт разработчика
- Современные библиотеки аутентификации (Библиотека аутентификации Microsoft) с автоматическим обновлением токена
- Согласованная платформа удостоверений во всех службах Майкрософт
- Подробная документация и образцы для быстрой реализации
- Активная поддержка и разработка с регулярными обновлениями компонентов
Сравнение с устаревшими методами
| Функция | Майкрософт Ентра айди | Персональные токены доступа | Azure DevOps OAuth |
|---|---|---|---|
| Срок действия маркера | Один час (автообновление) | До одного года | Конфигурируемый |
| Многофакторная проверка подлинности | ✅ Встроенная поддержка | ❌ Не поддерживается. | ❌ Не поддерживается. |
| Условный доступ | ✅ Полная поддержка | ❌ Не поддерживается. | ❌ Не поддерживается. |
| Корпоративные политики | ✅ Осуществляются | ⚠️ Ограничено | ⚠️ Ограничено |
| Ведение журнала аудита | ✅ Всесторонний | ⚠️ Базовый | ⚠️ Базовый |
| Будущие инвестиции | ✅ Активная разработка | ⚠️ Режим обслуживания | ❌ Устаревшие |
Это важно
Совместимость маркеров: маркеры идентификатора Microsoft Entra и токены Azure DevOps не взаимозаменяемы. Приложения, которые переносятся из OAuth Azure DevOps в OAuth с идентификатором Microsoft Entra ID OAuth, требуют повторной проверки подлинности пользователей.
Миграция из устаревшей системы аутентификации
Организации все чаще применяют политики безопасности, ограничивающие создание личного маркера доступа (PAT) из-за рисков безопасности. Проверка подлинности идентификатора Microsoft Entra предоставляет безопасные альтернативы для распространенных сценариев PAT.
| Сценарий PAT | Альтернатива Microsoft Entra |
|---|---|
| Аутентификация с помощью диспетчера учетных данных Git (GCM) | GCM по умолчанию использует проверку подлинности с помощью PATS. Задайте для типа учетных данных по умолчанию значение oauth. Дополнительные сведения см. на странице диспетчера учетных данных Git (GCM). |
| Аутентификация в конвейере сборки или выпуска | Используйте подключение службы с федерацией удостоверений рабочей нагрузки. |
| Нерегламентированные запросы к REST API Azure DevOps | Выдача единовременного токена Microsoft Entra с помощью Azure CLI. |
Подсказка
У вас есть сценарий Azure DevOps PAT без четкой альтернативы токена Microsoft Entra? Поделитесь своим сценарием в сообществе разработчиков.