Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Pipelines bietet eine Auswahl verschiedener Authentifizierungsoptionen, die Sie beim Registrieren eines Agents verwenden können. Diese Authentifizierungsmethoden werden nur während der Agentregistrierung verwendet. Details dazu, wie Agents nach der Registrierung kommunizieren, finden Sie unter Agents-Kommunikation .
| Agent-Registrierungsmethode | Azure DevOps Services | Azure DevOps Server & TFS |
|---|---|---|
| Persönliches Zugriffstoken (PAT) | Unterstützt | Unterstützt, wenn der Server mit HTTPS konfiguriert ist |
| Dienstprinzipal (SP) | Unterstützt | Wird derzeit nicht unterstützt. |
| Gerätecodefluss (Microsoft Entra-ID) | Unterstützt | Wird derzeit nicht unterstützt. |
| Integriert | Nicht unterstützt | Nur Windows-Agents |
| Verhandeln | Nicht unterstützt | Nur Windows-Agenten |
| Alternative (ALT) | Nicht unterstützt | Unterstützt, wenn der Server mit HTTPS konfiguriert ist |
Persönliches Zugriffstoken (Personal Access Token, PAT)
Geben Sie PAT als Authentifizierungstyp während der Konfiguration des Agenten an, um ein persönliches Zugriffstoken zur Authentifizierung während der Registrierung des Agenten zu verwenden. Geben Sie dann ein persönliches Zugriffstoken (PAT) mit Agentpools (lese- und verwaltungsrechte)-Bereich (oder Bereitstellungsgruppe (Lese- und Verwaltungsrechte)-Bereich für einen Bereitstellungsgruppen-Agenten) an, das für die Registrierung des Agenten verwendet werden kann.
Weitere Informationen finden Sie unter Registrieren eines Agents mithilfe eines persönlichen Zugriffstokens (PAT)
Dienstprinzipal
Geben Sie SP für den Authentifizierungstyp während der Agentkonfiguration an, um einen Dienstprinzipal für die Authentifizierung bei der Agentregistrierung zu verwenden.
Weitere Informationen finden Sie unter Registrieren eines Agents mithilfe eines Dienstprinzipals.
Gerätecodefluss
Geben Sie AAD für den Authentifizierungstyp während der Agentkonfiguration an, um den Gerätecodefluss zur Authentifizierung während der Agentregistrierung zu verwenden.
Weitere Informationen finden Sie unter Registrieren eines Agents mithilfe des Gerätecodeflusses.
Integriert
Integrierte Windows-Authentifizierung für die Agentregistrierung ist nur für die Windows-Agent-Registrierung auf Azure DevOps Server und TFS verfügbar.
Geben Sie Integrierte Windows-Authentifizierung als Authentifizierungstyp während der Agentkonfiguration an, um sich während der Agentregistrierung zu authentifizieren.
Verbinden Sie einen Windows-Agent mit TFS mithilfe der Anmeldeinformationen des angemeldeten Benutzers über ein Windows-Authentifizierungsschema wie NTLM oder Kerberos.
Um diese Authentifizierungsmethode zu verwenden, müssen Sie zuerst Ihren TFS-Server konfigurieren.
Melden Sie sich bei dem Computer an, auf dem TFS ausgeführt wird.
Starten Sie den Internetinformationsdienste-Manager (IIS). Wählen Sie Ihren TFS-Standort aus, und stellen Sie sicher, dass die Windows-Authentifizierung mit einem gültigen Anbieter wie NTLM oder Kerberos aktiviert ist.
Aushandeln
Die Aushandlungsauthentifizierungsmethode für die Agentregistrierung ist nur für die Windows-Agent-Registrierung auf Azure DevOps Server und TFS verfügbar.
Stellen Sie eine Verbindung mit TFS als einem anderen Benutzer als dem angemeldeten Benutzer über ein Windows-Authentifizierungsschema wie NTLM oder Kerberos her.
Um diese Authentifizierungsmethode zu verwenden, müssen Sie zuerst Ihren TFS-Server konfigurieren.
Melden Sie sich am Computer an, auf dem TFS ausgeführt wird.
Starten Sie den Internetinformationsdienste-Manager (IIS). Wählen Sie Ihren TFS-Standort aus, und stellen Sie sicher, dass die Windows-Authentifizierung mit dem Aushandlungsanbieter und mit einer anderen Methode wie NTLM oder Kerberos aktiviert ist.
Alternative (ALT)
Die alternative (grundlegende) Authentifizierungsmethode für die Agentregistrierung ist nur auf Azure DevOps Server und TFS verfügbar.
Stellen Sie mithilfe der Standardauthentifizierung eine Verbindung mit TFS her. Um diese Methode zu verwenden, müssen Sie zuerst HTTPS auf TFS konfigurieren.
Um diese Authentifizierungsmethode zu verwenden, müssen Sie ihren TFS-Server wie folgt konfigurieren:
Melden Sie sich bei dem Computer an, auf dem TfS ausgeführt wird.
Konfigurieren sie die Standardauthentifizierung. Siehe Verwendung von
tfxgegen Team Foundation Server 2015 unter Nutzung der Standardauthentifizierung.
Hinweis
Im Produktentwurf ist die anonyme IIS-Authentifizierung erforderlich, damit die OAuth-Authentifizierung funktioniert. Diese OAuth-Authentifizierung wird von Azure DevOps für die Agent- und Pipelinefunktionalität verwendet. Aus diesem Grund werden selbst dann, wenn wir bereits konfigurierte Agents haben, diese Agents unbrauchbar, wenn wir die anonyme Authentifizierung deaktivieren. Azure DevOps-Produkte verfügen bereits über einen hervorragenden Sicherheitsansatz. Die TFS/Azure DevOps-Serveranwendung in IIS lässt keine unangemeldeten Anfragen durch. Das lässt es einfach durch die IIS-Haustür zur Anwendung, die OAuth erfordert. Beispielsweise generiert der Buildserver in einer Pipelineausführung ein OAuth-Token pro Build, das auf den Build festgelegt ist und nach dem Build abläuft. Obwohl das Token geschützt ist, ist es, wenn es durchgesickert ist, nach dem Build-Prozess nutzlos – im Gegensatz zu einer Identität. Das OAuth-Token ist auch nicht für Code verfügbar, der vom Build-Prozess ausgeführt wird (Einheitstests, die von Entwicklern eingecheckt wurden). Wenn sie auf der Windows-Identität basiert, wie der Windows-Dienst ausgeführt wurde, könnten Entwickler, die Komponententests in der CI ausführen, den Zugriff auf oder das Löschen von Code erhöhen, für den sie keine Berechtigungen besitzen.