Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Azure DevOps administra la seguridad de las canalizaciones de compilación y versión y los grupos de tareas mediante permisos basados en tareas. Varios recursos de canalización usan permisos basados en roles, que puede asignar a usuarios o grupos. Cada rol define las operaciones que un usuario puede realizar en el contexto de recursos de canalización específicos.
Los permisos basados en roles se aplican a todos los recursos de un tipo específico dentro de un proyecto, organización o colección. Los recursos individuales heredan permisos de la configuración de nivel de proyecto, pero puede deshabilitar la herencia de artefactos específicos cuando necesite un control más granular.
Descripción de los roles de seguridad frente a los permisos
Azure DevOps usa dos modelos de seguridad principales:
- Seguridad basada en roles: roles predefinidos con conjuntos específicos de permisos de los recursos de la canalización
- Seguridad basada en permisos: permisos granulares que puede asignar individualmente
Los roles de seguridad proporcionan una manera simplificada de administrar escenarios de permisos comunes, mientras que los permisos individuales ofrecen un control más detallado cuando sea necesario.
Asignaciones de roles predeterminadas
Por defecto, todos los colaboradores del proyecto se convierten en miembros del rol de Usuario para cada cola hospedada. Este rol les permite crear y ejecutar canalizaciones de compilación y versión mediante colas hospedadas, lo que proporciona productividad inmediata para los miembros del equipo.
El sistema asigna automáticamente estos roles predeterminados cuando:
- Cree un nuevo proyecto.
- Los usuarios se unen al grupo Colaboradores del proyecto
- Agregas nuevos recursos de canalización.
Roles de seguridad del grupo de agentes, nivel de proyecto
Puede agregar usuarios a roles de seguridad desde el contexto de administrador de nivel de proyecto en la página Grupos de agentes. Para obtener información sobre cómo agregar y administrar grupos de agentes, consulte Grupos de agentes.
Navegación: Configuración del proyecto → grupos de canalizaciones → Agent
| Rol (nivel de proyecto) | Descripción |
|---|---|
| Lector | Vea el grupo. Normalmente, agregue operadores a este rol para supervisar los trabajos de compilación e implementación en el grupo. |
| User | Vea y use el grupo al crear canalizaciones de compilación o versión. |
| Creador | Cree y use el grupo al crear canalizaciones de compilación o versión. |
| Administrador | Administrar la pertenencia a todos los roles del grupo y ver y usar los grupos. El usuario que creó un grupo se agrega automáticamente al rol Administrador de ese grupo. |
Administre la seguridad de todos los grupos de agentes de proyecto desde la pestaña Seguridad . Las pertenencias a roles para grupos de agentes de proyecto individuales heredan automáticamente de estos roles.
De forma predeterminada, los siguientes grupos se agregan al rol Administrador de "Todos los grupos de agentes":
- Administradores de compilación
- Administradores de versiones
- Administradores de proyectos.
Administrar la configuración de roles de un grupo de agentes de proyecto en la página Grupos de agentes de configuración>del proyecto.
- Para establecer permisos para todos los grupos del proyecto, seleccione Seguridad y, a continuación, agregue un usuario y elija su rol.
- Para establecer permisos para un grupo específico, seleccione el grupo y, a continuación , Seguridad. En Permisos de canalización, vea qué canalizaciones tienen acceso al grupo. Permitir explícitamente una canalización mediante el
+botón o permitir todas las canalizaciones mediante el⋮botón . En Permisos de usuario, agregue un usuario o grupo y elija su rol.
Escenarios comunes para roles de grupo de agentes de nivel de proyecto
- Rol de usuario: desarrolladores que necesitan ejecutar compilaciones y versiones
- Rol de lector: interesados que necesitan visibilidad sobre el estado de la cola
- Rol de administrador: ingenieros de DevOps que administran la configuración del grupo
Roles de seguridad del grupo de agentes, organización o nivel de colección
Agregue usuarios a los siguientes roles de seguridad desde la página Grupos de agentes>organización. Para obtener información sobre cómo agregar y administrar grupos de agentes, consulte Grupos de agentes.
Navegación: Configuración de la organización → canalizaciones → grupos de agentes
| Rol (nivel de organización) | Descripción |
|---|---|
| Lector | Vea el grupo y los agentes. Normalmente, agregue operadores a este rol para supervisar los agentes y su estado. |
| Cuenta de servicio | Use el grupo para crear un agente en un proyecto. Seguir las instrucciones para crear nuevos grupos normalmente significa que no es necesario agregar miembros a este rol. |
| Administrador | Registre o anule el registro de agentes del grupo, administre la pertenencia a todos los grupos y vea y cree grupos. Use el grupo de agentes al crear un agente en un proyecto. El sistema agrega automáticamente el usuario que creó el grupo al rol Administrador de ese grupo. |
Administre la configuración de roles para grupos de agentes de nivel de organización o de recopilación desde la página Grupos de agentes>organización.
- Para establecer permisos para todos los grupos de la organización o recopilación, seleccione Seguridad y agregue un usuario o grupo y elija su rol.
- Para establecer permisos para un grupo específico, seleccione el grupo y, a continuación , Seguridad. Agregue un usuario o grupo y elija su rol.
Permisos de nivel de organización frente a nivel de proyecto
Control de roles a nivel organizacional:
- Creación y eliminación de grupos
- Instalación y configuración del agente
- Uso compartido de recursos entre proyectos
Control de roles de nivel de proyecto:
- Uso del grupo dentro de proyectos específicos
- Permisos de ejecución de canalización
- Acceso a la monitorización de colas
Roles de seguridad del grupo de implementación
Agregue usuarios a los siguientes roles desde la página Canalizaciones o Compilación y versión . Para obtener información sobre cómo agregar y administrar grupos de implementación, consulte Grupos de implementación.
Navegación: Configuración del proyecto → Canalizaciones → Grupos de implementación
| Role | Descripción |
|---|---|
| Lector | Ver grupos de implementación. |
| Creador | Vea y cree grupos de implementación. |
| User | Vea y use grupos de implementación, pero no puede administrarlos ni crearlos. |
| Administrador | Administrar roles, administrar, ver y usar grupos de implementación. |
Casos de uso del rol de grupo de implementación
- Administrador: Configurar destinos de implementación y administrar la configuración del grupo
- Usuario: Implementación de aplicaciones en entornos de destino
- Lector: Supervisión del estado de implementación y visualización del historial de implementación
Roles de seguridad del grupo de implementación
Agregue usuarios a los siguientes roles desde la página Grupos de implementación. Para obtener información sobre cómo crear y administrar grupos de implementación, consulte Grupos de implementación.
Navegación: Configuración de la organización → canalizaciones → grupos de implementación
| Role | Descripción |
|---|---|
| Lector | Ver grupos de implementación. |
| Cuenta de servicio | Ver agentes, crear sesiones y escuchar trabajos desde el grupo de agentes. |
| User | Vea y use el grupo de implementación para crear grupos de implementación. |
| Administrador | Administrar, administrar, ver y usar grupos de implementación. |
Pools de implementación frente a grupos de implementación
- Grupos de implementación: recurso de nivel de organización que puede compartir entre proyectos
- Grupos de implementación: colección de destinos de implementación específica del proyecto
Roles de seguridad de recursos de biblioteca: grupos de variables y archivos seguros
Agregue usuarios a un rol de biblioteca desde Canalizaciones o Compilación y versión. Para obtener más información sobre el uso de estos recursos de biblioteca, consulte Grupos de variables y Archivos seguros.
Navegación: Configuración del proyecto → biblioteca de canalizaciones →
| Role | Descripción |
|---|---|
| Administrador | Editar, eliminar y administrar la seguridad de los recursos de la biblioteca. Al creador de un recurso se le asigna automáticamente este rol para el recurso. |
| Creador | Crear recursos de biblioteca. |
| Lector | Leer recursos de biblioteca. |
| User | Consumir recursos de la biblioteca en canalizaciones |
Procedimientos recomendados de seguridad de bibliotecas
- Limitar el acceso de administrador: conceda solo el rol administrador a los usuarios que necesiten administrar recursos de biblioteca.
- Usar el rol Lector para la visibilidad: Asignar el rol lector a los usuarios que necesitan ver los recursos disponibles
- Protección de datos confidenciales: use los roles adecuados para los grupos de variables que contienen secretos.
- Auditorías periódicas: revisar periódicamente los permisos de acceso a la biblioteca
Roles de seguridad de conexión de servicio
Agregue usuarios a los siguientes roles desde la página Servicios . Para obtener información sobre cómo crear y administrar estos recursos, consulte Conexiones de servicio para compilación y versión.
Navegación: Configuración del proyecto → Conexiones de servicio
| Role | Descripción |
|---|---|
| User | Use el punto de conexión al crear canalizaciones de compilación o versión. |
| Administrador | Administre la pertenencia de todos los demás roles para la conexión de servicio y use el punto de conexión para crear canalizaciones de compilación o versión. El sistema asigna automáticamente al usuario que creó la conexión de servicio al rol Administrador de ese grupo. |
Consideraciones de seguridad de conexión de servicio
Las conexiones de servicio suelen contener credenciales confidenciales y requieren una administración cuidadosa de permisos:
- Rol de administrador: para ingenieros de DevOps que configuran integraciones de servicios externos
- Rol de usuario: para los autores de canalizaciones que necesitan usar conexiones existentes
- Rol de lector: para los miembros del equipo que necesitan visibilidad de las conexiones disponibles
- Rol creador: para los usuarios autorizados que pueden establecer nuevas conexiones de servicio
Administración de asignaciones de roles
Procedimientos recomendados para la administración de roles
- Principio de privilegios mínimos: asigne el rol mínimo necesario para que los usuarios realicen sus tareas.
- Usar grupos a través de individuos: asignar roles a grupos de Microsoft Entra en lugar de usuarios individuales siempre que sea posible
- Revisión periódica: audite periódicamente las asignaciones de roles para asegurarse de que permanecen apropiadas.
- Asignaciones de documentos: mantener la documentación de quién tiene qué roles y por qué
Patrones comunes de asignación de roles
| Tipo de usuario | Roles típicos | Fundamento |
|---|---|---|
| Desarrolladores | Roles de usuario entre recursos de canalización | Necesidad de ejecutar canalizaciones y acceder a los recursos |
| Ingenieros de DevOps | Roles de administrador para recursos de infraestructura | Administración y configuración de la infraestructura de canalización |
| Administradores de proyectos | Roles de lector para visibilidad | Supervisión del progreso sin realizar cambios |
| Contratistas externos | Roles de usuario limitados con ámbito específico | Acceso restringido en función de las necesidades del proyecto |
Solución de problemas de permisos basados en roles
Problemas comunes y soluciones
| Problema | Causa posible | Solución |
|---|---|---|
| El usuario no puede acceder al recurso de canalización | Falta la asignación de roles | Comprobación y asignación del rol adecuado |
| El usuario tiene demasiado acceso | Asignación de roles con privilegios excesivos | Revisión y reducción de los permisos de rol |
| Permisos incoherentes entre proyectos | Diferentes asignaciones de roles por proyecto | Estandarización de asignaciones de roles en toda la organización |
| Problemas de la cuenta de servicio | Faltan roles de conexión de servicio | Asegúrese de que las cuentas de servicio tienen roles necesarios |
Pasos de comprobación
- Comprobación de la herencia: compruebe si los permisos heredan de niveles superiores
- Revisión de la pertenencia a grupos: Confirmar pertenencias a grupos de usuarios y roles asociados
- Permisos de auditoría: uso de informes de seguridad de Azure DevOps para revisar las asignaciones actuales
- Acceso de prueba: hacer que los usuarios prueben escenarios específicos para comprobar que los permisos funcionan correctamente
Integración con Microsoft Entra ID
Cuando la organización usa la integración de Microsoft Entra ID:
- Asignaciones basadas en grupos: asignar roles a grupos de identificadores de Microsoft Entra para facilitar la administración
- Acceso condicional: las directivas de acceso condicional de Id. de Microsoft Entra se aplican al acceso a Azure DevOps
- Gobernanza de identidades: Usa las revisiones de acceso de Microsoft Entra ID para auditar las asignaciones de roles
- Consideraciones de usuario invitado: es posible que los usuarios externos necesiten asignaciones de roles específicas