Partager via

Afficher les autorisations et l’accès effectif

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

Cet article explique comment afficher les autorisations et vérifier l’accès effectif pour les utilisateurs et les groupes au niveau de l’organisation, du projet et du référentiel (ou d’autres objets). Il explique les états d’autorisation (Autoriser, Refuser, Hériter), comment l’héritage et l’appartenance au groupe affectent les autorisations effectives et les étapes pour résoudre les problèmes d’accès courants.

Ce que vous allez apprendre :

  • Où afficher les affectations d’autorisations dans le portail web.
  • Comment vérifier les autorisations effectives d’un utilisateur ou d’un groupe.
  • Les raisons communes pour lesquelles les autorisations n'ont pas l'effet attendu (héritage, refus, accès des parties prenantes, mappage de groupe d’ID Microsoft Entra).

Étapes rapides :

  1. Ouvrez les paramètres de l’organisation ou les paramètres du projet>Sécurité (ou autorisations).
  2. Sélectionnez l’objet (projet, référentiel ou groupe) et affichez les autorisations affectées.
  3. Utilisez l’interface utilisateur Utilisateurs/Groupes ou Autorisations effectives pour inspecter l’accès effectif.
  4. Si nécessaire, examinez les appartenances aux groupes et refusez les règles qui remplacent les autorisations.

Note

Les fonctionnalités de gestion des autorisations et l’interface utilisateur varient légèrement entre Azure DevOps Services (cloud) et azure DevOps Server local. Les instructions suivantes souligent les différences d’interface utilisateur, le cas échéant.

Principes de base du modèle d’autorisation

Les autorisations dans Azure DevOps utilisent trois états d’affectation :

  • Autoriser : accorde explicitement une autorisation.
  • Refuser : refuse explicitement une autorisation et remplace Autoriser.
  • Hériter : aucune attribution explicite à ce niveau ; l’autorisation est héritée des étendues parentes ou de l’appartenance à un groupe.

Les autorisations effectives sont calculées en évaluant les affectations entre :

  • L'objet lui-même (projet, dépôt, chemin de zone, etc.)
  • Étendues parentes (collection, organisation, projet)
  • Appartenances aux groupes (groupes intégrés, groupes personnalisés, groupes Microsoft Entra ID)
  • Attributions de refus explicites (prennent la priorité)

Ce que signifient les autorisations « effectives » :

Les autorisations effectives sont l’accès net qu’un utilisateur ou un groupe possède réellement sur un objet après qu’Azure DevOps évalue chaque attribution d’autorisation pertinente. Le système combine des assignations explicites d'autorisation et de refus sur l'objet, les étendues parentes et toutes les appartenances aux groupes ; les assignations de refus explicites ont la priorité. En pratique, les « autorisations effectives » indiquent le résultat final (ce que quelqu’un peut réellement faire), pas toutes les affectations individuelles qui ont contribué à ce résultat.

Pour une présentation approfondie de la résolution et de l’héritage des autorisations, consultez À propos des autorisations, états d’autorisation.

Où afficher les autorisations

Vous pouvez afficher les autorisations à plusieurs emplacements dans le portail web en fonction de l’objet :

  • Niveau d’organisation ou de collecte : Paramètres de l’organisation>Sécurité (ou Paramètres de l’organisation>Autorisations).
  • Niveau du projet :Autorisations des> de projet (ouSécurité des > de projet dans les anciennes interfaces utilisateur).
  • Référentiel, pipeline, carte ou autre ressource : ouvrez la ressource, puis paramètres ou sécurité (par exemple, Repos> sélectionnela sécurité>).

La pageAutorisations/ affiche les groupes et les utilisateurs affectés et une matrice d’autorisation que vous pouvez filtrer par utilisateur ou groupe.

Vérifier les autorisations effectives (interface utilisateur)

  1. Connectez-vous à https://dev.azure.com/{Your_Organization}.

  2. Accédez à l’objet que vous souhaitez inspecter (Organisation, Projet, Référentiel, etc.).

  3. Sélectionnez Paramètres du projet ouAutorisations des> de l’organisation (ou Sécurité).

  4. Choisissez Utilisateurs ou groupes, sélectionnez l’identité que vous souhaitez inspecter, puis affichez la grille d’autorisation.

  5. Utilisez un lien ou un bouton « Autorisations effectives » fourni (le cas échéant) pour calculer l’autorisation effective finale pour l’identité sélectionnée sur l’objet choisi.

    Ouvrez la sécurité ou les autorisations d’un projet.

  1. Connectez-vous à votre serveur ou portail de collecte.
  2. Accédez àSécurité des > de projet (ou Sécurité des paramètres > d’organisation/regroupement).
  3. Sélectionnez le groupe ou l’utilisateur et examinez la matrice d’autorisation. Utilisez les contrôles de filtre et d’autorisation effective dans la boîte de dialogue.

Vérifier les autorisations effectives (ligne de commande/ REST)

Si vous préférez l’automatisation, utilisez l’API REST pour lire les listes de contrôle d’accès ou les modules Azure DevOps CLI/PowerShell pour générer des scripts de vérifications d’autorisation. Recherchez l’espace de noms de sécurité pour la ressource et évaluez les bits ACL pour calculer l’accès effectif.

Scénarios courants et résolution des problèmes

  • Refuser prévaut sur Autoriser : un refus explicite sur toute portée l'emporte. Vérifiez les refus sur les étendues supérieures ou inférieures et au sein des appartenances aux groupes.
  • Appartenance à plusieurs groupes : Les autorisations effectives résultent de la combinaison des affectations de groupe ; un refus dans n’importe quel groupe prévaut.
  • Héritage des étendues parentes : si une autorisation est Hériter au niveau actuel, vérifiez les étendues parentes pour les affectations.
  • Mappage de groupe d’ID Microsoft Entra : si les utilisateurs sont ajoutés via des groupes Microsoft Entra, vérifiez que le groupe approprié est synchronisé avec Azure DevOps et que l’appartenance au groupe est ce que vous attendez.
  • Limites d’accès des parties prenantes : les utilisateurs disposant d’un accès aux parties prenantes disposent d’une disponibilité limitée des fonctionnalités, indépendamment des attributions d’autorisations, vérifiez le niveau d’accès si un utilisateur ne peut pas effectuer d’action.
  • Accès dynamique ou temporaire : certaines stratégies (comme l’accès conditionnel) ou l’approvisionnement externe peuvent affecter la connexion/l’accès. Vérifiez les stratégies d’accès conditionnel Microsoft Entra en cas d’échec de la connexion.

Liste de contrôle de dépannage rapide

  1. Vérifiez que le compte d’utilisateur utilisé pour se connecter (correspond à l’identité affichée dans Azure DevOps).
  2. Inspectez les adhésions directes et indirectes de l'utilisateur.
  3. Recherchez les attributions explicites de refus sur l'objet et les étendues parentes.
  4. Vérifiez le niveau d’accès de l’utilisateur (Partie prenante ou De base) et les limites de licence.
  5. Si vous utilisez des groupes Microsoft Entra, confirmez la synchronisation et l’appartenance au groupe.
  6. Si nécessaire, utilisez REST/CLI pour répertorier les listes de contrôle d’accès pour la ressource et évaluer par programme.

Audit et historique

Utilisez les journaux d’audit (journaux d’audit des paramètres > de l’organisation) pour suivre les modifications apportées aux groupes de sécurité, aux attributions d’autorisations et aux modifications d’appartenance si l’audit de votre organisation est activé. Les événements d’audit peuvent aider à suivre quand une autorisation ou une appartenance a été modifiée.

Étape suivante

Modifier les autorisations au niveau du projet ou l’appartenance au groupe

Contenu connexe

  • Last updated on