Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Pipelines offre un choix de plusieurs options d’authentification que vous pouvez utiliser lorsque vous inscrivez un agent. Ces méthodes d’authentification sont utilisées uniquement pendant l’inscription de l’agent. Pour plus d’informations sur la façon dont les agents communiquent après l’inscription, consultez la communication des agents.
| Méthode d’inscription de l’agent | Azure DevOps Services | Azure DevOps Server &TFS |
|---|---|---|
| Jeton d’accès personnel (PAT) | Soutenu | Prise en charge lorsque le serveur est configuré avec HTTPS |
| Service Principal (SP) | Soutenu | Actuellement non pris en charge |
| Flux de code de l'appareil (Microsoft Entra ID) | Soutenu | Actuellement non pris en charge |
| Intégré | Non prise en charge | Agents Windows uniquement |
| Négocier | Non prise en charge | Agents Windows uniquement |
| Alternative (ALT) | Non prise en charge | Prise en charge lorsque le serveur est configuré avec HTTPS |
Jeton d’accès personnel (PAT)
Indiquez PAT pour le type d'authentification lors de la configuration de l'agent afin d'utiliser un jeton d'accès personnel (PAT) pour l'authentification lors de l'enregistrement de l'agent, puis spécifiez un jeton d'accès personnel avec l'étendue Agent Pools (lecture, gestion) (ou l'étendue groupe de déploiement (lecture, gestion) pour un agent de groupe de déploiement) qui peut être utilisée pour l'enregistrement de l'agent.
Pour plus d’informations, consultez Inscrire un agent à l’aide d’un jeton d’accès personnel (PAT)
Principal de service
Spécifiez SP pour le type d’authentification lors de la configuration de l’agent afin d’utiliser un principal de service pour s’authentifier lors de l’inscription de l’agent.
Pour plus d’informations, consultez Inscrire un agent à l’aide d’un principal de service.
Flux de code de périphérique
Spécifiez AAD le type d’authentification pendant la configuration de l’agent pour utiliser le flux de code de l’appareil pour s’authentifier lors de l’inscription de l’agent.
Pour plus d’informations, consultez Inscrire un agent à l’aide du flux de code d’appareil.
Intégré
L’authentification Windows intégrée pour l’inscription d’agent est disponible uniquement pour l’inscription d’agent Windows sur Azure DevOps Server et TFS.
Spécifiez Intégré pour le type d’authentification pendant la configuration de l’agent afin d’utiliser l’authentification Windows intégrée pour s’authentifier lors de l’inscription de l’agent.
Connectez un agent Windows à TFS à l’aide des informations d’identification de l’utilisateur connecté via un schéma d’authentification Windows tel que NTLM ou Kerberos.
Pour utiliser cette méthode d’authentification, vous devez d’abord configurer votre serveur TFS.
Connectez-vous à l’ordinateur sur lequel vous exécutez TFS.
Démarrez le Gestionnaire des services Internet (IIS). Sélectionnez votre site TFS et vérifiez que l’authentification Windows est activée avec un fournisseur valide tel que NTLM ou Kerberos.
Négocier
La méthode d’authentification de négociation pour l’inscription de l’agent est disponible uniquement pour l’inscription de l’agent Windows sur Azure DevOps Server et TFS.
Connectez-vous à TFS en tant qu’utilisateur autre que l’utilisateur connecté via un schéma d’authentification Windows tel que NTLM ou Kerberos.
Pour utiliser cette méthode d’authentification, vous devez d’abord configurer votre serveur TFS.
Connectez-vous à l’ordinateur sur lequel vous exécutez TFS.
Démarrez le Gestionnaire des services Internet (IIS). Sélectionnez votre site TFS et vérifiez que l’authentification Windows est activée avec le fournisseur Negotiate et avec une autre méthode telle que NTLM ou Kerberos.
Alternative (ALT)
La méthode d’authentification alternative (de base) pour l’inscription de l’agent est disponible uniquement sur Azure DevOps Server et TFS.
Connectez-vous à TFS à l’aide de l’authentification de base. Pour utiliser cette méthode, vous devez d’abord configurer HTTPS sur TFS.
Pour utiliser cette méthode d’authentification, vous devez configurer votre serveur TFS comme suit :
Connectez-vous à l’ordinateur sur lequel vous exécutez TFS.
Configurez l’authentification de base. Consultez Utilisation
tfxsur Team Foundation Server 2015 à l’aide de l’authentification de base.
Note
Par conception de produit, l’authentification anonyme IIS est requise pour que l’authentification OAuth fonctionne. Cette authentification OAuth est utilisée par Azure DevOps pour la fonctionnalité d’agent et de pipeline. Pour cette raison, même si nous avons déjà configuré des agents, ces agents deviennent inutilisables si nous désactivons l’authentification anonyme. Les produits Azure DevOps ont déjà une excellente approche de sécurité. L’application serveur TFS/Azure DevOps dans IIS n’autorise pas les requêtes non authentifiées. Cela permet simplement de passer par la porte d’entrée IIS de l’application, qui applique OAuth. Par exemple, dans une exécution de pipeline, le serveur de build génère un jeton OAuth par build, qui est limité à la build et expire après la génération. Ainsi, même si le jeton est protégé, s'il est divulgué, il devient inutile après la compilation, contrairement à une identité. Le jeton OAuth n’est pas non plus disponible pour le code exécuté par le processus de génération (tests unitaires archivés par les développeurs). S’il s’appuyait sur l’identité Windows que le service Windows a exécuté, les développeurs exécutant des tests unitaires dans l’intégration continue pouvaient élever l’accès ou supprimer le code auquel ils n’ont pas les autorisations nécessaires.