Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Azure DevOps beheert beveiliging voor build- en release-pijplijnen en taakgroepen met behulp van op taken gebaseerde machtigingen. Verschillende pijplijnbronnen maken gebruik van machtigingen op basis van rollen, die u kunt toewijzen aan gebruikers of groepen. Elke rol definieert de bewerkingen die een gebruiker kan uitvoeren binnen de context van specifieke pijplijnresources.
Op rollen gebaseerde machtigingen zijn van toepassing op alle resources van een specifiek type binnen een project, organisatie of verzameling. Afzonderlijke resources nemen machtigingen over van instellingen op projectniveau, maar u kunt overname uitschakelen voor specifieke artefacten wanneer u gedetailleerder beheer nodig hebt.
Begrip van beveiligingsrollen versus machtigingen
Azure DevOps maakt gebruik van twee primaire beveiligingsmodellen:
- Beveiliging op basis van rollen: vooraf gedefinieerde rollen met specifieke sets machtigingen voor pijplijnbronnen
- Beveiliging op basis van machtigingen: gedetailleerde machtigingen die u afzonderlijk kunt toewijzen
Beveiligingsrollen bieden een vereenvoudigde manier om algemene machtigingsscenario's te beheren, terwijl afzonderlijke machtigingen meer gedetailleerde controle bieden wanneer dat nodig is.
Standaardroltoewijzingen
Standaard worden alle projectbijdragers lid van de gebruikersrol voor elke gehoste wachtrij. Met deze rol kunnen ze build- en release-pijplijnen maken en uitvoeren met behulp van gehoste wachtrijen, waardoor ze onmiddellijk productiviteit bieden voor teamleden.
In het systeem worden deze standaardrollen automatisch toegewezen wanneer:
- U maakt een nieuw project
- Gebruikers nemen deel aan de groep Inzenders van het project
- U voegt nieuwe pijplijnbronnen toe
Beveiligingsrollen voor agentpools, projectniveau
U kunt gebruikers toevoegen aan beveiligingsrollen vanuit de beheerderscontext op projectniveau op de pagina Agentgroepen . Zie Agentpools voor meer informatie over het toevoegen en beheren van agentpools.
Navigatie: Projectinstellingen → Pijplijnen → Agent-pools
| Rol (projectniveau) | Beschrijving |
|---|---|
| Lezer | Bekijk de pool. Voeg doorgaans operators toe aan deze rol om build- en implementatietaken in de pool te bewaken. |
| Gebruiker | Bekijk en gebruik de pool bij het ontwerpen van build- of release-pijplijnen. |
| Maker | Maak en gebruik de pool bij het ontwerpen van build- of release-pijplijnen. |
| Beheerder | Beheer het lidmaatschap voor alle rollen van de pool en bekijk en gebruik de pools. De gebruiker die een pool heeft gemaakt, wordt automatisch toegevoegd aan de beheerdersrol voor die pool. |
Beheer de beveiliging van alle projectagentgroepen op het tabblad Beveiliging . Rollidmaatschappen voor afzonderlijke projectagentgroepen nemen automatisch over van deze rollen.
Standaard worden de volgende groepen toegevoegd aan de beheerdersrol 'Alle agentgroepen':
- Beheerders bouwen
- Beheerders vrijgeven
- Projectbeheerders.
Rolinstellingen voor een projectagentgroep beheren op de pagina Agentgroepen van Projectinstellingen>.
- Als u machtigingen wilt instellen voor alle pools binnen het project, selecteert u Beveiliging en voegt u vervolgens een gebruiker toe en kiest u de rol.
- Als u machtigingen voor een specifieke pool wilt instellen, selecteert u de groep en vervolgens beveiliging. Bekijk onder Pijplijnmachtigingen welke pijplijnen toegang hebben tot de pool. Sta expliciet een pijplijn toe met behulp van de
+knop of sta alle pijplijnen toe met behulp van de⋮knop. Voeg onder Gebruikersmachtigingen een gebruiker of groep toe en kies hun rol.
Veelvoorkomende scenario's voor agentpoolrollen op projectniveau
- Gebruikersrol: ontwikkelaars die builds en releases moeten uitvoeren
- Rol lezer: Belanghebbenden die inzicht nodig hebben in de wachtrijstatus
- Beheerdersrol: DevOps-technici die de poolconfiguratie beheren
Beveiligingsrollen, organisatie- of verzamelingsniveau van agentgroep
Voeg gebruikers toe aan de volgende beveiligingsrollen op de pagina Organisatie-instellingen>agentgroepen. Zie Agentpools voor meer informatie over het toevoegen en beheren van agentpools.
Navigatie: Organisatie-instellingen → Pijplijnen → Agent-pools
| Rol (organisatieniveau) | Beschrijving |
|---|---|
| Lezer | Bekijk de pool en agents. Voeg doorgaans operators toe aan deze rol om de agents en hun status te bewaken. |
| Serviceaccount | Gebruik de pool om een agent in een project te maken. Het volgen van de richtlijnen voor het maken van nieuwe pools betekent meestal dat u geen leden aan deze rol hoeft toe te voegen. |
| Beheerder | Registreer of hef de registratie van agents van de groep op, beheer lidmaatschap voor alle pools en bekijk en maak pools. Gebruik de agentgroep bij het maken van een agent in een project. Het systeem voegt automatisch de gebruiker die de pool heeft gemaakt, toe aan de beheerdersrol voor die pool. |
Beheer rolinstellingen voor agentgroepen op organisatie- of verzamelingsniveau via de pagina Agentgroepen voor organisatie-instellingen>.
- Als u machtigingen wilt instellen voor alle pools binnen de organisatie of verzameling, selecteert u Beveiliging en voegt u vervolgens een gebruiker of groep toe en kiest u de rol.
- Als u machtigingen voor een specifieke pool wilt instellen, selecteert u de groep en vervolgens beveiliging. Voeg een gebruiker of groep toe en kies hun rol.
Machtigingen op organisatieniveau versus machtigingen op projectniveau
Rollenbeheer op organisatieniveau:
- Pool maken en verwijderen
- Agentinstallatie en -configuratie
- Delen tussen projectgroepen
Beheer van rollen op projectniveau
- Poolgebruik binnen specifieke projecten
- Machtigingen voor pijplijnuitvoering
- Toegang tot bewaking van wachtrijen
Beveiligingsrollen voor implementatiegroepen
Voeg gebruikers toe aan de volgende rollen op de pagina Pijplijnen of Build en Release . Zie Implementatiegroepen voor meer informatie over het toevoegen en beheren van implementatiegroepen.
Navigatie: Projectinstellingen → Pijplijnen → Implementatiegroepen
| Rol | Beschrijving |
|---|---|
| Lezer | Implementatiegroepen weergeven. |
| Maker | Implementatiegroepen weergeven en maken. |
| Gebruiker | Implementatiegroepen weergeven en gebruiken, maar ze kunnen niet worden beheerd of gemaakt. |
| Beheerder | Rollen beheren, beheren, weergeven en gebruiken van implementatiegroepen. |
Use cases voor rollen van implementatiegroep
- Beheerder: Implementatiedoelen configureren en groepsinstellingen beheren
- Gebruiker: Toepassingen implementeren in doelomgevingen
- Lezer: Implementatiestatus bewaken en implementatiegeschiedenis weergeven
Beveiligingsrollen voor implementatiegroepen
Voeg gebruikers toe aan de volgende rollen op de pagina Implementatiegroepen . Zie Implementatiegroepen voor meer informatie over het maken en beheren van implementatiegroepen.
Navigatie: Organisatie-instellingen → pijplijnen → implementatiegroepen
| Rol | Beschrijving |
|---|---|
| Lezer | Implementatiegroepen weergeven. |
| Serviceaccount | Bekijk agents, maak sessies en luister naar taken uit de agentgroep. |
| Gebruiker | Bekijk en gebruik de implementatiegroep om implementatiegroepen te maken. |
| Beheerder | Implementatiegroepen beheren, beheren, weergeven en gebruiken. |
Implementatiepools versus implementatiegroepen
- Implementatiegroepen: resource op organisatieniveau die u kunt delen tussen projecten
- Implementatiegroepen: Projectspecifieke verzameling implementatiedoelen
Beveiligingsrollen voor bibliotheekassets: variabele groepen en beveiligde bestanden
Voeg gebruikers toe aan een bibliotheekrol vanuit Pijplijnen of Build en Release. Zie Variabelengroepen en Beveiligde bestanden voor meer informatie over het gebruik van deze bibliotheekassets.
Navigatie: Projectinstellingen → Pijplijnen → Bibliotheek
| Rol | Beschrijving |
|---|---|
| Beheerder | Bewerk, verwijder en beheer beveiliging voor bibliotheekassets. Deze rol wordt automatisch toegewezen aan de maker van een asset. |
| Maker | Bibliotheekassets maken. |
| Lezer | Bibliotheekassets lezen. |
| Gebruiker | Bibliotheekassets gebruiken in pijplijnen. |
Aanbevolen procedures voor bibliotheekbeveiliging
- Beheerderstoegang beperken: alleen beheerdersrol verlenen aan gebruikers die bibliotheekassets moeten beheren
- De rol Lezer gebruiken voor zichtbaarheid: De rol Lezer toewijzen aan gebruikers die beschikbare assets moeten zien
- Gevoelige gegevens beveiligen: gebruik de juiste rollen voor variabele groepen die geheimen bevatten
- Regelmatige controles: Regelmatig bibliotheektoegangsmachtigingen controleren
Beveiligingsrollen voor serviceverbinding
Voeg gebruikers toe aan de volgende rollen op de pagina Services . Zie Serviceverbindingen voor build en release voor informatie over het maken en beheren van deze resources.
Navigatie: Projectinstellingen → Service-verbindingen
| Rol | Beschrijving |
|---|---|
| Gebruiker | Gebruik het eindpunt bij het ontwerpen van build- of release-pijplijnen. |
| Beheerder | Beheer het lidmaatschap van alle andere rollen voor de serviceverbinding en gebruik het eindpunt om build- of release-pijplijnen te maken. Het systeem wijst automatisch de gebruiker toe die de serviceverbinding heeft gemaakt met de beheerdersrol voor die groep. |
Beveiligingsoverwegingen voor serviceverbindingen
Serviceverbindingen bevatten vaak gevoelige referenties en vereisen zorgvuldig machtigingsbeheer:
- Beheerdersrol: Voor DevOps-ingenieurs die externe service-integraties configureren
- Gebruikersrol: Voor pijplijnauteurs die bestaande verbindingen moeten gebruiken
- Rol lezer: Voor teamleden die inzicht nodig hebben in de beschikbare verbindingen
- Rol maker: Voor geautoriseerde gebruikers die nieuwe serviceverbindingen kunnen tot stand brengen
Roltoewijzingen beheren
Aanbevolen procedures voor rolbeheer
- Principe van minimale bevoegdheid: wijs de minimale rol toe die gebruikers nodig hebben om hun taken uit te voeren
- Groepen over personen gebruiken: Rollen toewijzen aan Microsoft Entra-groepen in plaats van individuele gebruikers, indien mogelijk
- Regelmatig controleren: regelmatig roltoewijzingen controleren om ervoor te zorgen dat ze geschikt blijven
- Documenttoewijzingen: documentatie bijhouden over wie welke rollen heeft en waarom
Algemene roltoewijzingspatronen
| Gebruikerstype | Typische rollen | Motivatie |
|---|---|---|
| Ontwikkelaars | Gebruikersrollen in pijplijnbronnen | Pijplijnen uitvoeren en toegang krijgen tot bronnen |
| DevOps-technici | Beheerdersrollen voor infrastructuurbronnen | Pijplijninfrastructuur beheren en configureren |
| Projectmanagers | Lezerrollen voor zichtbaarheid | Voortgang bewaken zonder wijzigingen aan te brengen |
| Externe contractanten | Beperkte gebruikersrollen met een specifiek bereik | Beperkte toegang op basis van projectbehoeften |
Problemen met machtigingen op basis van rollen oplossen
Veelvoorkomende problemen en oplossingen
| Probleem | Mogelijke oorzaak | Solution |
|---|---|---|
| Gebruiker heeft geen toegang tot pijplijnresource | Ontbrekende roltoewijzing | De juiste rol controleren en toewijzen |
| Gebruiker heeft te veel toegang | Toewijzing van overprivilegieerde rollen | Rolmachtigingen controleren en verminderen |
| Inconsistente machtigingen voor projecten | Verschillende roltoewijzingen per project | Roltoewijzingen standaardiseren voor de hele organisatie |
| Problemen met serviceaccounts | Ontbrekende rollen voor serviceverbindingen | Zorg ervoor dat serviceaccounts over de benodigde rollen beschikken |
Verificatiestappen
- Overname controleren: controleren of machtigingen overnemen van hogere niveaus
- Groepslidmaatschap controleren: groepslidmaatschappen van gebruikers en gekoppelde rollen bevestigen
- Controlemachtigingen: Azure DevOps-beveiligingsrapporten gebruiken om de huidige toewijzingen te controleren
- Testtoegang: laat gebruikers specifieke scenario's testen om te controleren of machtigingen correct werken
Integratie met Microsoft Entra-id
Wanneer uw organisatie Microsoft Entra ID-integratie gebruikt:
- Op groepen gebaseerde toewijzingen: Rollen toewijzen aan Microsoft Entra ID-groepen voor eenvoudiger beheer
- Voorwaardelijke toegang: Beleid voor voorwaardelijke toegang van Microsoft Entra ID is van toepassing op Azure DevOps-toegang
- Identiteitsbeheer: Toegangsbeoordelingen voor Microsoft Entra ID gebruiken om roltoewijzingen te controleren
- Overwegingen voor gastgebruikers: Externe gebruikers hebben mogelijk specifieke roltoewijzingen nodig