Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Usługa Azure DevOps zarządza zabezpieczeniami potoków kompilacji i wydań oraz grup zadań przy użyciu uprawnień opartych na zadaniach. Wiele zasobów potoku używa uprawnień opartych na rolach, które można przypisać użytkownikom lub grupom. Każda rola definiuje operacje, które użytkownik może wykonać w kontekście określonych zasobów potoku.
Uprawnienia oparte na rolach mają zastosowanie do wszystkich zasobów określonego typu w projekcie, organizacji lub kolekcji. Poszczególne zasoby dziedziczą uprawnienia z ustawień na poziomie projektu, ale można wyłączyć dziedziczenie dla określonych artefaktów, gdy potrzebujesz bardziej szczegółowej kontroli.
Informacje o rolach zabezpieczeń a uprawnieniach
Usługa Azure DevOps używa dwóch podstawowych modeli zabezpieczeń:
- Zabezpieczenia oparte na rolach: wstępnie zdefiniowane role z określonymi zestawami uprawnień dla zasobów potoku
- Zabezpieczenia oparte na uprawnieniach: szczegółowe uprawnienia, które można przypisać indywidualnie
Role zabezpieczeń zapewniają uproszczony sposób zarządzania typowymi scenariuszami uprawnień, podczas gdy poszczególne uprawnienia oferują bardziej szczegółową kontrolę w razie potrzeby.
Domyślne przypisania ról
Domyślnie wszystkie osoby współpracujące nad projektem stają się członkami roli użytkownika dla każdej hostowanej kolejki. Ta rola umożliwia tworzenie i uruchamianie potoków kompilacji i wdrażania przy użyciu hostowanych kolejek, zapewniając natychmiastową produktywność członkom zespołu.
System automatycznie przypisuje te role domyślne, gdy:
- Tworzysz nowy projekt
- Użytkownicy dołączają do grupy Współautorzy projektu
- Dodajesz nowe zasoby potoku
Role zabezpieczeń puli agentów, poziom projektu
Możesz dodać użytkowników do ról zabezpieczeń z kontekstu administratora na poziomie projektu na stronie Pule agentów . Aby uzyskać informacje na temat dodawania pul agentów i zarządzania nimi, zobacz Pule agentów.
Nawigacja: Ustawienia projektu → Rurociągi → Pule agentów
| Rola (poziom projektu) | opis |
|---|---|
| Czytelnik | Wyświetl pulę. Zazwyczaj dodaj operatory do tej roli, aby monitorować zadania kompilacji i wdrażania w puli. |
| Użytkownik | Wyświetlanie i używanie puli podczas tworzenia potoków kompilacji lub wydania. |
| Twórca | Utwórz pulę i użyj jej podczas tworzenia potoków kompilacji lub wydania. |
| Administrator | Zarządzanie członkostwem dla wszystkich ról puli oraz wyświetlanie i używanie pul. Użytkownik, który utworzył pulę, jest automatycznie dodawany do roli Administrator dla tej puli. |
Zarządzaj zabezpieczeniami wszystkich pul agentów projektu na karcie Zabezpieczenia . Członkostwo w rolach dla poszczególnych pul agentów projektu automatycznie dziedziczy z tych ról.
Domyślnie następujące grupy są dodawane do roli Administrator wszystkich pul agentów:
- Administratorzy kompilacji
- Administratorzy wersji
- Administratorzy projektu.
Zarządzaj ustawieniami roli dla puli agentów projektu na stronie Pule agentów programu>Project.
- Aby ustawić uprawnienia dla wszystkich pul w projekcie, wybierz pozycję Zabezpieczenia, a następnie dodaj użytkownika i wybierz swoją rolę.
- Aby ustawić uprawnienia dla określonej puli, wybierz pulę, a następnie pozycję Zabezpieczenia. W obszarze Uprawnienia potoku wyświetl, które potoki mają dostęp do puli. Jawnie zezwalaj na potok przy użyciu
+przycisku lub zezwalaj na wszystkie potoki za pomocą⋮przycisku. W obszarze Uprawnienia użytkownika dodaj użytkownika lub grupę i wybierz swoją rolę.
Typowe scenariusze dotyczące ról puli agentów na poziomie projektu
- Rola użytkownika: Deweloperzy, którzy muszą uruchamiać kompilacje i wydania
- Rola czytelnika: Uczestnicy projektu, którzy potrzebują wglądu w stan kolejki
- Rola administratora: inżynierowie devOps, którzy zarządzają konfiguracją puli
Role zabezpieczeń puli agentów, organizacja lub poziom kolekcji
Dodaj użytkowników do następujących ról zabezpieczeń na stronie Pule agentów ustawień>organizacji. Aby uzyskać informacje na temat dodawania pul agentów i zarządzania nimi, zobacz Pule agentów.
Nawigacja: Ustawienia organizacji → Potoki → Pule agentów
| Rola (poziom organizacji) | opis |
|---|---|
| Czytelnik | Wyświetl pulę i agentów. Zazwyczaj dodaj operatory do tej roli, aby monitorować agentów i ich kondycję. |
| Konto usługi | Użyj puli, aby utworzyć agenta w projekcie. Zgodnie z wytycznymi dotyczącymi tworzenia nowych pul zwykle nie trzeba dodawać członków do tej roli. |
| Administrator | Rejestrowanie lub wyrejestrowywanie agentów z puli, zarządzanie członkostwem dla wszystkich pul oraz wyświetlanie i tworzenie pul. Użyj puli agentów podczas tworzenia agenta w projekcie. System automatycznie dodaje użytkownika, który utworzył pulę do roli Administrator dla tej puli. |
Zarządzaj ustawieniami ról dla pul agentów na poziomie organizacji lub kolekcji na stronie Pule agentów ustawień>organizacji.
- Aby ustawić uprawnienia dla wszystkich pul w organizacji lub kolekcji, wybierz pozycję Zabezpieczenia, a następnie dodaj użytkownika lub grupę i wybierz swoją rolę.
- Aby ustawić uprawnienia dla określonej puli, wybierz pulę, a następnie pozycję Zabezpieczenia. Dodaj użytkownika lub grupę i wybierz swoją rolę.
Uprawnienia na poziomie organizacji a uprawnienia na poziomie projektu
Kontrola ról na poziomie organizacji:
- Tworzenie i usuwanie puli
- Instalacja i konfiguracja agenta
- Współużytkowanie puli między projektami
Kontrola ról na poziomie projektu:
- Użycie zasobów w obrębie określonych projektów
- Uprawnienia wykonywania potoku
- Dostęp do monitorowania kolejek
Role zabezpieczeń grupy wdrożeń
Dodaj użytkowników do następujących ról na stronie Potoki lub Kompilacja i wydanie . Aby uzyskać informacje na temat dodawania grup wdrożeń i zarządzania nimi, zobacz Grupy wdrożeń.
Nawigacja: Ustawienia projektu → Potoki → Grupy wdrożeń
| Rola | opis |
|---|---|
| Czytelnik | Wyświetlanie grup wdrożeń. |
| Twórca | Wyświetlanie i tworzenie grup wdrożeń. |
| Użytkownik | Wyświetlanie i używanie grup wdrożeń, ale nie można nimi zarządzać ani tworzyć. |
| Administrator | Administrowanie rolami, zarządzanie nimi, wyświetlanie i używanie grup wdrożeń. |
Przypadki użycia roli grupy wdrożeń
- Administrator: Konfigurowanie obiektów docelowych wdrożenia i zarządzanie ustawieniami grupy
- Użytkownik: Wdrażanie aplikacji w środowiskach docelowych
- Czytelnik: Monitorowanie stanu wdrożenia i wyświetlanie historii wdrożenia
Deployment pool security roles (Role zabezpieczeń puli wdrożenia)
Dodaj użytkowników do następujących ról na stronie Pule wdrożeń. Aby uzyskać informacje na temat tworzenia pul wdrożeń i zarządzania nimi, zobacz Grupy wdrożeń.
Nawigacja: Ustawienia organizacji → Procesy → Pule wdrożeń
| Rola | opis |
|---|---|
| Czytelnik | Wyświetlanie pul wdrożeń. |
| Konto usługi | Wyświetlanie agentów, tworzenie sesji i nasłuchiwanie zadań z puli agentów. |
| Użytkownik | Wyświetlanie i używanie puli wdrożeń do tworzenia grup wdrożeń. |
| Administrator | Administrowanie pulami wdrożeń, zarządzanie nimi, wyświetlanie ich i korzystanie z nich. |
Pule wdrożeń a grupy wdrożeń
- Pule wdrożeń: zasób na poziomie organizacji, który można udostępniać między projektami
- Grupy wdrożeń: kolekcja elementów docelowych wdrożenia specyficznych dla projektu
Role zabezpieczeń zasobów biblioteki: grupy zmiennych i bezpieczne pliki
Dodaj użytkowników do roli biblioteki z obszaru Potoki lub Kompilacja i wydanie. Aby uzyskać więcej informacji na temat korzystania z tych zasobów biblioteki, zobacz Grupy zmiennych i Bezpieczne pliki.
Nawigacja: Ustawienia projektu → Potoki → Biblioteka
| Rola | opis |
|---|---|
| Administrator | Edytowanie, usuwanie i zarządzanie zabezpieczeniami zasobów biblioteki. Twórca elementu zawartości jest automatycznie przypisywany tej roli dla zasobu. |
| Twórca | Tworzenie zasobów biblioteki. |
| Czytelnik | Odczytywanie zasobów biblioteki. |
| Użytkownik | Korzystanie z zasobów biblioteki w potokach. |
Najlepsze rozwiązania dotyczące zabezpieczeń biblioteki
- Ogranicz dostęp administratora: przyznaj rolę administratora tylko użytkownikom, którzy muszą zarządzać zasobami biblioteki
- Użyj roli Czytelnik dla widoczności: Przypisz rolę Czytelnik użytkownikom, którzy muszą widzieć dostępne zasoby
- Zabezpieczanie poufnych danych: użyj odpowiednich ról dla grup zmiennych zawierających wpisy tajne
- Regularne inspekcje: Okresowe przeglądanie uprawnień dostępu do biblioteki
Role zabezpieczeń połączenia z usługą
Dodaj użytkowników do następujących ról na stronie Usługi . Aby uzyskać informacje na temat tworzenia tych zasobów i zarządzania nimi, zobacz Połączenia usług dla kompilacji i wydania.
Nawigacja: Ustawienia projektu → Połączenia usług
| Rola | opis |
|---|---|
| Użytkownik | Użyj punktu końcowego podczas tworzenia potoków kompilacji lub wydania. |
| Administrator | Zarządzanie członkostwem wszystkich innych ról dla połączenia z usługą i używanie punktu końcowego do tworzenia potoków kompilacji lub wydania. System automatycznie przypisuje użytkownikowi, który utworzył połączenie usługi z rolą Administrator dla tej puli. |
Zagadnienia dotyczące zabezpieczeń połączenia z usługą
Połączenia usług często zawierają poufne poświadczenia i wymagają starannego zarządzania uprawnieniami:
- Rola administratora: dla inżynierów DevOps, którzy konfigurują integracje usług zewnętrznych
- Rola użytkownika: w przypadku autorów potoków, którzy muszą używać istniejących połączeń
- Rola czytelnika: dla członków zespołu, którzy potrzebują wglądu w dostępne połączenia
- Rola twórcy: dla autoryzowanych użytkowników, którzy mogą nawiązywać nowe połączenia z usługami
Zarządzanie przypisaniami ról
Najlepsze rozwiązania dotyczące zarządzania rolami
- Zasada najniższych uprawnień: przypisz minimalną rolę niezbędną dla użytkowników do wykonywania swoich zadań
- Używanie grup nad osobami: przypisywanie ról do grup Firmy Microsoft, a nie poszczególnych użytkowników, gdy jest to możliwe
- Regularne przeglądy: Okresowo przeprowadzaj inspekcję przypisań ról, aby upewnić się, że pozostają one odpowiednie
- Przypisywanie dokumentów: prowadzenie dokumentacji, kto posiada jakie role i dlaczego
Typowe wzorce przypisań ról
| Typ użytkownika | Typowe role | Uzasadnienie |
|---|---|---|
| Deweloperzy | Role użytkownika w odniesieniu do zasobów potoku danych | Należy uruchamiać rurociągi i uzyskiwać dostęp do zasobów |
| Inżynierowie metodyki DevOps | Role administratora dla zasobów infrastruktury | Zarządzanie i konfigurowanie infrastruktury linii przetwarzania danych |
| Menedżerowie projektów | Role czytelnika na potrzeby widoczności | Monitorowanie postępu bez wprowadzania zmian |
| Zewnętrzni wykonawcy | Ograniczone role użytkownika z określonym zakresem | Ograniczony dostęp na podstawie potrzeb projektu |
Rozwiązywanie problemów z uprawnieniami opartymi na rolach
Typowe problemy i rozwiązania
| Problem | Możliwa przyczyna | Rozwiązanie |
|---|---|---|
| Użytkownik nie może uzyskać dostępu do zasobu potoku | Brak przypisania roli | Sprawdzanie i przypisywanie odpowiedniej roli |
| Użytkownik ma zbyt duży dostęp | Nadanie roli z nadmiernymi uprawnieniami | Przeglądanie i zmniejszanie uprawnień roli |
| Niespójne uprawnienia między projektami | Różne przypisania ról na projekt | Standaryzacja przypisań ról w całej organizacji |
| Problemy z kontem usługi | Brakujące role połączenia z usługą | Upewnij się, że konta usług mają niezbędne role |
Kroki weryfikacji
- Sprawdzanie dziedziczenia: Sprawdź, czy uprawnienia dziedziczą z wyższych poziomów
- Przeglądanie członkostwa w grupie: Potwierdzenie członkostwa użytkownika w grupach i powiązanych ról
- Uprawnienia audytu: użyj raportów zabezpieczeń platformy Azure DevOps do przeglądania bieżących przypisań
- Testowanie dostępu: umożliwia użytkownikom testowanie określonych scenariuszy w celu sprawdzenia, czy uprawnienia działają prawidłowo
Integracja z identyfikatorem Entra firmy Microsoft
Gdy twoja organizacja korzysta z integracji z identyfikatorem Entra firmy Microsoft:
- Przypisania oparte na grupach: Przypisywanie ról do grup Microsoft Entra ID w celu łatwiejszego zarządzania
- Dostęp warunkowy: zasady dostępu warunkowego Microsoft Entra ID mają zastosowanie do dostępu do usługi Azure DevOps
- Zarządzanie tożsamościami: użyj przeglądów dostępu Microsoft Entra ID do przeglądu przypisań ról
- Zagadnienia dotyczące użytkowników-gości: użytkownicy zewnętrzni mogą potrzebować określonych przypisań ról