Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As tarefas em um pipeline usam um token de acesso ao trabalho, disponível por meio da variável System.AccessTokeninterna ou de um PAT para acessar recursos do Azure DevOps. Por exemplo, uma tarefa de "checkout" usa esse token para realizar a autenticação no repositório. Da mesma forma, um script do PowerShell pode usar esse token para acessar AS APIs REST do Azure DevOps. No entanto, as permissões desse token são baseadas na identidade do Project Build Service, o que significa que todos os tokens de acesso ao trabalho em um projeto têm permissões idênticas. Isso concede acesso excessivo a todos os pipelines dentro do projeto.
Usar PATs para acessar recursos do Azure DevOps é comum, especialmente quando uma tarefa precisa acessar esses recursos entre os limites da organização. Por exemplo, uma tarefa do Nuget Authenticate usa um token PAT para autenticar em um feed em outra organização. Os PATs são um antipadrão de segurança, pois tendem a ser criados com permissões amplas e são mantidos por muito tempo, aumentando assim o risco de exfiltração.
Para melhorar a segurança nesses cenários, um novo tipo de conexão de serviço chamado "Conexão de Serviço do Azure DevOps" está sendo introduzido. Ele usa uma entidade de serviço do Azure que pode ser adicionada como um usuário no Azure DevOps com permissões específicas. Isso permite que você se autentique em recursos de uma tarefa de pipeline usando essa conexão de serviço e restrinja o acesso a pipelines específicos. Primeiro, apresentaremos o novo tipo de conexão e algumas tarefas que funcionam com ele. Expandiremos gradualmente a lista de tarefas que podem usar o tipo de conexão ao longo do tempo.