Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Serviços de DevOps do Azure | Azure DevOps Server | Azure DevOps Server 2022
O Azure DevOps usa uma combinação de conceitos de segurança para garantir que apenas usuários autorizados possam acessar seus recursos, funções e dados. O acesso é determinado por dois processos principais: autenticação, que verifica as credenciais de um usuário, e autorização, que concede permissões com base nos direitos da conta. Juntos, esses processos controlam o que cada usuário pode fazer no Azure DevOps.
Este artigo expande Introdução às permissões, acesso e grupos de segurança e ajuda os administradores a entender os diferentes tipos de conta, métodos de autenticação e autorização e políticas de segurança disponíveis para proteger ambientes de DevOps do Azure.
Tipos de conta
- Utilizadores
- Proprietário da organização
- Contas de serviço
- Entidades de serviço ou identidades gerenciadas
- Agentes de emprego
Autenticação
- Credenciais do utilizador
- Autenticação do Windows
- Autenticação de dois fatores (2FA)
- Autenticação de chave SSH
- Token Microsoft Entra
- Token de acesso pessoal
- Configuração Oauth
- Biblioteca de autenticação do Ative Directory
Autorização
- Associação a grupos de segurança
- Controlo de acesso baseado em funções
- Níveis de acesso
- Marcas de funcionalidades
- Namespaces de segurança & permissões
Políticas
- URL da política de privacidade
- Conexão de aplicativos e políticas de segurança
- Políticas de utilizador
- Políticas de repositório e filiais do Git
Tipos de conta
- Utilizadores
- Contas de serviço
- Entidades de serviço ou identidades gerenciadas
- Agentes de emprego
Autenticação
- Credenciais do utilizador
- Autenticação do Windows
- Autenticação de dois fatores (2FA)
- Autenticação de chave SSH
- Tokens de acesso pessoal
- Configuração Oauth
- Biblioteca de autenticação do Ative Directory
Autorização
- Associação a grupos de segurança
- Permissões baseadas em função
- Níveis de acesso
- Marcas de funcionalidades
- Namespaces de segurança & permissões
Políticas
- Políticas de repositório e filiais do Git
Importante
O Azure DevOps não dá suporte à autenticação de Credenciais Alternativas. Se você ainda estiver usando Credenciais Alternativas, recomendamos que mude para um método de autenticação mais seguro.
Ambos os Azure DevOps dão suporte ao desenvolvimento de software desde o planejamento até a implantação. Cada plataforma usa a infraestrutura e os serviços da Plataforma como Serviço do Microsoft Azure, incluindo bancos de dados SQL do Azure, para fornecer um serviço confiável e disponível globalmente para seus projetos.
Para obter mais informações sobre como a Microsoft garante que seus projetos estejam seguros, disponíveis, protegidos e privados, consulte a Visão geral da proteção de dados do Azure DevOps.
Contas
Embora as contas de usuário humano sejam o foco principal, o Azure DevOps também dá suporte a vários outros tipos de conta para diferentes operações:
- Proprietário da organização: o criador de uma organização dos Serviços de DevOps do Azure ou proprietário atribuído. Para encontrar o proprietário da sua organização, consulte Procurar o proprietário da organização.
- Contas de serviço: organização interna do Azure DevOps usada para dar suporte a um serviço específico, como Agent Pool Service, PipelinesSDK. Para obter descrições de contas de serviço, consulte Grupos de segurança, contas de serviço e permissões.
- Entidades de serviço ou identidades gerenciadas: aplicativos Microsoft Entra ou identidades gerenciadas adicionadas à sua organização para executar ações em nome de um aplicativo que não seja da Microsoft. Algumas entidades de serviço referem-se à organização interna do Azure DevOps para dar suporte a operações internas.
- Agentes de trabalho: contas internas usadas para executar trabalhos específicos em um cronograma regular.
- Contas de terceiros: contas que requerem acesso para suportar ganchos da Web, ligações de serviço ou outras aplicações que não sejam da Microsoft.
Em nossos artigos relacionados à segurança, "usuários" refere-se a todas as identidades adicionadas ao Hub de Usuários, que podem incluir usuários humanos e entidades de serviço.
- Contas de serviço: organização interna do Azure DevOps usada para dar suporte a um serviço específico, como Agent Pool Service, PipelinesSDK. Para obter descrições de contas de serviço, consulte Grupos de segurança, contas de serviço e permissões.
- Entidades de serviço ou identidades gerenciadas: aplicativos Microsoft Entra ou identidades gerenciadas adicionadas à sua organização para executar ações em nome de um aplicativo que não seja da Microsoft. Algumas entidades de serviço referem-se à organização interna do Azure DevOps para dar suporte a operações internas.
- Agentes de trabalho: contas internas usadas para executar trabalhos específicos em um cronograma regular.
- Contas de terceiros: contas que requerem acesso para suportar ganchos da Web, ligações de serviço ou outras aplicações que não sejam da Microsoft.
A maneira mais eficaz de gerenciar contas é adicioná-las a grupos de segurança.
Nota
O proprietário da organização e os membros do grupo Administradores de Coleção de Projetos recebem acesso total a quase todos os recursos e funções.
Autenticação
A autenticação verifica a identidade de um usuário com base nas credenciais fornecidas durante a entrada no Azure DevOps. O Azure DevOps integra-se com vários sistemas de identidade para gerir a autenticação:
- Microsoft Entra ID: Recomendado para organizações que gerenciam um grande grupo de usuários. Fornece autenticação robusta e baseada na nuvem e gerenciamento de usuários.
- Conta da Microsoft (MSA): adequada para bases de usuários menores que acessam organizações de DevOps do Azure. Suporta autenticação na nuvem.
- Ative Directory (AD): Recomendado para implantações locais com muitos usuários, usando sua infraestrutura do AD existente.
O ID do Microsoft Entra e as contas da Microsoft suportam a autenticação na nuvem. Para obter mais informações, consulte Sobre como acessar o Azure DevOps com o Microsoft Entra ID.
Para ambientes locais, use o Ative Directory para gerenciar com eficiência o acesso do usuário. Saiba mais em Configurar grupos para uso em implantações locais.
Autenticar programaticamente
Acesse sua organização do Azure DevOps programaticamente sem inserir repetidamente seu nome de usuário e senha escolhendo um dos métodos de autenticação disponíveis. Use os seguintes métodos para automatizar fluxos de trabalho, integrar com APIs REST ou criar aplicativos personalizados:
- Use o OAuth para criar aplicativos que executam ações em nome dos usuários. Os usuários devem consentir com o aplicativo. Para novos aplicativos, use o Microsoft Entra OAuth.
- Use entidades de serviço ou identidades gerenciadas para automatizar fluxos de trabalho ou criar ferramentas que acessam regularmente os recursos da organização. Emita tokens Microsoft Entra em nome do próprio aplicativo.
- Use o Microsoft Entra ID para autenticação segura e baseada em nuvem e gerenciamento de usuários.
- Use tokens de acesso pessoal (PATs) para solicitações ad-hoc ou prototipagem inicial. Evite PATs para o desenvolvimento de aplicativos a longo prazo, pois eles são mais suscetíveis a vazamentos e uso indevido.
Sugestão
Sempre armazene credenciais com segurança e siga as práticas recomendadas para gerenciar métodos de autenticação.
Por padrão, sua organização permite o acesso a todos os métodos de autenticação. Os administradores da organização podem restringir o acesso a esses métodos de autenticação desativando as políticas de segurança. Os administradores de arrendatários podem reduzir ainda mais o risco de PAT, limitando as maneiras pelas quais podem ser criados.
Autorização
A autorização determina se uma identidade autenticada tem as permissões necessárias para acessar um serviço, recurso, função, objeto ou método específico no Azure DevOps. As verificações de autorização sempre ocorrem após a autenticação bem-sucedida — se a autenticação falhar, a autorização nunca será avaliada. Mesmo após a autenticação, os usuários ou grupos podem ter acesso negado a determinadas ações se não tiverem as permissões necessárias.
O Azure DevOps gerencia a autorização por meio de permissões atribuídas diretamente aos usuários ou herdadas por meio de grupos ou funções de segurança. Os níveis de acesso e os sinalizadores de recursos podem controlar ainda mais o acesso a recursos específicos. Para saber mais sobre esses métodos de autorização, consulte Introdução às permissões, acesso e grupos de segurança.
Namespaces e permissões de segurança
Os namespaces de segurança definem níveis de acesso do usuário para ações específicas nos recursos do Azure DevOps.
- Cada família de recursos, por exemplo, itens de trabalho ou repositórios Git, tem seu próprio namespace exclusivo.
- Dentro de cada namespace, pode haver várias listas de controle de acesso (ACLs).
- Cada ACL contém um token, um indicador de herança e uma ou mais entradas de controle de acesso (ACEs).
- Cada ACE especifica um descritor de identidade, uma máscara de bits para permissões permitidas e uma máscara de bits para permissões negadas.
Para obter mais informações, consulte Namespaces de segurança e referência de permissão.
Políticas de segurança
Para proteger sua organização e código, os administradores de nível de organização (Administrador de Coleção de Projetos) ou de nível de locatário (Administrador de DevOps do Azure) podem habilitar ou desabilitar várias políticas de segurança, dependendo do escopo da política. As principais políticas a considerar incluem:
- Especifique um URL de política de privacidade para descrever como você lida com a privacidade de dados de convidados internos e externos.
- Decida se os usuários em sua organização têm permissão para criar projetos públicos.
Se sua organização estiver conectada ao Microsoft Entra ID, você terá acesso aos seguintes outros recursos de segurança:
- Restrinja a criação da organização a usuários específicos.
- Convide convidados externos para a organização.
- Permitir que os administradores de equipe e projeto convidem novos usuários.
- Habilite a validação da política de acesso condicional (CAP).
- Acompanhe eventos e fluxos de auditoria em sua organização.
Revise e configure essas políticas para fortalecer a postura de segurança da sua organização e garantir a conformidade com seus requisitos de privacidade e acesso a dados.
Grupo de utilizadores com âmbito de projeto
Por padrão, os usuários adicionados a uma organização podem exibir todas as informações e configurações da organização e do projeto, incluindo listas de usuários, listas de projetos, detalhes de cobrança, dados de uso e muito mais.
Para limitar o acesso de usuários específicos, como partes interessadas, usuários convidados do Microsoft Entra ou membros de um grupo de segurança específico, habilite o recurso Limitar a visibilidade e a colaboração do usuário para projetos específicos da sua organização. Quando esse recurso está habilitado, qualquer usuário ou grupo adicionado ao grupo UsuáriosProject-Scoped é restrito das seguintes maneiras:
- O acesso é limitado às páginas Visão geral e Projetos nas configurações da organização.
- Os usuários só podem se conectar e exibir projetos aos quais foram explicitamente adicionados.
- Os usuários só podem selecionar identidades de usuário e grupo que são explicitamente adicionadas ao mesmo projeto.
Para obter mais informações, consulte Gerenciar sua organização: limitar a visibilidade do usuário para projetos e muito mais e Gerenciar recursos de visualização.
Aviso
Considere as seguintes limitações ao usar esse recurso de visualização:
- As funcionalidades de visibilidade limitada descritas nesta secção aplicam-se apenas às interações através do portal Web. Com as APIs REST ou
azure devopsos comandos da CLI, os membros do projeto podem acessar os dados restritos. - Os usuários no grupo limitado só podem selecionar usuários que são explicitamente adicionados ao Azure DevOps e não usuários que têm acesso por meio da associação ao grupo Microsoft Entra.
- Os usuários convidados que são membros do grupo limitado com acesso padrão no Microsoft Entra ID não podem pesquisar usuários com o seletor de pessoas.
Políticas de repositório e filiais do Git
Para proteger seu código, você pode definir várias políticas de repositório Git e ramificação. Para obter mais informações, consulte os seguintes artigos que podem estar em inglês.
Segurança do Azure Repos e Azure Pipelines
Como os repositórios e os pipelines de compilação e lançamento representam desafios de segurança exclusivos, outros recursos além dos recursos discutidos neste artigo são empregados. Para obter mais informações, consulte os seguintes artigos que podem estar em inglês.
- Protegendo o Azure Pipelines
- Planeje como proteger seus pipelines YAML
- Proteção do repositório
- Recursos de pipeline
- Recomendações para estruturar com segurança projetos em seu pipeline
- Segurança através de modelos
- Como usar variáveis e parâmetros com segurança em seu pipeline
- Recomendações para proteger a infraestrutura compartilhada no Azure Pipelines
- Outras considerações de segurança