Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Serviços de DevOps do Azure | Azure DevOps Server | Azure DevOps Server 2022
O Azure DevOps gerencia a segurança para pipelines de compilação e lançamento e grupos de tarefas usando permissões baseadas em tarefas. Vários recursos de pipeline usam permissões baseadas em função, que você pode atribuir a usuários ou grupos. Cada função define as operações que um usuário pode executar dentro do contexto de recursos de pipeline específicos.
As permissões baseadas em função aplicam-se a todos os recursos de um tipo específico dentro de um projeto, organização ou coleção. Recursos individuais herdam permissões de configurações no nível do projeto, mas você pode desabilitar a herança para artefatos específicos quando precisar de um controle mais granular.
Noções básicas sobre funções de segurança versus permissões
O Azure DevOps usa dois modelos de segurança principais:
- Segurança baseada em função: funções predefinidas com conjuntos específicos de permissões para recursos de pipeline
- Segurança baseada em permissão: permissões granulares que você pode atribuir individualmente
As funções de segurança fornecem uma maneira simplificada de gerenciar cenários de permissão comuns, enquanto as permissões individuais oferecem um controle mais detalhado quando necessário.
Atribuições de função padrão
Por padrão, todos os colaboradores do projeto se tornam membros da função Usuário para cada fila hospedada. Essa função permite que eles criem e executem pipelines de compilação e liberação usando filas hospedadas, proporcionando produtividade imediata para os membros da equipe.
O sistema atribui automaticamente essas funções padrão quando:
- Você cria um novo projeto
- Os utilizadores juntam-se ao grupo de Colaboradores do projeto
- Você adiciona novos recursos de pipeline
Funções de segurança do pool de agentes, no nível do projeto
Você pode adicionar usuários a funções de segurança a partir do contexto de administração no nível do projeto na página Pools de agentes . Para obter informações sobre como adicionar e gerenciar pools de agentes, consulte Pools de agentes.
Navegação: Configurações do Projeto → Pipelines → Pools de Agentes
| Função (nível do projeto) | Description |
|---|---|
| Leitor | Veja a piscina. Normalmente, adicione operadores a essa função para monitorar trabalhos de compilação e implantação no pool. |
| Utilizador | Exiba e use o pool ao criar pipelines de compilação ou lançamento. |
| Criador | Crie e use o pool ao criar pipelines de compilação ou lançamento. |
| Administrador | Gerencie a associação para todas as funções do pool e visualize e use os pools. O usuário que criou um pool é adicionado automaticamente à função de Administrador desse pool. |
Gerencie a segurança de todos os pools de agentes de projeto na guia Segurança . As associações de função para pools de agentes de projeto individuais herdam automaticamente dessas funções.
Por padrão, os seguintes grupos são adicionados à função de Administrador de 'Todos os pools de agentes':
- Administradores de compilação
- Administradores de versão
- Administradores de Projeto.
Gerencie as configurações de função para um pool de agentes de projeto na página Pools>projeto.
- Para definir permissões para todos os pools dentro do projeto, selecione Segurança, adicione um usuário e escolha sua função.
- Para definir permissões para um pool específico, selecione o pool e, em seguida, Segurança. Em Permissões de pipeline, veja quais pipelines têm acesso ao pool. Permita explicitamente um pipeline usando o
+botão ou permita que todos os pipelines usem o⋮botão. Em Permissões de usuário, adicione um usuário ou grupo e escolha sua função.
Cenários comuns para funções de pool de agentes no nível do projeto
- Função do usuário: desenvolvedores que precisam executar compilações e versões
- Função do leitor: partes interessadas que precisam de visibilidade sobre o status da fila
- Função de administrador: engenheiros de DevOps que gerenciam a configuração do pool
Funções de segurança do pool de agentes, organização ou nível de coleção
Adicione usuários às seguintes funções de segurança na página Pools de agentes de configurações>da organização. Para obter informações sobre como adicionar e gerenciar pools de agentes, consulte Pools de agentes.
Navegação: Configurações da Organização → Pipelines → Pools de Agentes
| Função (nível da organização) | Description |
|---|---|
| Leitor | Veja a piscina e os agentes. Normalmente, adicione operadores a essa função para monitorar os agentes e sua integridade. |
| Conta de Serviço | Use o pool para criar um agente em um projeto. Seguir as diretrizes para criar novos pools geralmente significa que você não precisa adicionar membros a essa função. |
| Administrador | Registre ou cancele o registro de agentes do pool, gerencie a associação para todos os pools e visualize e crie pools. Use o pool de agentes ao criar um agente em um projeto. O sistema adiciona automaticamente o usuário que criou o pool à função de Administrador desse pool. |
Gerencie as configurações de função para grupos de agentes no nível da organização ou de coleção na página Poolsorganização.
- Para definir permissões para todos os pools dentro da organização ou coleção, selecione Segurança e, em seguida, adicione um usuário ou grupo e escolha sua função.
- Para definir permissões para um pool específico, selecione o pool e, em seguida, Segurança. Adicione um usuário ou grupo e escolha sua função.
Permissões no nível da organização versus permissões no nível do projeto
Controle de funções no nível da organização:
- Criação e exclusão de pool
- Instalação e configuração do agente
- Compartilhamento de pool entre projetos
Controle de funções no nível do projeto:
- Uso do pool em projetos específicos
- Permissões de execução de canalização
- Acesso à monitorização de filas
Funções de segurança do grupo de implantação
Adicione usuários às seguintes funções na página Pipelines ou Build and Release . Para obter informações sobre como adicionar e gerenciar grupos de implantação, consulte Grupos de implantação.
Navegação: Configurações do projeto → Pipelines → grupos de implantação
| Função | Description |
|---|---|
| Leitor | Exibir grupos de implantação. |
| Criador | Visualize e crie grupos de implantação. |
| Utilizador | Exiba e use grupos de implantação, mas não pode gerenciá-los ou criá-los. |
| Administrador | Administre funções, gerencie, exiba e use grupos de implantação. |
Casos de uso da função do grupo de implantação
- Administrador: Configure destinos de implantação e gerencie as configurações do grupo
- Usuário: implante aplicativos em ambientes de destino
- Leitor: Monitorar o status da implantação e exibir o histórico da implantação
Funções de segurança do conjunto de implementação
Adicione usuários às seguintes funções na página Pools de Implantação . Para obter informações sobre como criar e gerenciar pools de implantação, consulte Grupos de implantação.
Navegação: Configurações da Organização → Pipelines → Grupos de Distribuição
| Função | Description |
|---|---|
| Leitor | Exiba pools de implantação. |
| Conta de Serviço | Visualize agentes, crie sessões e ouça trabalhos do pool de agentes. |
| Utilizador | Exiba e use o pool de implantação para criar grupos de implantação. |
| Administrador | Administre, gerencie, exiba e use pools de implantação. |
Pools de implantação vs. grupos de implantação
- Pools de implantação: recurso no nível da organização que você pode compartilhar entre projetos
- Grupos de implantação: coleção de destinos de implantação específicos do projeto
Funções de segurança de ativos de biblioteca: grupos de variáveis e arquivos seguros
Adicione usuários a uma função de biblioteca a partir de Pipelines ou Build and Release. Para obter mais informações sobre como usar esses ativos de biblioteca, consulte Grupos de variáveis e Arquivos seguros.
Navegação: Configurações do projeto → Pipelines → Biblioteca
| Função | Description |
|---|---|
| Administrador | Edite, exclua e gerencie a segurança dos ativos da biblioteca. O criador de um ativo recebe automaticamente essa função para o ativo. |
| Criador | Crie ativos de biblioteca. |
| Leitor | Leia os ativos da biblioteca. |
| Utilizador | Consuma ativos de biblioteca em pipelines. |
Práticas recomendadas de segurança de bibliotecas
- Limitar o acesso de Administrador: conceda apenas a função de Administrador aos usuários que precisam gerenciar ativos de biblioteca
- Usar a função Leitor para visibilidade: atribuir a função Leitor a usuários que precisam ver os ativos disponíveis
- Proteger dados confidenciais: use funções apropriadas para grupos variáveis que contenham segredos
- Auditorias regulares: revise periodicamente as permissões de acesso à biblioteca
Funções de segurança da conexão de serviço
Adicione usuários às seguintes funções na página Serviços . Para obter informações sobre como criar e gerenciar esses recursos, consulte Conexões de serviço para compilação e versão.
Navegação: Configurações do projeto → conexões de serviço
| Função | Description |
|---|---|
| Utilizador | Use o ponto de extremidade ao criar pipelines de compilação ou lançamento. |
| Administrador | Gerencie a associação de todas as outras funções para a conexão de serviço e use o ponto de extremidade para criar pipelines de compilação ou liberação. O sistema atribui automaticamente o usuário que criou a conexão de serviço à função de Administrador desse pool. |
Considerações sobre segurança de conexão de serviço
As conexões de serviço geralmente contêm credenciais confidenciais e exigem um gerenciamento cuidadoso de permissões:
- Função de administrador: para engenheiros de DevOps que configuram integrações de serviços externos
- Função de usuário: para autores de pipeline que precisam usar conexões existentes
- Função de leitor: para membros da equipe que precisam de visibilidade nas conexões disponíveis
- Função de criador: para usuários autorizados que podem estabelecer novas conexões de serviço
Gerenciando atribuições de função
Práticas recomendadas para gerenciamento de funções
- Princípio do menor privilégio: atribuir a função mínima necessária para que os usuários executem suas tarefas
- Usar grupos em vez de indivíduos: atribua funções a grupos do Microsoft Entra em vez de usuários individuais quando possível
- Revisão regular: auditar periodicamente as atribuições de funções para garantir que elas permaneçam apropriadas
- Atribuições de documentos: mantenha a documentação de quem tem quais funções e por quê
Padrões comuns de atribuição de funções
| Tipo de Utilizador | Papéis típicos | Fundamentação |
|---|---|---|
| Desenvolvedores | Funções de usuário em recursos de pipeline | Necessidade de executar pipelines e acessar recursos |
| Engenheiros de DevOps | Funções de administrador para recursos de infraestrutura | Gerenciar e configurar a infraestrutura de pipeline |
| Gestores de Projeto | Funções de leitor para visibilidade | Monitore o progresso sem fazer alterações |
| Empreiteiros Externos | Funções de usuário limitadas com escopo específico | Acesso restrito com base nas necessidades do projeto |
Solução de problemas de permissões baseadas em função
Problemas e soluções comuns
| Problema | Causa possível | Solução |
|---|---|---|
| O usuário não pode acessar o recurso de pipeline | Atribuição de função ausente | Verificar e atribuir a função apropriada |
| O usuário tem muito acesso | Atribuição de função com privilégios excessivos | Revisar e reduzir as permissões de função |
| Permissões inconsistentes entre projetos | Diferentes atribuições de função por projeto | Padronizar atribuições de função em toda a organização |
| Problemas com a conta de serviço | Funções de conexão de serviço ausentes | Garantir que as contas de serviço tenham as funções necessárias |
Passos de verificação
- Verificar herança: verifique se as permissões são herdadas de níveis superiores
- Revisar a associação ao grupo: confirme as associações de grupo do usuário e as funções associadas
- Permissões de auditoria: use os relatórios de segurança do Azure DevOps para revisar as atribuições atuais
- Testar acesso: peça aos usuários que testem cenários específicos para verificar se as permissões funcionam corretamente
Integração com o Microsoft Entra ID
Quando sua organização usa a integração do Microsoft Entra ID:
- Atribuições baseadas em grupo: atribua funções a grupos de ID do Microsoft Entra para facilitar o gerenciamento
- Acesso condicional: as políticas de acesso condicional do Microsoft Entra ID aplicam-se ao acesso ao Azure DevOps
- Governança de identidade: use as revisões de acesso do Microsoft Entra ID para auditar atribuições de função
- Considerações do usuário convidado: os usuários externos podem precisar de atribuições de função específicas