Partilhar via

Ver permissões e acesso efetivo

Serviços de DevOps do Azure | Azure DevOps Server | Azure DevOps Server 2022

Este artigo mostra como exibir permissões e verificar o acesso efetivo para usuários e grupos nos níveis de organização, projeto e repositório (ou outro objeto). Ele explica os estados de permissão (Permitir, Negar, Herdar), como a herança e a associação ao grupo afetam as permissões efetivas e as etapas para solucionar problemas comuns de acesso.

O que você aprende:

  • Onde ver as atribuições de permissões no portal web
  • Como verificar permissões eficazes para utilizadores e grupos
  • Razões comuns pelas quais as permissões não funcionam como esperado (herança, recusas, acesso das partes interessadas, mapeamento do grupo Microsoft Entra ID)

Passos rápidos:

  1. Abrir definições de Organização ou Definições> de ProjetoSegurança (ou Permissões)
  2. Selecione o objeto (projeto, repositório ou grupo) e visualize as permissões atribuídas
  3. Use a interface de Utilizadores/Grupos ou Permissões Efetivas para inspecionar o acesso efetivo
  4. Se necessário, examine as pertenças a grupos e negue regras que anulam permissões concedidas.

Nota

Os recursos de gerenciamento de permissões e a interface do usuário variam ligeiramente entre os Serviços de DevOps do Azure (nuvem) e o Servidor de DevOps do Azure local. As diretrizes a seguir chamam a atenção para as diferenças da interface do usuário, quando aplicável.

Noções básicas do modelo de permissão

As permissões no Azure DevOps usam três estados de atribuição:

  • Permitir — concede explicitamente uma permissão
  • Negar — nega explicitamente uma permissão e sobrepõe-se a Permitir
  • Herdar—não há atribuição explícita a este nível; a permissão é herdada de níveis superiores ou de adesões a grupos

As permissões efetivas são calculadas avaliando as atribuições em:

  • O objeto em si (projeto, repo, caminho da área, etc.)
  • Escopos pai (coleção, organização, projeto)
  • Associações de grupo (grupos internos, grupos personalizados, grupos de ID do Microsoft Entra)
  • Negar atribuições explícitas (ter precedência)

O que significam permissões "efetivas":

As permissões efetivas são o acesso à rede que um usuário ou grupo realmente tem em um objeto depois que o Azure DevOps avalia cada atribuição de permissão relevante. O sistema combina atribuições explícitas de Permitir e Negar em todo o objeto, nos escopos superiores e em todas as associações de grupo; as entradas explícitas de Negar têm prioridade. Na prática, as "permissões efetivas" mostram o resultado final (o que alguém pode realmente fazer), não todas as atribuições individuais que contribuíram para esse resultado.

Para obter um aprofundamento sobre resolução de permissões e herança, consulte Sobre permissões, Estados de permissão.

Onde visualizar permissões

Você pode exibir permissões em vários locais no portal da Web, dependendo do objeto:

  • Organização ou nível de coleção: Configurações da organização>Segurança (ou Configurações da organização>Permissões).
  • Nível do projeto: Configurações do projeto>Permissões (ou Configurações do projeto>Segurança em interfaces mais antigas).
  • Repositório, pipeline, placa ou outro recurso: abra o recurso e, em seguida, Configurações ou Segurança (por exemplo, Repos> selecione repository>Security).

A página Permissões de Segurança/ mostra grupos e usuários atribuídos e uma matriz de permissões que você pode filtrar por usuário ou grupo.

Verificar permissões efetivas (interface de utilizador)

  1. Iniciar sessão em https://dev.azure.com/{Your_Organization}.

  2. Vá para o objeto que deseja inspecionar (Organização, Projeto, Repositório, etc.).

  3. Selecione Configurações do projeto ou Configurações da> organizaçãoPermissões (ou Segurança).

  4. Escolha Usuários ou Grupos, selecione a identidade que deseja inspecionar e exiba a grade de permissões.

  5. Use qualquer link ou botão "Permissões efetivas" fornecido (se houver) para calcular a permissão efetiva final para a identidade selecionada no objeto escolhido.

    Abra a segurança ou permissões para um projeto.

  1. Inicie sessão no seu servidor ou portal de recolha.
  2. Vá para Configurações do projeto>Segurança (ou Configurações de > Segurança da organização/coleção).
  3. Selecione o grupo ou usuário e examine a matriz de permissões. Use o filtro e os controlos de permissão efetiva na caixa de diálogo.

Verificar permissões efetivas (linha de comando / REST)

Se preferir automação, use a API REST para ler ACLs ou os módulos CLI/PowerShell do Azure DevOps para fazer verificações de permissão de script. Procure o namespace de segurança para o recurso e avalie os bits da ACL para calcular o acesso efetivo.

Cenários comuns e resolução de problemas

  • Negar tem precedência sobre Permitir: um Negar explícito em qualquer escopo prevalece. Verifique se há negações em níveis de escopo mais altos ou mais baixos e entre membros de grupo.
  • Associação em vários grupos: as permissões efetivas combinam atribuições de grupo; negar em qualquer grupo aplica-se.
  • Herança de escopos pai: se uma permissão for Herdar no nível atual, verifique os escopos pai para atribuições.
  • Mapeamento de grupo do Microsoft Entra ID: se os usuários forem adicionados por meio de grupos do Microsoft Entra, verifique se o grupo correto está sincronizado com o Azure DevOps e se a associação do grupo é o esperado.
  • Limites de acesso das partes interessadas: Os utilizadores com acesso das partes interessadas experienciam disponibilidade limitada de funcionalidades independentemente das atribuições de permissões — verifique o nível de acesso se um utilizador não conseguir realizar uma ação.
  • Acesso dinâmico ou temporário: algumas políticas (como o acesso condicional) ou o provisionamento externo podem afetar o início de sessão/acesso — verifique as políticas de acesso condicional do Microsoft Entra se o início de sessão falhar.

Lista de verificação rápida da resolução de problemas

  1. Confirme se a conta de usuário que está sendo usada para entrar (corresponde à identidade mostrada no Azure DevOps).
  2. Inspecione as associações diretas e indiretas de grupo do usuário.
  3. Procura quaisquer atribuições Negar explícitas nos níveis do objeto e pai.
  4. Verifique o nível de acesso do usuário (Stakeholder vs Basic) e os limites de licenciamento.
  5. Se você estiver usando grupos do Microsoft Entra, confirme a sincronização e a associação ao grupo.
  6. Se necessário, use REST/CLI para listar ACLs para o recurso e avaliar programaticamente.

Auditoria e histórico

Utilize os logs de auditoria (Configurações da organização > logs de auditoria) para monitorizar alterações em grupos de segurança, designações de permissões e modificação de afiliações se a sua organização tiver a auditoria ativada. Os eventos de auditoria podem ajudar a rastrear quando uma permissão ou associação foi alterada.

Próximo passo

Alterar permissões no nível do projeto ou associação ao grupo

Conteúdo relacionado

  • Last updated on