Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Pipelines oferece uma escolha de várias opções de autenticação que você pode usar ao registrar um agente. Esses métodos de autenticação são usados somente durante o registro do agente. Consulte a comunicação de agentes em para obter detalhes sobre como os agentes se comunicam após o registo.
| Método de registo do agente | Serviços de DevOps do Azure | Azure DevOps Server & TFS |
|---|---|---|
| token de acesso pessoal (PAT) | Suportado | Suportado quando o servidor é configurado com HTTPS |
| Principal de Serviço (SP) | Suportado | Atualmente não suportado |
| Fluxo de código do dispositivo (Microsoft Entra ID) | Suportado | Atualmente não suportado |
| Integrado | Não suportado | Apenas agentes do Windows |
| Negociar | Não suportado | Apenas agentes do Windows |
| Alternativa (ALT) | Não suportado | Suportado quando o servidor é configurado com HTTPS |
Token de acesso pessoal (PAT)
Especifique PAT como tipo de autenticação durante a configuração do agente para usar um token de acesso pessoal para autenticar durante o registro do agente e depois especifique um token de acesso pessoal (PAT) com o escopo Pools de Agentes (ler, gerenciar) (ou o escopo grupo de implantação (ler, gerenciar) para um agente de grupo de implantação ), que pode ser usado para o registro do agente.
Para obter mais informações, consulte Registrar um agente usando um token de acesso pessoal (PAT)
Principal de Serviço
Especifique SP para o tipo de autenticação durante a configuração do agente para usar um principal de serviço para autenticar durante o registro do agente.
Para mais informações, consulte Registar um agente usando um principal de serviço.
Fluxo de código do dispositivo
Especifique AAD para o tipo de autenticação durante a configuração do agente para usar o fluxo de código do dispositivo para autenticar durante o registo do agente.
Para obter mais informações, consulte Registrar um agente usando o fluxo de código de dispositivo.
Integrado
A autenticação integrada do Windows para registro de agente só está disponível para registro de agente do Windows no Azure DevOps Server e TFS.
Especifique Integrado como o tipo de autenticação durante a configuração do agente para usar a autenticação integrada do Windows ao autenticar durante o registo do agente.
Conecte um agente do Windows ao TFS usando as credenciais do usuário conectado por meio de um esquema de autenticação do Windows, como NTLM ou Kerberos.
Para usar esse método de autenticação, você deve primeiro configurar o servidor TFS.
Entre na máquina onde você está executando o TFS.
Inicie o Gerenciador dos Serviços de Informações da Internet (IIS). Selecione seu site do TFS e verifique se a Autenticação do Windows está habilitada com um provedor válido, como NTLM ou Kerberos.
Negociar
O método de autenticação de negociação para registo de agente está disponível apenas para registo de agentes do Windows no Azure DevOps Server e TFS.
Conecte-se ao TFS como um usuário diferente do usuário conectado por meio de um esquema de autenticação do Windows, como NTLM ou Kerberos.
Para usar esse método de autenticação, você deve primeiro configurar o servidor TFS.
Faça logon na máquina onde você está executando o TFS.
Inicie o Gerenciador dos Serviços de Informações da Internet (IIS). Selecione seu site do TFS e verifique se a Autenticação do Windows está habilitada com o provedor Negotiate e com outro método, como NTLM ou Kerberos.
Suplente (ALT)
O método de autenticação alternativo (básico) para registro de agente só está disponível no Azure DevOps Server e no TFS.
Conecte-se ao TFS usando a autenticação básica. Para usar esse método, você deve primeiro configurar HTTPS no TFS.
Para usar esse método de autenticação, você deve configurar o servidor TFS da seguinte maneira:
Entre na máquina onde você está executando o TFS.
Configurar a autenticação básica. Consulte sobre a utilização de
tfxcom o Team Foundation Server 2015 através da autenticação básica.
Observação
Por design de produto, a autenticação anônima do IIS é necessária para que a autenticação OAuth funcione. Essa autenticação OAuth está sendo usada pelo Azure DevOps para a funcionalidade de agente e pipeline. Por esse motivo, mesmo que tenhamos agentes já configurados, esses agentes se tornarão inutilizáveis se desabilitarmos a autenticação anônima. Os produtos de DevOps do Azure já têm uma excelente abordagem de segurança. O aplicativo de servidor TFS/Azure DevOps no IIS não permitirá a passagem de solicitações não autenticadas. Isso apenas permite que ele entre pela porta principal do IIS até à aplicação, que aplica o protocolo OAuth. Por exemplo, em uma execução de pipeline, o servidor de compilação gera um token OAuth por compilação, que tem como escopo a compilação e expira após a compilação. Portanto, mesmo que o token seja protegido, se for vazado, é inútil após a compilação - diferentemente de uma identidade. O token OAuth também não está disponível para o código executado pelo processo de compilação (testes de unidade verificados pelos desenvolvedores). Se dependesse da identidade do Windows em que o serviço do Windows é executado, os desenvolvedores que executam testes de unidade no CI poderiam obter acesso elevado para aceder ou eliminar o código ao qual não têm permissões.